IDS/IPS - IDS/IPS（侵入検知/防止システム）の使い方・オプション・サンプル

IDS/IPS - IDS/IPS（侵入検知/防止システム）

ネットワークやホストへの不正アクセスをリアルタイムに検知（IDS）または検知して遮断（IPS）するシステム。

概念図

IDS/IPS（侵入検知/防止システム） diagram

実例

Suricata のカスタムルール例（SQL インジェクション検知）

bash

alert http any any -> any any (msg:"SQL Injection Attempt"; content:"UNION SELECT"; nocase; sid:1000001; rev:1;)

Snort をコンソールアラートモードで起動

bash

snort -A console -q -c /etc/snort/snort.conf -i eth0

IDS と IPS の違いと検知方式

IDS（Intrusion Detection System）: 不正なトラフィックを検知してアラートを出すが、通信は遮断しない。ネットワークをミラーリングして監視する
IPS（Intrusion Prevention System）: 不正なトラフィックを検知し、自動的に遮断する。インラインで通信経路に配置する

検知方式:

シグネチャベース: 既知の攻撃パターン（シグネチャ）とトラフィックを照合する。誤検知が少ないが未知の攻撃は検知できない
アノマリベース: 正常な通信パターンを学習し、逸脱した通信を異常として検知する。未知の攻撃にも対応できるが誤検知が多い
ハイブリッド: 両方の方式を組み合わせる

導入と運用のポイント

配置場所の選定: インターネット境界、DMZ、内部ネットワークなど複数箇所に配置を検討する
ルールのチューニング: 環境に合わせてルールを調整し、誤検知（False Positive）と検知漏れ（False Negative）のバランスを取る
ルールの定期更新: 最新の攻撃シグネチャを適用する
SIEM との連携: 検知ログを SIEM に集約し、相関分析によって攻撃の全体像を把握する
パフォーマンスへの配慮: IPS はインラインで動作するため、トラフィック量に対して十分な処理能力を確保する

関連トピック

ファイアウォール- ネットワークトラフィックを監視・制御し、不正なアクセスを遮断するセキュリティ装置。パケットフィルタリングやステートフルインスペクションなどの方式がある。 ログ監視とモニタリング- セキュリティイベントのログを収集・分析し、異常を検知する仕組み。インシデント対応と事後分析の基盤となる。 ゼロトラストアーキテクチャ- 「信頼しない、常に検証する」を原則とするセキュリティモデル。ネットワークの内外を問わず、すべてのアクセスを検証する。