sg sg-security-measures unauthorized_access network incident_management
まず結論
IDS(Intrusion Detection System)は、不正な通信や操作を検知し、管理者へ通知する仕組みです。
SG試験では、IDSそのものの細かい製品知識よりも、次の切り分けが問われやすいです。
- IDSは「検知・通知」が中心
- IPSは「検知して遮断」まで行う
- NIDSは「ネットワーク上の通信」を見る
- HIDSは「サーバや端末内のログ・ファイル変更」を見る
特に、ネットワーク型IDSとホスト型IDSの監視対象の違いを混同させる選択肢に注意します。
直感的な説明
IDSは、建物でいうと監視カメラや警報装置のようなものです。
不審な人が入ってきたときに、すぐに捕まえるというより、
「いつもと違う動きがある」
「危険そうな行動がある」
「管理者に知らせよう」
という役割を持ちます。
そのため、IDSを入れたからといって、攻撃を必ず止められるわけではありません。
SG試験では、選択肢に“自動的に遮断する”と書かれていたら、IDSではなくIPSの説明ではないかを確認します。
定義・仕組み
IDSは、ネットワークやコンピュータの動きを監視し、不正アクセスや攻撃の兆候を検知するシステムです。
IPAが公開しているNIST文書の翻訳資料でも、侵入検知・防止システムは、組織がIDPS技術を理解し、設計・導入・運用・監視・保守するための考え方として整理されています。参考資料としては、IPAのNIST SP 800-94「侵入検知および侵入防止システムに関するガイド」が確認できます。
IDSは、大きく次の2つに分けて考えると理解しやすいです。
| 種類 | 見るもの | 得意なこと | 注意点 |
|---|---|---|---|
| NIDS | ネットワーク上の通信 | 通信の異常や攻撃パターンの検知 | 暗号化通信の中身は見えにくい |
| HIDS | サーバ・端末内のログやファイル | ログイン異常、ファイル改ざん、システム変更の検知 | 監視対象ホスト以外の通信全体は見えない |
NIDSは、ネットワーク上を流れるパケットを監視します。
そのため、ネットワーク全体の通信傾向を見るのに向いています。
一方で、SSL/TLSなどで暗号化された通信の中身は、復号しない限り詳しく解析できません。
選択肢で「ネットワーク型IDSなら、SSLを利用した通信内容も必ず検知できる」と書かれていたら注意です。
HIDSは、監視対象のサーバや端末に導入し、ログ、ファイル変更、プロセス、設定変更などを監視します。
そのため、ネットワーク上のパケットだけでは分かりにくい、ホスト内部の異常に気づけることがあります。
どんな場面で使う?
IDSは、攻撃を完全に防ぐためというより、異常を早く見つけて対応につなげるために使います。
たとえば、次のような場面です。
- 外部からの不審な通信を検知したい
- サーバへの不正ログインの兆候を見つけたい
- 重要ファイルの改ざんを検知したい
- 攻撃を受けた可能性をログから確認したい
- インシデント対応の初動判断に使いたい
SG試験では、IDSは技術的対策でありながら、運用とセットで考えることが大切です。
IDSがアラートを出しても、担当者が確認しなければ意味がありません。
また、誤検知が多すぎると、本当に重要なアラートを見落とすおそれがあります。
そのため、実務では次のような流れで考えます。
- IDSで異常を検知する
- アラートやログを確認する
- 影響範囲を調べる
- 必要に応じて遮断・隔離・復旧を行う
- 再発防止策を見直す
IDSは、インシデント対応の入口になる仕組みと考えると分かりやすいです。
よくある誤解・混同
IDSとIPSの違い
IDSは、主に検知して通知する仕組みです。
IPSは、検知した通信を遮断する仕組みです。
| 用語 | 役割 | 判断ポイント |
|---|---|---|
| IDS | 検知・通知 | 気づくための仕組み |
| IPS | 検知・遮断 | 止めるところまで行う仕組み |
選択肢では、IDSの説明なのに「不正通信を自動的に遮断する」と書かれていたら、IPSと混同している可能性があります。
NIDSとHIDSの違い
NIDSは、ネットワーク上の通信を監視します。
HIDSは、サーバや端末の内部状態を監視します。
| 用語 | 監視対象 | 切り分けポイント |
|---|---|---|
| NIDS | 通信パケット | ネットワークを流れる通信を見る |
| HIDS | ログ・ファイル・プロセス | ホスト内の変化を見る |
SG試験では、ここがよくひっかけになります。
- 「NIDSでホスト上のファイル改ざんを検知する」→ 原則として不適切
- 「HIDSでネットワークセグメント全体の不正パケットを検知する」→ 原則として不適切
- 「HIDSで対象サーバのログイン異常やファイル変更を検知する」→ 適切
暗号化通信とIDS
NIDSは通信を監視しますが、暗号化された通信の中身までは簡単に見られません。
そのため、選択肢で、
「SSL/TLSを利用した通信の中身も、NIDSで常に解析できる」
のように書かれていたら注意します。
復号の仕組みがなければ、NIDSが見られるのは主に通信先、通信量、タイミングなどの外側の情報になります。
シグネチャ検知だけで考えない
IDSには、既知の攻撃パターンと照合するシグネチャ型の検知があります。
ただし、IDSの検知はそれだけではありません。
特にHIDSでは、通信パケットそのものではなく、ログやファイル変更など、ホスト側に残る変化を監視できます。
そのため、ネットワーク上のパケットを細工してNIDSの検知をすり抜けようとしても、サーバ側に不審なログインやファイル変更が残れば、HIDSで気づける場合があります。
ここで大切なのは、何を監視しているIDSなのかを見て選択肢を切ることです。
まとめ(試験直前用)
- IDSは「検知・通知」、IPSは「検知・遮断」
- NIDSはネットワーク通信、HIDSはホスト内のログやファイルを見る
- 暗号化通信の中身は、NIDSだけでは見えにくい
- ファイル改ざんやログイン異常は、HIDSの得意分野
- SG試験では「監視対象がネットワークかホストか」で選択肢を切る
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】