IDSとIPSの違いとは？仕組みや防げる攻撃・製品選びのポイントを解説

IDSとIPSの違い

IDSとIPSは、構築したネットワークやサーバーのセキュリティ対策に用いられる仕組みです。IDSとIPSの違いは、以下のとおりです。

IDSとIPSは、それぞれの特徴を理解したうえで、あわせて導入すると不正アクセスからネットワークを守れます。IDSとIPSの違いを理解して両者を最大限に活用しましょう。

IDSとは「不正侵入検知システム」

IDSとは「Intrusion Detection System」の略称で、不正侵入検知システムと呼ばれる社内ネットワークに不正侵入する脅威を検知するシステムです。

外部からの侵入を検知した際は、システム管理者に通知し迅速な対応が可能になります。IDSでは脅威の検知と通知ができますが、侵入を防ぐ機能は備わっていません。IDSのみ導入する場合は、脅威に対する防衛は人がおこなう必要があります。

IPSとは「不正侵入防御システム」

IPSとは「Intrusion Prevention System」の略称で、不正侵入防御システムと呼ばれる不正侵入する外部の脅威から社内ネットワークを防衛するシステムです。

ファイアウォールでは防ぎきれない外部の脅威にも対処可能になります。IPSだけではなくファイヤウォールと併用することで、セキュリティ強化を図るケースがほとんどです。

IDSとIPSにおける2つの検知方法

IDSとIPSにおける外部からの脅威を検知する方法は、以下の2つです。

それぞれの特徴を理解したうえで自社のニーズに合った検知方法を搭載するセキュリティ機器を導入しましょう。

シグネチャ型

シグネチャ型とは、システム内にあらかじめ不正侵入のパターンを登録しておき、登録情報と合致する通信のみを脅威と検知する方法です。

誤検知はほとんど起こりませんが、未知の脅威や登録漏れがあった場合は検知できないため注意しましょう。シグネチャ型のIDSやIPSを利用する場合、新たな脅威が発見されるたびに登録する必要があります。

アノマリ型

アノマリ型とは、システム内にあらかじめ正常なアクセスパターンを登録しておき、登録情報と合致しない通信すべてを脅威と検知する方法です。

未知の脅威を見逃さず対応可能ですが、シグネチャ型に比べると誤検知が発生する可能性が高いため注意が必要です。社内ネットワークを利用して、自社以外の外部と連携をとる際は、誤検知が発生しないようにあらかじめ登録しておきましょう。

IDSとIPSにおける2つの監視方法

IDSとIPSにおけるネットワークシステムの監視方法は、以下の2つです。

それぞれの特徴を理解したうえで自社のニーズに合った監視方法を搭載するセキュリティ機器を導入しましょう。

ネットワーク型

ネットワーク型とは、監視対象のネットワーク上に監視システムを導入し、外部からの侵入を監視する監視方法です。

比較的システムの導入が簡単で、リアルタイムでの侵入や攻撃の検出が可能な点がメリットになります。導入されているネットワークのみが監視対象なため、OSが記録するようなファイルは監視できない点に注意しましょう。

ホスト型

ホスト型とは、サーバ上に監視システムをインストールし、PCの通信履歴やファイルへのアクセスを監視する監視方法です。

ホスト型では、OSが記録する操作ログを監視できるため、ネットワークの侵入だけではなくファイルの改ざんも監視できます。システムをインストールしたホストのみが監視対象で、PCが複数ある場合はそれぞれにインストールする必要があります。

IDSやIPSと他のセキュリティツールの違い

IDSやIPSと似たセキュリティツールとして「WAF」や「ファイヤウォール」が挙げられます。

IDSやIPSは不正アクセスに対する有効な対応手段ですが、すべてに対応できるわけではありません。その他のセキュリティツールの特徴も理解したうえで、IDSやIPSと併用してセキュリティ対策の強化を図りましょう。

IDSやIPSとWAF

WAFは「Web Application Firewal」の略称で、WebサイトやWebアプリケーションの防御に特化したセキュリティシステムです。

IDSやIPSは、システムやネットワークなどを全般的に広く防御します。OSやミドルウェアの保護を強化したい場合は、IDSやIPSがおすすめです。IDSやIPSを導入しつつ、Webアプリケーションの保護にWAFを活用することで、より強固なセキュリティ対策になります。

IDSやIPSとファイアウォール

ファイアウォールは、IDSやIPSと同じく外部からの通信を検知し、社内ネットワークを脅威から防衛するシステムです。

IDSやIPSとは異なり、通信内容から判断するのではなく、通信の送信元と行先から判断されています。IDSやIPSと併用することで、通信の送信元と内容の二重チェックをおこないセキュリティを強固にできます。

IDSやIPSが検知・防御できる4つの攻撃

IDSやIPSが検知・防御できる外部からの攻撃は、以下の4つです。

IDSやIPSは優秀なセキュリティシステムですが、すべての脅威から守れるわけではありません。検知・防御できる外部からの攻撃はかならず把握しておきましょう。

1. DoS攻撃（DDoS攻撃）

DoS攻撃とは、大量のデータをネットワークを通じて相手に送りつけることによって、相手のシステムをパンクさせようとする攻撃です。

DoS攻撃はIPアドレスが正常なため、送信元の情報から判断するファイヤーウォールでは防ぎきれません。通信データの内容から判断するIDSやIPSであれば、Dos攻撃は簡単に判断できるため、IDSやIPSでは検知や防御が可能です。

2. マルウェア感染

マルウェア感染とは、コンピュータやネットワークに被害をもたらす不正プログラムである「マルウェア」をPCに感染させる攻撃です。

マルウェアにあたる不正プログラムは「ウイルス」や「ワーム」や「トロイの木馬」などが挙げられます。IDSやIPSを活用することで、マルウェア感染から自社のネットワークシステムやPCの脅威から守れます。

3. バッファオーバーフロー攻撃（BOF）

バッファオーバーフロー攻撃とは、PCの許容量を超える膨大なデータを送りつけ、PCの動作に不具合を起こすサイバー攻撃です。

バッファとは、プログラム実行時にデータを一時的に保持するメモリー領域のことです。メモリー領域の上限はあらかじめ決まっていますが、上限を超えるデータを受け取ることで、メモリー領域からデータが漏れるオーバーフロー状態に陥ります。

IDSやIPSを活用することで、バッファオーバーフロー攻撃から自社のネットワークシステムやPCの脅威から守れます。

4. Synフラッド攻撃

Synフラッド攻撃とはDoS攻撃の1つで、サーバーに「SYNパケット」を大量に送信することで、サーバーやシステムを停止させる攻撃です。

IDSやIPSを活用することで、Synフラッド攻撃から自社のネットワークシステムやPCの脅威から守れます。

IDSやIPSが検知・防御できない3つの攻撃

IDSやIPSが検知・防御できない外部からの攻撃は、以下の3つです。

IDSやIPSのみではすべての攻撃からネットワークシステムやPCを守れません。検知や防御できない攻撃を把握しておくことで、適切な準備をすすめましょう。

1. SQLインジェクション

SQLインジェクションとは、Webアプリケーションにおけるシステムの脆弱性を利用して、サーバーに不正侵入する攻撃です。

IDSやIPSはWebアプリケーションを介した攻撃を防げないため、SQLインジェクションからサーバーを守れません。

2. クロスサイトスクリプティング

クロスサイトスクリプティングとは、Webサイトに不正なスクリプト（簡易プログラム）を埋め込み、ユーザーが入力した情報を攻撃者に送信する攻撃です。

クロスサイトスクリプティングは、サイトに攻撃するのではなくサイトを利用するユーザーに被害がおよびます。IDSやIPSではWebを介した攻撃を防げないため、クロスサイトスクリプティングの検知や防御をサイト運営側でおこなえません。

3. OSコマンドインジェクション

OSコマンドインジェクションとは、サーバーアクセスのリクエストにOSへの不正な命令文を紛れ込ませることで、ファイルの改ざんや削除をおこなう攻撃です。

主にWebアプリケーションが「シェル」と呼ばれるプログラムを呼び出して命令を実行する際の動作が狙われます。

OSコマンドインジェクションはWebアプリケーションを介した攻撃のため、IDSやIPSでは検知や防御ができません。

IDSやIPSの製品を選ぶ際の3つのポイント

IDSやIPSの製品を選ぶ際のポイントは、以下の3点です。

IDSやIPSの製品を選ぶ際のポイントを把握しておくことで、自社に合った製品を選びましょう。

1. 運用・導入コスト

IDSやIPSの製品を選ぶ際は、運用や導入に必要なコストを確認しましょう。性能や監視方法などによって値段が大きく変わります。

監視方法にホスト型を採用している製品は、ネットワーク型に比べて広い役割を持てますが、コストが高くなる傾向にあります。自社に必要な機能とかかるコストを把握しておくことで、コストパフォーマンスが最適な製品を選びましょう。

2. 導入方法

IDSやIPSの製品を選ぶ際は、システムの導入方法を確認しましょう。システムの導入方法には「ネットワーク型」と「ホスト型」があります。

特定のネットワークのみを対象とする場合はネットワーク型、サーバー全体を対象とする場合はホスト型を選びましょう。自社でIDSやIPSの設定やネットワークの構築が難しい場合は、クラウドサービスを展開するIDSやIPS製品を購入することで、導入や運用を外部に任せられます。

3. サポート体制・サービスの充実度

IDSやIPSの製品を選ぶ際は、サポート体制やサービスの充実度を確認しましょう。ITシステムやネットワークシステムの知識があまりない場合、運用や導入時にサポートを受ける必要があります。

IDSやIPは高度なセキュリティシステムなため、得られる効果は絶大ですが運用難易度が高い製品がほとんどです。製品のクオリティーだけではなくサポート体制の手厚さを確認することで、IDSやIPSをうまく運用しましょう。

まとめ

この記事では、IDSとIPSの違いや検知方法、監視方法を解説するとともに、IDSやIPSが守れる攻撃や守れない攻撃、IDSやIPSの製品を選ぶ際のポイントを紹介してきました。

IDSやIPSは高度なセキュリティシステムなため、自社のニーズに合った機能やコスト、サポート体制のある製品を選ぶことが重要です。

「比較ビズ」の場合、必要事項を入力する2分程度で、自社に合った製品を用意するネットワークセキュリティ会社をスピーディーに探せます。複数の会社に無料で相談できるのもポイントです。IDSやIPS製品の選定に迷うことがあれば、ぜひ利用してみてください。

監修者のコメント

株式会社GeNEE

代表取締役 日向野卓也

東京工業大学環境・社会理工学院卒業。慶應義塾大学大学院経営管理研究科修了。MBA（経営学修士）取得。国内最大手SIerの株式会社NTTデータで大手法人領域（大手流通企業、大手小売企業）の事業開発、事業企画等の業務に従事。米国スタンフォード大学への研修留学を経て、システム/モバイルアプリ開発会社の株式会社GeNEEを創業。

詳しく見る

IDS/IPSは通信の内容に不正なものが含まれているかどうかを監視し、不正アクセスを検知・遮断することができるツールです。

社内ネットワークにこれらのファイアウォールや、IDS／IPSを導入し、正しく運用することによって、外部の脅威から守られた安全な環境を維持することができます。このような環境が整備されていると、テレワークにおいても、インターネット接続時にVPNで社内ネットワークを経由させることで安全に接続させることが可能です。

IDS／IPSの効果を最大限発揮するためには、仕組みを導入するだけでなく、適切な運用を継続し続けることが最も重要です。不正アクセスの可能性がある通信が検知されるとアラートが出力されますが、これが本当に不正アクセスである場合、なるべく早急に遮断されなければツールを導入した意味がありません。

そのため、担当者はアラートが脅威によるものなのか、単なる誤検知なのかを都度適切に判断しなくてはならず、セキュリティやIDS／IPS製品について詳しい知識が求められます。社内リソースでの運用体制の構築が難しい場合は、セキュリティ専門会社に運用業務を依頼することも検討すべきでしょう。

執筆者

比較ビズ編集部では、BtoB向けに様々な業種の発注に役立つ情報を発信。「発注先の選び方を知りたい」「外注する際の費用相場を知りたい」といった疑問を編集部のメンバーが分かりやすく解説しています。