はじめに
企業ネットワークにおける防御は「入口」だけでは不十分です。
攻撃者が一度でも内部に侵入した場合、最後の砦となるのが ホスト単体の防御機構 です。
そこで重要になるのが HIDS と HIPS です。
1. HIDS(Host-based Intrusion Detection System)とは?
HIDSは、ホスト上で発生する不審な活動を監視・検知するソフトウェアです。
特徴は「検知(Detection)」に特化している点です。
基本的にはログやイベントを監視し、異常を通知します。
HIDSの主な監視対象
- プロセスの生成・終了
- ファイルの改ざん(File Integrity Monitoring)
- レジストリ変更
- ログ改ざん
- 不審なネットワーク通信
- 権限昇格の兆候
特にファイル整合性監視(FIM)は重要で、
ハッシュ値を保存しておき、変更を検知します。
HIDSの検知方式
① シグネチャベース検知
既知の攻撃パターンと照合する方式。
- チェックサム比較
- ハッシュ値検証
- 攻撃シグネチャとの照合
メリット
- 精度が高い
- 誤検知が少ない
デメリット
- 未知の攻撃に弱い(ゼロデイ)
② アノマリーベース検知
正常状態を学習し、異常な挙動を検知する方式。
例:
- 通常使われないポート通信
- 異常なCPU使用率
- 突然の大量ログ削除
メリット
- 未知攻撃に強い
デメリット
- 誤検知が発生しやすい
代表的なHIDS製品
OSSEC
- オープンソース
- ログ分析
- ファイル整合性監視
- ルートキット検知
Wazuh
- OSSECの拡張版
- SIEM統合
- エンタープライズ向け機能
2. HIPS(Host-based Intrusion Prevention System)とは?
HIPSはHIDSの進化形です。
最大の違いは、
検知だけでなく自動的に防御まで行うこと。
HIPSの主な機能
- 不審プロセスの強制終了
- DLLインジェクション防止
- メモリアクセス監視
- 不審通信遮断
- レジストリ保護
- 特権昇格ブロック
つまり、
HIDS = 監視員
HIPS = 監視員+即時対応部隊
HIPSは複合型セキュリティ
多くのHIPSは以下を統合しています:
- アンチウイルス
- 振る舞い検知
- ホスト型ファイアウォール
- アプリケーション制御
- メモリ保護
現在ではEDR製品に組み込まれているケースが一般的です。
代表例
Microsoft Defender for Endpoint
- 振る舞い検知
- ASR(Attack Surface Reduction)
- 自動隔離機能
- メモリ攻撃対策
企業では標準的なエンドポイント防御。
3. HIDS vs HIPS 比較
| 項目 | HIDS | HIPS |
|---|---|---|
| 目的 | 検知 | 検知+防御 |
| 攻撃遮断 | ❌ | ✅ |
| 誤検知影響 | 小 | 業務停止リスクあり |
| 主な用途 | 監視・分析 | 即時防御 |
4. レッドチーム視点での考察
攻撃者視点では、
- ログ生成を最小化する
- 異常な挙動を避ける
- 正常プロセスに偽装する
- 通常業務トラフィックに紛れる
ことが重要になります。
HIDS/HIPSを理解することは、
防御だけでなく攻撃検知回避の理解にも直結します。
5. 現代の進化形:EDR/XDR
現在は単体のHIDS/HIPSよりも、
- EDR(Endpoint Detection & Response)
- XDR(Extended Detection & Response)
へと進化しています。
AIベースの行動分析が主流となり、
単純なシグネチャ依存型防御は減少しています。
まとめ
HIDSは「検知の目」
HIPSは「防御の盾」
どちらも多層防御の重要な構成要素です。
ネットワーク側の防御(NIDS/NIPS)と組み合わせることで、
初めて強固なセキュリティ体制が完成します。