sg sg-security-measures threat_vulnerability unauthorized_access incident_management
まず結論
シグネチャ型検知は、既知の攻撃パターンと照合して検知する方法です。
異常検知は、普段の状態から外れた動きを見つけて検知する方法です。
SG試験では、次のように切り分けると判断しやすくなります。
- 既知の攻撃に強い → シグネチャ型検知
- 未知の攻撃や不自然なふるまいに気づきやすい → 異常検知
- 誤検知が比較的少ない → シグネチャ型検知
- 誤検知が起きやすい → 異常検知
選択肢では、「既知のパターン」なのか「通常と違う動き」なのかを見て判断します。
直感的な説明
シグネチャ型検知は、指名手配リストと照合するイメージです。
「この顔、この服装、この手口は危険人物として登録されている」
という情報と一致したら、危険だと判断します。
一方、異常検知は、いつもの行動と違う人を見つけるイメージです。
「夜中に普段使わない部屋へ入っている」
「いつもより大量の荷物を外へ持ち出している」
「通常とは違う場所からログインしている」
このように、事前に攻撃名を知らなくても、普段と違う動きから気づく考え方です。
つまり、シグネチャ型検知は登録済みの危険を見つける方法、異常検知はいつもと違う動きを見つける方法です。
定義・仕組み
シグネチャ型検知は、既知の攻撃コード、通信パターン、不正な文字列、マルウェアの特徴などをあらかじめ登録しておき、監視対象と照合する検知方法です。
この登録された攻撃の特徴を、シグネチャと呼びます。
たとえば、次のようなものを手がかりにします。
- 既知マルウェアの特徴
- 攻撃に使われる通信パターン
- 不正なコマンドや文字列
- 脆弱性を突く既知の攻撃手口
一方、異常検知は、通常時の通信量、ログイン傾向、アクセス回数、利用時間帯などを基準にして、そこから外れた動きを検知します。
たとえば、次のようなものです。
- 深夜に大量のログイン失敗がある
- 普段アクセスしないサーバへ急に接続している
- 通常より大量のデータを外部へ送信している
- いつもと違う国や端末からログインしている
IPAが公開しているNIST文書の一覧では、侵入検知・侵入防止システムの参考資料として、NIST SP 800-94「侵入検知および侵入防止システム(IDPS)に関するガイド」が紹介されています。IDSやIPSの検知方式を理解するときは、製品名よりも「何を手がかりに検知するか」を押さえることが大切です。
整理すると、次のようになります。
| 検知方法 | 見ているもの | 得意なこと | 注意点 |
|---|---|---|---|
| シグネチャ型検知 | 既知の攻撃パターン | 登録済みの攻撃を正確に見つける | 未知の攻撃に弱い |
| 異常検知 | 通常状態との差 | 未知の攻撃や不自然な動きに気づく | 誤検知が増えやすい |
どんな場面で使う?
シグネチャ型検知は、既に知られている攻撃を効率よく検知したい場面で使われます。
たとえば、次のような場面です。
- 既知マルウェアの感染を検知したい
- よく知られた攻撃パターンを見つけたい
- IDSやIPSで定義済みルールに一致する通信を検知したい
- ウイルス対策ソフトで既知のマルウェアを検出したい
ただし、新しい攻撃や、少し形を変えた攻撃は、シグネチャに登録されていなければ検知できないことがあります。
異常検知は、未知の攻撃や内部不正の兆候に気づきたい場面で使われます。
たとえば、次のような場面です。
- 普段と違う大量通信を検知したい
- 不自然なログインを見つけたい
- 内部利用者による情報持ち出しの兆候を見つけたい
- まだ攻撃パターンが登録されていない動きに気づきたい
ただし、異常検知は「いつもと違う」ことを検知するため、正当な業務変更も異常として検知することがあります。
SG試験では、異常検知を「未知の攻撃を必ず正確に検知できる万能な方法」と考えないことが大切です。
よくある誤解・混同
誤解1:シグネチャ型検知なら未知の攻撃にも強い
これは誤りです。
シグネチャ型検知は、基本的に登録済みの攻撃パターンと照合します。
そのため、まだ登録されていない未知の攻撃や、形を変えた攻撃には弱くなります。
選択肢で、
「シグネチャ型検知は未知の攻撃を検知するのに適している」
と書かれていたら注意します。
誤解2:異常検知なら誤検知が少ない
これも誤りです。
異常検知は、普段と違う動きを検知するため、正常な業務上の変化も異常と判断することがあります。
たとえば、月末処理で通信量が増えた場合や、出張先からログインした場合でも、通常と違う動きとして検知されることがあります。
そのため、異常検知は未知の兆候に気づきやすい一方で、誤検知への対応が必要です。
誤解3:どちらか一方だけ使えばよい
実務では、シグネチャ型検知と異常検知を組み合わせることがあります。
- 既知の攻撃はシグネチャで素早く検知する
- 未知の攻撃や不自然なふるまいは異常検知で気づく
- アラートを確認し、ログや状況から本当に危険か判断する
SG試験では、検知方法を単体で丸暗記するよりも、得意な攻撃と苦手な攻撃をセットで覚えると選択肢を切りやすくなります。
IDS・IPSとの関係
シグネチャ型検知や異常検知は、IDSやIPSで使われる検知の考え方です。
ここで混同しやすいのは、次の点です。
- IDSは検知・通知が中心
- IPSは検知して遮断まで行う
- シグネチャ型検知と異常検知は、検知の方法
つまり、IDSとIPSは「何をする仕組みか」、シグネチャ型検知と異常検知は「どう検知するか」の違いです。
まとめ(試験直前用)
- シグネチャ型検知は、既知の攻撃パターンと照合する
- 異常検知は、通常状態から外れた動きを見つける
- 未知の攻撃に気づきやすいのは異常検知
- 誤検知が増えやすいのも異常検知
- SG試験では「既知のパターンか、通常との差か」で選択肢を切る
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】