HIDS（ホストベース侵入検知システム）とは？

HIDSとNIDSの比較

ホストベース侵入検知システム（HIDS）は、ネットワーク侵入検知システム（NIDS）と一部類似点がありますが、同じ種類のソリューションではありません。

NIDSは、ネットワークスイッチのログなどのデータソースを活用し、ネットワークの観点から不審な活動を監視します。このデータを分析することで、NIDSは不審な活動を検知することが可能です。

一方、HIDSもネットワーク活動を監視する場合がありますが、その視点は個々のホスト単位であり、スイッチのような集中型ネットワーク機器ではありません。さらに、HIDSにとってネットワークデータは、セキュリティ分析の目的で使用される多くのデータソースの一つに過ぎません。

ホストベース侵入検知はどのように機能するのか？

ホストベース侵入検知システムは、サーバーやコンピュータなどのホストシステムからデータを収集し、そのデータに異常や不審な活動がないかを分析することで機能します。

HIDSツールが分析するデータには、認証ログ（ログインイベントを記録する）などのセキュリティ関連のデータソースが含まれる場合があります。ただし、HIDSは通常、アプリケーションログやオペレーティングシステムログなど、他の種類のデータも分析します。後者のデータはセキュリティに特に関係するものではありませんが、それらのデータセット内の異常なパターンはセキュリティ問題に関連している可能性があります。

例えば、HIDSはネットワークトラフィックの流れを監視し、アプリケーションが突然、これまで未知の外部IPアドレスから大量のリクエストを受け取り始めたことを検出できます。この活動は、ブルートフォースログインの試み、または攻撃者が悪用できるアプリケーションの脆弱性を探る試みの兆候である可能性があります。この情報を基に、セキュリティチームは問題のあるIPアドレスをブロックすることが可能です。

可能な限り正確な結果を提供するためには、HIDSは異なる種類のデータソースを連携・相関させる必要があります。これにより、潜在的なセキュリティイベントに関するより深い文脈の把握が可能となります。

例えば、ネットワークトラフィックログをアプリケーションイベントログと併せて分析することで、HIDSはネットワーク上の異常な活動がアプリケーションの異常な活動と相関しているかどうかを判断できます。

前者のケースでは、攻撃者がアプリケーションの脆弱性を探ろうとしているが、まだ成功していない可能性があります。後者のケースでは、攻撃者がアプリケーションに侵入した可能性があり、そのためHIDSはアプリケーションの異常な振る舞いとネットワーク上の異常なトラフィックパターンの両方を検出します。

HIDSの種類

ホストベース侵入検知システム（HIDS）は、導入方法に基づいて主に2つのカテゴリーに分類されます：

• エージェントベースHIDS：エージェントベースHIDSは、各ホストにインストールされたソフトウェアエージェントに依存し、ホストから情報を収集します。ホスト上でエージェントを実行するため、ホストのリソース使用率が増加する「負荷の大きい」アプローチです。
• エージェントレスHIDS：エージェントレスHIDSでは、ネットワーク経由でのデータストリーミングなど、エージェントに依存せずにホストからの情報を収集します。このタイプのHIDSは実装がより複雑であり、エージェントレスHIDSはエージェントベースのソリューションほど多くのデータにアクセスできない場合がありますが、リソース消費が少ないという利点があります。

HIDSの構成要素

導入されるHIDSのタイプにかかわらず、HIDSソリューションには通常、以下の3つの主要な構成要素が含まれます：

• データ収集装置：エージェント方式またはエージェントレス方式のいずれかを使用し、HIDSはホストからデータを収集するセンサーを展開します。
• データストレージ：収集されたデータは通常、集約され、中央の場所に保存されます。データは分析に必要な期間以上は保持されますが、組織によっては後日の参照用にデータを保持する選択も可能です。
• 分析エンジン：HIDSは収集した各種データソースを処理・評価するために分析エンジンを利用します。分析の目的はパターンや異常を検知し、それらがセキュリティリスクや攻撃の結果である可能性を評価することにあります。

HIDSの機能

HIDSが潜在的なセキュリティ問題を検知した後、主に3つの対応が可能です。

アラート通知

まず第一に、アラート通知です。これはIT部門および／またはセキュリティチームに対し、潜在的なセキュリティ問題を通知するプロセスです。

理想的には、HIDSのアラート機能は、HIDSが特定した各セキュリティリスクの深刻度を評価し、それに応じてアラートを生成できる必要があります。例えば、低リスクのセキュリティイベントは、そのようにラベル付けされるべきであり、エンジニアがそれらのアラートは即時の対応を必要としない可能性が高いことを認識できるようにします。

レポート作成

HIDSプラットフォームは、IT環境内のセキュリティ状態全体に関するレポートを生成できます。レポートに含まれるデータは様々ですが、例えば、HIDSが時間経過とともに特定したセキュリティリスクの数や種類、あるいは異なる種類のホスト（WindowsベースのホストとLinuxベースのシステムなど）間でセキュリティ問題がどのように異なるかなどが含まれる場合があります。

レポート作成は、時間の経過に伴うセキュリティの傾向を評価するだけでなく、組織のセキュリティ態勢を示すためにも有用です。

対応

場合によっては、HIDSツールはリスクの是正を支援する特定の自動対応活動を実行できます。例えば、HIDSが特定の外部エンドポイントが自社のサーバーをスキャンしようとしていると判断した場合、自動的にファイアウォールルールを生成してそのスキャンをブロックすることが可能です。このような自動的な是正措置は、エンジニアの時間と労力を節約するだけでなく、セキュリティリスクを即座に遮断することを保証します。

HIDSのセキュリティ上の考慮事項とベストプラクティス

HIDSを最大限に活用するためには、以下のようなベストプラクティスをご検討ください：

• すべてのホストを監視する：一部のホストのみを監視するHIDSは、その価値が限定的です。セキュリティリスクに関する可能な限り広範な状況把握を得るためには、HIDSがすべてのホストを監視すべきです。そうすることで、セキュリティ問題がホスト間で拡散するかどうか、またその速度、さらに攻撃の対象となっているホストの数を把握できます。また、多数のホストを同時に攻撃しようとする試みではなく、単一のホストのみを標的とした攻撃も検出可能となります。
• データの文脈化：前述の通り、HIDSが分析するデータソースを統合すればするほど、潜在的なセキュリティリスクに関する文脈情報は豊富になります。実際のリスクと誤検知を区別し、正確なアラートを生成するには、この文脈情報が極めて重要です。
• スマートアラートの設定：エンジニアが「アラート疲労」に陥るのを防ぐため、HIDSは対応が必要なイベントのみを通知するよう設定すべきです。また、アラートは深刻度レベルに基づいて分類され、エンジニアは優先付けするべきアラートを判断できるようにする必要があります。
• エージェントレスHIDSの検討：エージェントベースのHIDSには利点（ホストベースデータへの容易なアクセスなど）がありますが、エージェントレスHIDSソリューションは、各ホストにソフトウェアエージェントをインストールする必要がないため、多くの点で導入・管理が容易です。また、リソース消費も軽微です。

これらの実践により、HIDSが最も実用的なセキュリティインサイトを最低の総コストで提供できるようになります。

HIDSの制限事項と難しい課題

HIDSはセキュリティ脅威に対する防御層の一つを提供しますが、あくまで一つの層に過ぎません。

HIDSプラットフォームはホストベースのセキュリティに特化しているため、アプリケーションソースコード内の脆弱性やパブリッククラウドワークロードなど、他の種類の脅威に対処するには難しい点があります。

そのため、私たちの環境全体のあらゆる側面における潜在的なセキュリティリスクに対して包括的な保護を得るためには、HIDSと併せて追加のセキュリティツールやサービスを導入することが重要です。

結論：現代のセキュリティアーキテクチャにおけるHIDSの役割

広範なセキュリティ戦略の一環として、HIDSはサーバー、PC、その他のホストに影響を与えるリスクを検出する上で有用なツールです。適切に構成されたHIDSを通じて得られた知見を活用することで、チームはホストが侵害される前にセキュリティ脅威に対処することが可能となります。