侵入検知とは何ですか?
侵入検知は、コンピュータネットワークまたは物理的なコンピュータシステムへの不正なアクセス試行に気付くことに対処します。 その目的は、不正な情報へのアクセスを許可したり、データの整合性に悪影響を及ぼしたり、ネットワーク内のアクセスが失われたりする脅威を検出することです。 通常、ネットワークに接続している、または物理ホストにアクセスしている他のユーザーに関するさまざまな情報を検出、記録、記録する侵入検知システム(IDS)を使用して実装されます。 これらのシステムは、単に交通情報を記録するソフトウェアソリューションから、警備員、カメラ、モーションセンサーを含む物理システムにまで及びます。
侵入検知には、ネットワークベース、ホストベース、物理的な方法を含む3つの主要なタイプがあります。 ネットワークベースの方法は、疑わしいネットワークトラフィックにフラグを立てようとし、通常、ネットワークを流れるトラフィックとパケットを記録するプログラムを使用します。 ホストベースの方法では、物理コンピューターシステムへの侵入の可能性を探し、ファイルの整合性をチェックし、ルートキットを特定し、ローカルセキュリティポリシーを監視し、ログを分析します。 物理的な方法では、物理デバイスのセキュリティ問題を特定し、人、セキュリティカメラ、ファイアウォール、モーションセンサーなどの物理的な制御を使用します。 機密データと重要なシステムを使用する多くのビジネスでは、これらの方法を組み合わせてセキュリティを最大限に高めることが望まれます。
通常、侵入検知システムは侵入の発生を防止しません。 代わりに、発生したイベントをログに記録するだけなので、他の人が情報を収集して分析できます。 これは特にネットワークベースおよびホストベースの侵入検知方法に当てはまりますが、ファイアウォールやセキュリティ担当者などの一部の物理的方法には当てはまらない場合があります。 ファイアウォールは、多くの場合、疑わしいトラフィックをブロックする機能を提供し、アクセスを許可するものと許可しないものを学習できます。 セキュリティ担当者は、人々が会社やデータセンターに物理的に侵入するのを防ぐこともできます。監視されているトラップとアクセス制御システムは、誰かが侵入するのを防ぐことができる他の物理的な方法です。
侵入検知システムの制限により、多くの組織は、侵入防止システム(IPS)を使用して、疑わしい活動が発生したときにアクションを実行することも意味しています。 これらのシステムの多くは、侵入検知システムの機能を備えており、セキュリティ侵害への対応が重要な場合に役立つ、よりバランスの取れたセキュリティシステムを提供します。 IPSは、疑わしいトラフィックまたはポリシー違反を検出すると、ポリシーで設定されたアクションを実行します。 情報セキュリティの従業員またはシステム管理者は、通常、IPSが各イベントに応答するために使用するポリシーを構成します。