Intrusion Detection System (IDS)

ネットワーク侵入検知システム(IDS)は、潜在的な侵入を特定してアラートを生成するように設計されたサイバーセキュリティソリューションです。 これらのアラートは、脅威に対処するための措置を講じることができる企業のセキュリティオペレーションセンター(SOC)に送信されます。

デモをリクエストする NGFW Buyer’s Guide

侵入検知システム(IDS)とは?

IDS の仕組み

IDS は、次のいずれかとしてデプロイできます。

  • ネットワークベースのソリューション
  • ホストベースのソリューション

どちらのデプロイメント・ロケーションでも、ネットワーク・トラフィックやその他の悪意のあるアクティビティーを監視して、モニター対象のネットワークまたはデバイスに対する潜在的な侵入やその他の脅威を特定します。 IDS は、潜在的な脅威を特定するために、次のようないくつかの異なる手段を使用できます。

  • 署名ベース: シグネチャベースの検出メカニズムは、一意の識別子を使用して既知の脅威を探します。 たとえば、IDS には、保護されたシステムに侵入しようとする既知のマルウェアを識別するために使用するマルウェア ハッシュのライブラリがある場合があります。
  • 異常ベース: 異常ベースの検出は、ネットワークまたは保護対象デバイス内の正常な動作のモデルを構築することに依存します。 次に、 サイバー攻撃 やその他のインシデントを示す可能性のあるこの規範からの逸脱を探します。

IDS の重要性

IDSは、他の方法では見逃される可能性のある脅威を特定し、SOCに警告できるため、企業のサイバーセキュリティアーキテクチャの重要な要素です。 次世代の AI 搭載ファイアウォールには IDS 機能が組み込まれていますが、 従来のファイアウォール にはありません。

エンタープライズファイアウォール内にIDSを統合すると、次のような脅威に対してより堅牢な保護が提供されます。

IDS の 7 つの最も一般的な課題

IDSは、企業のセキュリティアーキテクチャの貴重なコンポーネントになる可能性があります。 しかし、IDSを使用する際には、組織が一般的に次のような課題に直面します。

  1. 正しくない検出: IDS は、シグネチャと異常検出メカニズムの組み合わせを使用でき、ファイアウォールの設計が強化されていないと、どちらも間違いを犯す可能性があります。 シグネチャ検出は、新しいマルウェアの亜種のデータベースに署名がない場合、偽陰性が発生しやすくなります。 異常検出は、良性の異常が誤って潜在的な脅威として分類された場合、誤検知になる可能性があります。
  2. アラート ボリューム: IDSの設計が劣っていると、セキュリティ担当者が検索してトリアージする必要がある大量のアラートが生成されることがよくあります。 セキュリティチームは簡単に圧倒され、多くのアラートが誤検知である場合、それらを無視し始め、侵入を見逃す可能性があります。
  3. アラート調査: IDS アラートは、多くの場合、セキュリティ インシデントに関する基本情報を提供しますが、重要なコンテキストが不足している可能性があります。 その結果、セキュリティ担当者は、インシデント対応をトリガーしたり、誤検知として却下したりする前に、アラートの調査と理解に多大な時間と労力を費やす可能性があります。
  4. No 脅威対策: IDSは、潜在的な脅威を特定し、それについてセキュリティチームに警告するように設計されています。 実際に脅威を防ぐことはできず、手動の対応操作がトリガーされる前に組織を攻撃するウィンドウが残されます。 アラートが見逃されたり無視されたりした場合、セキュリティチームはインシデントにさえ対応できない可能性があります。
  5. アラート疲労: IDS は、組織に警告するためにのみ設計されています。 統合されたIDS+IPS(Intrusion Prevention Service)による自動応答がないため、セキュリティチームはより高いワークロードに悩まされています。 そして多くの場合、これらのチームは、調査する「データ」が多すぎることに基づいて、常にアラートを無視したりミュートしたりします。
  6. 構成とメンテナンス: 潜在的なセキュリティリスクを適切に特定するには、IDS を適切にデプロイ、構成、および保守する必要があります。 これには、他の場所で使用される可能性のある専門知識とリソースが必要です。
  7. リソース要件: IDS は、特に大きなシグネチャ ディクショナリや高度な異常検出アルゴリズムを備えている場合、脅威を特定するために大量のリソースを消費する可能性があります。 これらは、システムのパフォーマンスを低下させたり、IDS がインラインで展開されている場合にパフォーマンスが低下したりする可能性があります。 さらに、シグニチャライブラリは、最新の脅威を特定するために頻繁に更新する必要があります。

侵入検知システム(IDS)と侵入防止システム(IPS)

侵入防止システム(IPS)は、IDSと同じ機能を備えていますが、アラートの生成にとどまりません。それどころか、IDS がアラートを生成するだけの脅威を実際にブロックします。

この予防には、長所と短所があります。 良い面では、IPSは攻撃が組織のシステムに到達するのを防ぎ、ビジネスへの脅威を排除することができます。 ただし、誤検出により正当なトラフィックがブロックされ、解決チケットを開く必要があるため、生産性とユーザーエクスペリエンスに悪影響を与える可能性があります

IDSとIPSのどちらを選択するかを決定する際、組織はセキュリティとユーザビリティの間のこれらのトレードオフを考慮する必要があります。 IPSはより優れた保護を提供し、IDSはユーザビリティへの影響を排除します。 または、企業は誤検知率が最小限のIPSを選択して、両方の長所を引き出すことができます。

IDS/IPSソリューションの選択 with チェック・ポイント

組織は、IDS/IPSをスタンドアロンのセキュリティソリューションとして導入できます。 ただし、これらの機能は、ファイアウォール (NGFW) やセキュア アクセス サービス エッジ (SASE) など、多くの最新のサイバーセキュリティ ソリューションに一般的に組み込まれています。 統合セキュリティソリューションは、多くの場合、スタンドアロンのツールよりも効率とパフォーマンスが向上し、セキュリティチームにとって設定、管理、運用が容易です。
チェック・ポイント Quantum Force security Gartner Magic Quadrant と CloudGuard ネットワーク IPS、暗号化 (HTTPS) トラフィック検査、ファイアウォール、レイヤー 1-7 保護など、包括的な脅威対策を提供します。
チェック・ポイントのHarmony SASEは、IPS、NGFW、およびその他のさまざまなセキュリティ機能を単一のクラウドベースのソリューションで提供します。 SASEとIDS/IPSがお客様の組織にどのように役立つかについては、SASEの無料デモ Harmony お気軽にご登録ください。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK