ランサムウェアとは?感染経路と近年の動向について
2023.12.25
リモートアクセスVPNとは?拠点間VPNとの違いや仕組みについて解説!
2024.1.22アノマリ検知とは?シグネスチャ検知との違いを解説!
セキュリティ運用で大事な役割を担う、IDS(不正侵入検知システム)とIPS(不正侵入防止システム)は組織のネットワークセキュリティに欠かせないものですが検出方法が2種類あることをご存知ですか?
検出方法には、シグネスチャ検知(不正検出)とアノマリ検知(異常検出)がありそれぞれ特徴があります。
今回は、アノマリ検知とシグネスチャ検知の違いについて解説します。
アノマリ検知とは?
アノマリ検知とは、IDS・IPSの検知する手法の一つです。
通常時の通信パターンやデータ転送時の上限下限をあらかじめ定義しておき、明らかに設定を超えるような通信量や異なるプロトコルでの通信が発生した際は、全て異常とみなして不正アクセスの恐れがあると判断しアラートを出すような仕組みとなります。
シグネスチャ検知との違い
シグネスチャ検知は、データベースに不正パターンを登録し、登録した値に一致する通信を不正アクセスとして検知する方法のことです。
シグネスチャ検知の優れている部分は、一度経験した攻撃を正確にブロックできるため、攻撃パターンの情報さえ定義しておけば高い防御力を発揮します。
しかし設定していないパターンの未知の脅威などに対しては対応できないため防御力が低いと言えます。
まとめ
アノマリ検知とは、通常のネットワークトラフィックのパターンを学習させて、それ以外の異常な振る舞いを検知することが可能なため従来のシグネスチャ検知と比べて未知の脅威に対して有効な対策が可能ですが、一方で通常のトラフィックから外れたパターンも検知してしまうため誤検知が起こりやすいデメリットもあります。
アノマリ検知は万能ではないため、シグネスチャ検知と組み合わせることで、その能力を発揮できます。
日々新しい脅威が生み出されているため、シグネスチャ検知のみでの運用では常にルールを更新し続けなければならないためルールセットが肥大化することが予想されます。
有効な対策としては一つと検知システムに依存するのではなく、アノマリ検知とシグネスチャ検知の両方で多層防御を行うことで最善のセキュリティ運用が可能になることでしょう。
現在では、UTM(統合脅威管理システム)と、SIEM(統合セキュリティ管理ツール)を併用した対策が主流となっています。
