アノマリ検知とは
アノマリ検知とは、IDS・IPSが実施する不正アクセスを検知する方法のことです。アノマリは、英語で「anomaly」と表記し「異常」を意味します。アノマリ型のIDS・IPSは正常パターンを定義し、登録している範囲から外れた挙動をすべて異常と検知します。
例えば、プロトコルやトラフィック量が登録している値と異なる場合などに、不正アクセスと判断する仕組みです。そのため、アノマリ型は未知の脅威を検知しやすい傾向にあるでしょう。しかし、正常値の定義にミスがあると、誤検知する可能性もあります。業務に必要な通信も異常と検知してしまうと、管理する手間が増加し、業務に支障が出るおそれもあるでしょう。新しい通信が増える際には、正常値の再定義が求められます。
シグネチャ型のIDS・IPSとの違い
IDS・IPSの不正アクセスの検知方法には、アノマリ型のほかにシグネチャ型もあります。シグネチャ型とは、不正検出型といわれ、データベースに不正パターンを登録し、定義した値に一致する通信を不正アクセスとして検知する方法のことです。
シグネチャ型は既知の攻撃に対しては高い精度で検知できますが、シグネチャに登録されていない未知の攻撃や新しい攻撃(ゼロデイ攻撃)には対応できないという弱点があります。一方、アノマリ検知は振る舞いを基準にするため、未知の脅威を発見できる可能性があります。両者の違いを以下の表にまとめました。
| 項目 | アノマリ型 | シグネチャ型 |
|---|---|---|
| 検知対象 | 振る舞い・パターン | 既知の攻撃パターン |
| 得意な攻撃 | 未知の脅威、ゼロデイ攻撃 | 既知の攻撃、ワーム |
| 苦手な攻撃 | 正常を装った巧妙な攻撃 | 未知の攻撃、亜種ウイルス |
| 誤検知 | 多い傾向(チューニングが必要) | 少ない |
| 運用負荷 | 高い傾向 | 比較的低い |
未知の脅威に備えたい場合はアノマリ型、防御したい攻撃が明確な場合はシグネチャ型IDS・IPS製品の導入が効果的です。以下のページでは、おすすめIDS・IPS製品を比較しているため、セキュリティシステム導入の参考にしてください。
しきい値で実施する監視との差
しきい値とは、通信料やCPU使用率、プロトコルなどをあらかじめ定義した値のことです。定義したしきい値と異なる場合に、異常と判断する方法は、セキュリティ対策の主流でした。しかし、多様化する脅威への対応や長期間かけて徐々に変化する値を検知するのは、困難です。
アノマリ検知は、しきい値で判断するだけではなく過去のデータと比較して検知できます。定義されたしきい値以外の異常や、障害の予兆も検知できるため、アノマリ検知は効果的なセキュリティ対策として利用されています。
以下のボタンではITトレンドがおすすめするIDS・IPS製品について、無料で一括資料請求ができるため、ぜひご覧ください。
「自社に合うIDS・IPS製品を診断してから資料請求したい」、「どんな観点で選べばいいかわからない」という方向けの診断ページもあります。
アノマリ検知を導入するメリット・デメリット
アノマリ検知の導入には、大きなメリットがある一方で、注意すべきデメリットも存在します。それぞれを正しく理解し、対策を検討することが重要です。
メリット:未知の脅威やサイレント障害に気付ける
アノマリ検知の最大のメリットは、シグネチャ型では検知できない未知のサイバー攻撃やゼロデイ攻撃に対応できる点です。攻撃パターンではなく「振る舞い」を監視するため、過去に例のない新しい手口の攻撃であっても、異常な兆候として捉えることができます。
また、システム運用監視の観点では、しきい値に達しないものの徐々にリソースを圧迫していくような「サイレント障害」の予兆を検知できることも大きな利点です。これにより、深刻なシステムダウンが発生する前に対処できる可能性が高まります。
デメリット:誤検知(フォールスポジティブ)の可能性
アノマリ検知のデメリットは、誤検知(フォールスポジティブ)が発生しやすい点です。例えば、システムのアップデートや正常な業務による一時的なアクセス急増など、問題のない振る舞いを「異常」と判断してしまうことがあります。
誤検知が多発すると、管理者の確認作業が増大し、本当に危険なアラートが埋もれてしまうリスクがあります。このため、アノマリ検知を導入する際は、自社の環境に合わせてベースラインを適切に学習させたり、検知ルールを調整(チューニング)したりする運用が不可欠です。
アノマリ検知が活用される主なシーン
アノマリ検知技術は、ITのさまざまな分野で活用されています。ここでは、代表的な2つの活用シーンを紹介します。
セキュリティ(IDS/IPS・NDR)
最も代表的な活用シーンが、IDS(不正侵入検知システム)やIPS(不正侵入防御システム)といったセキュリティ製品です。ネットワークを流れる通信を監視し、マルウェアの感染拡大や不正アクセスなどの異常な振る舞いを検知・ブロックします。
近年では、より広範囲のネットワーク通信を監視・分析するNDR(Network Detection and Response)と呼ばれるソリューションでも、アノマリ検知が中核技術として利用されています。
システム運用監視(APM・サーバー監視)
システムの安定稼働を目的とした運用監視の分野でも、アノマリ検知は重要です。APM(Application Performance Management)ツールやサーバー監視ツールに搭載され、アプリケーションの応答時間の悪化やサーバーリソースの異常な消費を検知します。
これにより、ユーザーに影響が出る前にパフォーマンスの問題を発見し、原因の特定が可能になります。障害の未然防止や迅速な復旧に貢献する技術です。
IDS・IPSの注意点
IDS・IPS製品を導入すると、不正アクセスを検知し遮断できます。製品により、脅威の検知方法や監視方法があり、対応範囲も異なります。ここでは、IDS・IPS導入の注意点を解説するので、セキュリティ対策の参考にしてください。
IDS・IPSは運用の負荷が大きい
IDS・IPSには、脅威を監視する方法としてネットワーク型とホスト型があります。しかし、どちらも運用の負荷が大きいといえるでしょう。ホスト型IDS・IPS製品では、サーバやコンピュータなどホストのリソースを多く使用します。IDS・IPS製品を運用すると負担は増大し、通信速度が遅くなるなどパフォーマンス低下の可能性もあるでしょう。
ネットワーク型のIDS・IPS製品では、ネットワークの通信をすべて確認するため、多くのリソースが求められます。また、監視対象の情報も一定期間保存しておくため、メモリも圧迫する場合もあるでしょう。IDS・IPS製品を導入する際は、自社のネットワークやサーバの利用状況を把握する必要があります。
多層防御が必要
IDS・IPS製品は、不正アクセスの検知に対応していますが、多様化する脅威の対策に万全とはいえません。セキュリティ対策の強化には、複数のセキュリティシステムを併用した「多層防御」が求められるでしょう。
IDS・IPS製品ではWebアプリケーションに対する防御ができません。Webアプリケーションの防御に特化したWAFも導入し、守備範囲を広げる必要もあるでしょう。また、通信の送信元や宛先の監視をするファイアウォールも効果的です。IDS・IPSは通信の中身を監視するため、ファイアウォールと併用することで、セキュリティ大作の強化につながるでしょう。
ITトレンドがおすすめするIDS・IPS製品には、WAFやファイアウォールも搭載したシステムもあります。まずは人気の製品について知りたい方は、以下のボタンより最新の資料請求ランキングをご覧ください。
アノマリ検知を理解して適切なセキュリティ対策をしよう
アノマリ検知とは、あらかじめ定めた値と異なる挙動をした際に、異常と判断する脅威の検知方法です。一方シグネチャ型では、不正パターンを設定し定められた値に対して異常と判断します。従来は、しきい値で判断するセキュリティ対策が主流でした。しかし脅威の多様化に伴い、しきい値だけではなく過去のデータと比較し判断できるアノマリ検知の採用が増加傾向にあります。
IDS・IPSは、運用の負荷が大きいため注意しましょう。また、IDS・IPSだけでは対応できない脅威には、多層防御が求められます。アノマリ検知をはじめとする防御について理解をして、自社にあうセキュリティ対策を実施しましょう。
