サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

【2021年最新比較】IDS・IPSとは?おすすめ製品6選!ターゲット別に徹底比較

  • LINEで送る


IDS・IPSとは

IDSとはIntrusion Detection Systemの略で、名前の通り、Intrusion(侵入)をDetection(検知)するシステムです。システムやネットワークに対して外部から不正なアクセスが確認できた場合にセキュリティ管理者への通知を行います。

不正アクセスとは、本来データに対してアクセスできる人でない人が、セキュリティ網をかいくぐってデータにアクセスし、情報を盗んだり改ざんしたりする行為のことを指します。

IDSは、ネットワーク型IDS(NIDS)とホスト型IDS(HIDS)の2つに大きく分けられます。

ネットワーク型IDS(NIDS)

監視対象となるネットワークに別機器として設置します。ネットワーク上に流れるパケットを常時監視し、不正侵入や攻撃がないかをチェックします。

パケットとはコンピュータ通信において、データを小さい単位に分割したものを指します。

ホスト型IDS(HIDS)

監視対象となるシステムに直接インストールします。システムへの攻撃を検知する機能、システム内のファイルの改ざんチェックが可能です。

IDSは検知に主眼を置いた製品で、検知したことをセキュリティ管理者に連絡・通知はするだけで防御はしません。管理者に通知をし、管理者が対応する手順が必要となるため、対応完了までに時間差が発生します。

タイムロスが発生してしまうと、その分、大事なデータを無防備な状態にさらすことになるため、危険も高くなってしまいます。

ネットワークの不正侵入は迅速に対応して防ぐ必要があるため、管理者による手動対応では間に合わなくなることもあります。その課題を解決するために生まれたのが、IDSに防御機能を持たせたIPSです。

IPSでは、攻撃目的ではないかという疑わしいパケットは通さずに遮断する、という仕組みで、不正アクセスや攻撃と思われるパケットを全て遮断することでネットワークの安全性を維持するための仕組みです。

IDS・IPSとファイアウォールやWAFとの違い

従来のネットワークセキュリティ製品としてはファイアウォールが主流でした。

ファイアウォールは、指定したIPアドレスやポートによって通信を許可したりブロックします。IPアドレスやポートが許可したものであれば通信を通すため、外部からの大量のアクセスによる攻撃はブロックすることができません。IDS・IPSではこのような攻撃を不正な通信として検知できる点がファイアウォールとの違いです。

また、WAFはWebアプリケーションファイアウォールの略であり、Webアプリケーションの脆弱性を悪用した攻撃などを検知して遮断してくれるものです。

IDS・IPSが検知・防御できるのはOSやミドルウェアまでであり、Webアプリケーションレベルでのセキュリティ対策が求められる場合はWAFが必要となります。

ネットワーク階層について説明すると、アプリケーションの下には、さらに①ミドルウェア、②OS、③ネットワーク、④ハードウェアの4つの階層があります。IDS・IPSとWAFとでは、対策できる階層に違いがあるということです。

IDS・IPSが検知・防御できる攻撃

IDS・IPSで検知・防御することのできる攻撃はDoS攻撃やSynフラッド攻撃です。

DoS攻撃

攻撃対象となる特定のサーバーやWebサービスに対して短時間に大量のリクエストやデータを送りつけ、サーバーやWebサービスが負荷に耐えられずに機能停止することを意図的に引き起こす攻撃のことです。

コンピュータはデータを受信すること自体に処理が発生します。つまり処理するデータが多ければ多いほど負荷も高くなるのです。単位時間内に処理することのできるデータは有限であるため、そレを超えてしまうと処理できなくて機能停止してしまうのです。

Synフラッド攻撃

Synフラッド攻撃はDoS攻撃の一種であり、Synパケットを利用した攻撃です。サーバー間でのTCPによるアクセスはSynパケットとAckパケットのやり取りで行われます。

Synパケットはクライアントからサーバーへ接続を開始したいときに最初に送るパケットです。 TCPではまず、クライアントがサーバにSynパケットを送り、サーバーが接続を受け入れる場合はクライアントにSynフラグとAckフラグの両方が1にセットされたSyn/Ackパケットを応答します。

Synフラッド攻撃では、送信元IPアドレスを詐称した状態でSynパケットを大量に送ることで、Ackパケットが返ってこない状態となってしまいます。応答待ちのアクセスが大量になることによってサーバーやサービスが機能停止に陥ってしまうという仕組みによる攻撃です。

攻撃を検出する2つの方法とは

IDSやIPSで攻撃を検出する方法は、大きく2つあります。

シグネチャ型

あらかじめシグネチャとして攻撃パターンを集めたデータベースを持っていて、攻撃がパターンに一致している場合、不正なものとみなして遮断します。

攻撃パターンを集めたデータベースが多ければ多いほど、セキュリティは強固となります。逆にデータベースが少なければ脆弱となるでしょう。

異常検出型

問題がない場合はこう動作する、という設定を持たせておき、そこから外れるものを不正な攻撃と判断して遮断する仕組みです。

シグネチャ型が攻撃パターンによって攻撃かどうかを判断するのに対して、異常検出型は正常パターンによって攻撃かどうかを判断するという違いがあります。

IDS・IPSの必要性

日々、巧妙化していくサイバー攻撃の脅威への対策はどの企業や組織においても悩ましい問題です。

ソフトウェアのセキュリティパッチの適用などの対策は重要です。一方、新たに出てきた脅威への適切な防御策を追加することもセキュリティ対策に有効です。

近年は、攻撃者の侵入を前提としてリスクに応じた複数の防御策を施すことで最終的に攻撃者の目的達成を阻む、多層防御という考え方がセキュリティ対策の主流となっています。

多層防御を構成しているシステムとして、近年重要視されているのがIDS・IPSなのです。

IDSなら、管理者に異常を通知することで、不正なアクセスを遮断するなどの対処をするきっかけとなります。また、IPSではIDSよりも速く悪意のあるアクセスを遮断することが可能です。

ネットワーク上やホスト上でパケットを監視することにより、不正侵入を検知するIDSは大切なシステムを外部の悪意ある攻撃から守るために、欠かせません。

新型ウィルスや増加を続ける不正アクセスのへの対抗手段のひとつとして、社内のデータはもちろん、顧客を守るためにも、不正侵入検知・防御システムの導入は重要だと言えます。

 IDS・IPS大企業向け3選

L2Blocker

サイトhttps://www.l2blocker.com/

L2Blockerはネットワーク内のARPパケットを読み取り、不正端末のアクセスを検知、遮断するシステムです。
不正端末の検知・遮断はWindowsだけでなく、MacやLinux、iPhoneやAndroidなどのスマートフォンなどの幅広い端末に対して有効です。

 Sophos XG Firewall

サイトhttps://www.sophos.com/ja-jp/products/next-gen-firewall.aspx

導入、設定を簡単にできるVPNクライアント接続を提供します。
様々な柔軟なオプションを使用して簡単な導入や管理ができる常時接続の専用VPN、もしくはスプリットトンネリングVPNによりセキュリティを保護しています。
モバイルデバイスは、IPSecやSSL VPNなどの組み込みまたはアプリベースの VPN オプションを利用して、XG Firewall で保護されたネットワークに安全に接続できます。

McAfee Network Security Platform

サイトhttps://www.mcafee.com/enterprise/ja-jp/products/network-security-platform.html

シグネチャとシグネチャレスの侵入防止システムで新しい未知の攻撃を阻止します。 シグネチャレスの侵入検出技術により、不正なネットワークトラフィックを識別します。シグネチャが存在しない攻撃も阻止できます。

IDS・IPS中小企業向け3選

AEGIS

サイトhttps://aegis-ss.jp/

NATO指定ベンダーへ供給をしていて、サイバー戦争最前線の性能を誇ります。クラウドサービスであるため、ユーザー側の作業や追加料金がないことがメリットです。攻撃元IP、攻撃シグネチャパターンを集積し、防御性能を高め続けます。

AppGuard SBE

サイトhttps://www.blueplanet-works.com/solution/sbe.html

小規模組織の機動力を高めるエンドポイントセキュリティソリューションです。AppGuardエージェントを一元管理する管理システムがクラウド上に用意されているので利用開始するまでの時間が短いことがメリットです。
クラウド型であるため、インストール作業が不要です。管理サーバーのセキュリティ対策などを気にする必要もなく運用も容易です。小規模組織に最適なポリシーを用意していますのでポリシーを最初から作成する手間も省けます。

攻撃遮断くん

サイトhttps://www.shadan-kun.com/

2つのタイプの製品を提供しています。1つはDNS切り替え型WAFです。もう1つは防御対象のサーバーにインストールしたエージェントが、攻撃遮断くん 監視センターへログを随時送信し、その後エージェント側が攻撃遮断くん監視センターから遮断命令を受けて攻撃を遮断するエージェント連動型WAFです。
2タイプを提供することで、あらゆるWebサービスへのセキュリティ対策が可能です。

IDS・IPSを選ぶ際の注意点

性能

IDS・IPSの検知性能を示すのが「フォルスネガティブ」と「フォルスポジティブ」の2つです。フォルスネガティブとは、本来検出すべき攻撃を見逃してしまうケースを指します。また、フォルスポジティブとは、正常な通信を不正なものと誤検知してしまうケースを指します。

動作の軽さ

IDS・IPSを導入することでセキュリティが堅牢になったとしても、その分、処理速度が遅くなってしまうと、元々の操作感の良さを失ってしまうため、どの程度処理に負荷がかかり、操作が遅くなってしまうのかは把握するようにしましょう。

価格・インストール台数

IDS・IPSに対して割くことのできる予算は各企業によって違うでしょうから、予算を考慮した上で、その予算に見合う価格の製品を選択するようにしましょう。

製品もインストールするタイプか、クラウド上で共有するものかも変わってきます。

具体的に運用可能か

各サービスの運用における条件を確認して、自社・自組織において運用可能かどうかを確認しましょう。

まとめ

今回の記事では、IDS・IPSとは何か、ファイアウォールやWAFとの違いについてご紹介しました。また、大企業向けと中小企業向けのIDS・IPS製品をご紹介しました。

IDSやIPSは、シグネチャ型と異常検出型に分かれています。また、製品を選ぶ際にも性能や動作速度、価格など多様な観点から考えていく必要があります。

自社・自組織に導入するにあたってはどの観点を大事にして決定するのかも鮮明にしておきましょう。



  • LINEで送る

情報漏洩セキュリティ対策ハンドブックプレゼント


メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?


メルマガ登録はこちら

SNSでもご購読できます。