UTM機能

●IDS・IPSの種類

IDS・IPSには、監視対象が異なる「ネットワーク型」と「ホスト型」があります。

・ネットワーク型
ネットワーク上に配置し、ネットワークを流れる通信を監視・解析し異常を検知します。
＜ネットワーク型のメリット＞
既存のサーバーへの変更が必要ないため、導入が容易です。

・ホスト型
監視したいサーバーにインストールし、外部との通信の結果発生するサーバー内のデータを監視します。ログの改ざんや不正アクセスなど、サーバー内でのさまざまな異常を検知します。
＜ホスト型のメリット＞
外部との通信の結果発生するデータを監視するため、暗号化された通信による攻撃も検知することができます。

●IDS・IPSによる検知の仕組み

IDS・IPSで悪意ある通信を検知する方法には、「アノマリ型」と「シグネチャ型」の2種類があります。

・アノマリ型
アノマリ（anomaly）は、通常の状態から逸脱した状態、異常な状態であることを指します。アノマリ型の検知では、トラフィックの状況などから、通常の通信にはない動きがあった場合に異常と判断し、検知します。
＜アノマリ型検知のメリット＞
通常とは異なる通信を「異常」と判断するため、未知の脅威にも対応することができます。

・シグネチャ型
シグネチャ（signature）は、一般的には「署名」の意味合いを持ちますが、セキュリティの分野では既存のサイバー攻撃を検知するためのパターンを指します。シグネチャ型の検知では、パターンに一致する通信があった場合は「異常」と検知します。
＜シグネチャ型検知のメリット＞
パターンがある既知の攻撃を正確に検知することができます。

●IDS・IPSとFirewallの違い

IDS・IPSとFirewallには、不正通信へのセキュリティ対策という共通点がありますが、役割が異なります。
Firewallでは外部からの通信をブロックし、内部から外部への通信とその戻りの通信のみ許可しますが、許可した通信に異常があるかどうかまでの確認は行うことはできません。IDS・IPSも導入して併用することで、異常な通信を検知し、セキュリティを強化することができます。