TOPNetwork > 侵入検知システムの基本と現状、そして今後(下)

Network

侵入検知システムの基本と現状、そして今後(下)

2018/03/16

Mary K. Pratt CSO

 侵入検知システム(IDS)は、ネットワーク上を流れるトラフィックやシステムの通信を監視して、疑わしい挙動や既知の脅威が含まれていないかどうかを調べ、見つけた場合は警告を通知する。企業のIT部門は、自社のIT環境で生じている不審な動きを把握する目的でIDSを導入する。

前回から続く)

 またIDSは、トラフィックが暗号化されている場合のマルウエアの検知が問題になることがある。加えて、インバウンドトラフィックの速度や分散性により、企業でIDSの有効性に限界が生じる場合もある。

 Hanselman氏は次のように説明する。「100Mビットのトラフィックを処理できるIDSを導入していたとしても、200Mビットのトラフィックが来たり、トラフィックが分散したりといった状況で、IDSが確認するのが3~4パケットにつき1パケットとなる可能性もある」

侵入検知の今後

 こうした限界があるとしても、機能としてのIDSの価値を否定するものではないとHanselman氏は強調する。

 「完璧なセキュリティツールは存在しない。どの製品にもそれぞれ盲点があり、その盲点を知ることが課題だ。IDSは今後も長きにわたって役割を果たすという私の考えは変わっていない。ネットワーク上で悪質なトラフィックを具体的に特定できることには、現在も本質的な価値がある」

 現在でもIDSの導入は依然としてセキュリティ上のベストプラクティスとされている。だが、各氏の話によると、企業や組織の中には、IDSの限界を踏まえて、IDSが必要なのかどうかを再考しているところもある。

↑ページ先頭へ