IDSとは？（２）

IDSというのはネットワークやコンピュータを監視して不正アクセスを発見し、警告をあげるシステムだという話をしましたね。

IDSは、そのアクセスを監視する対象によって2種類あります。

■ネットワーク型IDS

これは、NIDSとも呼ばれます。コンピュータ同士が繋がっているネットワーク上に配置して、ネットワークに流れるパケットを監視します。

ある意味盗聴ツールのように、ネットワーク型IDSは自分がネットワーク上に存在しないかのような振る舞いをします。（ステルスモード、プロミスキャスモード）

その状態で、各コンピュータ同士の通信を全て受け取り、中身を解析して疑わしい通信であった場合に警告をします。

■ホスト型IDS

HIDSと呼ばれます。「ホスト」というのはコンピュータのことを指すと考えてもらっていいと思います。

監視対象となる「ホスト」に、IDSをインストールして、自分自身に送られてくるデータを監視します。

単純に通信上の不正なアクセスだけでなく、コンピュータ上のファイルが書き換えられたり、不正な侵入者がいたような場合も見つけることが可能です。

ネットワーク型IDSの場合は、簡単に導入できるというメリットがある反面、ネットワーク上の全てのパケットを受け取るため、許容量を超えてしまうと、データを取りこぼしてしまう可能性があります。

また、ホスト型IDSは、一台一台を詳細に監視することが出来ますが、監視する対象（ホスト）毎にインストールする必要があるので、手間がかかります。

最後に、なぜIDSが必要なのでしょうか？

当然第一にはハッカー・クラッカーからの攻撃を早期に発見してシステムを守るためです。

しかし、ホスト型IDSなどでは、ファイルの書き換えや、不正ログインなども検知できるため、昨今の個人情報の保護にも役立つといえます。

ちなみに、フォレンジック系のツールとの違いとしては、フォレンジックツールが証拠を残すことを主な目的としているのに対し、IDSはリアルタイムに、不正なアクセスを発見するという点ですね。