「IDS/IPSって何？WAFとの違いがわからない…」「ファイアウォールを設定しているなら、IDS/IPSはいらないの？」このように、IDS/IPSについてお悩みの方、本記事は、IDS/IPSの基本から詳細まで紹介していますので、ぜひご覧ください。

IDS/IPSとは？仕組みや違い

IDS/IPSとは、ネットワーク上の不正アクセスを検知・防御するシステムです。インターネットに接続する際のセキュリティシステムと言えば、ファイアウォールを思い浮かべる人が多いかもしれません。実はIDS/IPSも、ファイアウォールと並ぶ重要なセキュリティシステムだとご存知でしょうか？

IDSとIPSには違いがあります。2つの違いを、詳しく見ていきましょう。

IDSとは：不正侵入の【検知】

IDS（Intrusion Detection System）の役割は、不正侵入の検知です。英名を訳して、不正侵入検知システムとも呼ばれます。ネットワーク上の通信を常に監視し、外部から不正な侵入がないかチェックしています。不正な侵入もしくは兆候を検知すると、管理者に自動で通知。警報機能がある監視カメラを想像してもらうと、わかりやすいでしょう。

不正侵入をリアルタイムで通知するため、管理者は迅速な対処が可能になります。ただし、IDSの役割は不正侵入の発見と通知までです。それ以上の機能はないので、IDS単体で不正侵入の防御はできません。

IPSとは：不正侵入の【防御】

IPS（Intrusion Prevention System）とは、不正侵入防御システムのこと。名前の通り、ネットワーク上の不正な侵入を防御します。IDSが不正侵入の検知までおこなうのに対し、IPSは不正侵入の検知に加えて防御も可能です。

具体的には、アクセスログの改ざん防止や不正パケットの遮断を実行します。例えるなら、監視カメラと警備員による2段構えの対応です。監視カメラで発見した不正侵入を、常駐する警備員が駆けつけて排除します。

ここまでの解説で、IDSとIPSの違いをおわかりいただけたかと思います。どちらも不正侵入を検知する点は共通しますが、IPSは検知に加え、防御・遮断といった機能が働きます。では、そもそもIDSとIPSは、どのようにして不正侵入を検知するのでしょうか？

IDS/IPSの検知方法

IDS/IPSは、「検知方法」と「監視対象」ごとに2つの種類があります。

検知方法：シグネチャ型とアノマリ型

IDS/IPSの検知方法は、シグネチャ型とアノマリ型の2種類に分けられます。

シグネチャ型とは、不正なパターンをあらかじめ登録し、パターンと合致する通信のみを検知する手法です。誤検知は少ないですが、未知のパターンには対応できません。

アノマリ型とは、正常なパターンを登録し、未登録パターンの通信をすべて検知する手法です。未知の不正通信も防げる一方で、シグネチャ型よりも誤検知が多い傾向があります。

監視対象：ネットワーク型とホスト型

IDS/IPSの監視対象は、ネットワーク型とホスト型の2つに分かれます。

ネットワーク型のIDS/IPSは、ネットワーク上に設置し、ネットワーク内を通るデータを監視します。監視対象になるのは、IDS/IPSを設置したネットワークのみです。

ホスト型は、監視対象のサーバーに設置するIDS/IPSです。サーバーに直接インストールするので、不正侵入検知の他にサーバー内の不審な動きやファイル改ざんの監視も行います。

IDS/IPSの必要性

IDS/IPSを導入すると、システム障害を狙うサイバー攻撃への対策として効果的です。DoS/DDoS攻撃やバッファーオーバーフロー攻撃など、自社サーバーへ負荷をかける攻撃を未然に防げます。

システム障害が発生するとサービスが停止し、機会損失や顧客からの信用低下を招きかねません。復旧作業にかかる費用や人員確保といったコストも生じるでしょう。システム障害はさまざまな損失につながるため、IDS/IPSによる予防が重要です。

IDS/IPSとファイアウォール・WAFの違いは？

IDS/IPSは、不正侵入の検知・防御システムですが、似たようなセキュリティシステムに「ファイアウォール」と「WAF」があります。中には、あまり違いがわからない人もいるかもしれません。ここでは、IDS/IPSとの違いを解説します。

IDS/IPSとファイアウォールの違い

ファイアウォールとは、通信の送信元と宛先を監視し、不正と疑われる通信をブロックするシステムです。ファイアウォールは、通信の送信元/宛先のみを監視しており、通信内容は見ていません。正常な通信で短時間に大量アクセスする攻撃は見分けられず、侵入を許してしまいます。

IDS/IPSは通信内容を監視しているため、正常な通信であっても通信内容に不正な動きがあれば検知・防御が可能です。このように、IDS/IPSとファイアウォールは、不正通信の見分け方が異なっています。

IDS/IPSとWAFの違い

WAF（Web Application Firewal）とは、Webアプリケーションの脆弱性を突く攻撃を検出・防御するシステムです。インターネット上で提供される多くのサービスは、Webアプリケーションを用いています。Webアプリケーションの保護がWAFの目的であるため、Webアプリケーションに仕掛けられる攻撃の防御に特化しました。

一方、IDS/IPSはサーバーやネットワークなどシステム全般を広く守ります。OSやミドルウェア層の保護に特化したい場合は、IDS/IPSがおすすめです。

対策手段は併用がおすすめ

ここまでIDS/IPSと、ファイアウォールやWAFとの違いを説明しました。その上でお伝えしたい結論は、「対策手段は併用したほうが良い」ということです。

セキュリティシステムには、それぞれ得意分野と苦手分野があります。どれか1つだけを導入するよりも、複数のシステムを組み合わせたほうが堅牢なセキュリティの構築が可能です。

IDS/IPSのメリット

すでにWAFやファイアウォールを導入している人の中には、IDS/IPSにメリットを感じない人もいるかもしれません。ですので、あらためてIDS/IPSの3つのメリットを解説します。

ファイアウォールが見逃す攻撃を検知

IDS/IPSは、ファイアウォールがカバーし切れない攻撃を検知できます。ファイアウォールは通信の発信元・宛先を監視しますが、通信内容までは確認しません。そのため、一見正常な通信であれば、中身が不正なものであっても侵入を許してしまいます。

IDS/IPSは通信内容を監視するため、ファイアウォールが通過させた不正な通信内容も見抜き、遮断可能です。ファイアウォールとIDS/IPSの二段構えにすれば、高精度に不正侵入を防げるでしょう。

システム障害の未然防止

IDS/IPSは、システム障害の未然防止に強みがあります。DoS攻撃（DDoS攻撃）やSynフラッド攻撃といった、サーバーに負荷をかける攻撃への防衛を得意としているからです。
『IDS/IPSの必要性』でもお伝えした通り、サーバー障害やシステムダウンが起きるとIDS/IPSでサーバー障害およびシステムダウンを未然に防げれば、そもそもこうした損失は生じません。

検知だけも可能

検知機能だけを使える点も、IDS/IPSのメリットです。IDSの機能は不正侵入の検知だけですが、IPSも検知のみの設定に変えられます。

不正侵入の検知のみにすると、正常な通信を異常とする誤検知があってもブロックしません。たとえ誤検知が多くても、問題なく業務を進められるでしょう。不正な通信の定義を設定し直して、誤検知が減ってから防御機能を設定するといった柔軟な使い方ができます。

IDS/IPSが検知・防御できる攻撃

IDS/IPSとファイアウォール、WAFといったセキュリティシステムは、対処できる攻撃が異なります。IDS/IPSが検知・防御できる攻撃は、主に以下の5種類です。

DoS攻撃（DDoS攻撃）

DoS攻撃（DDoS攻撃）とは、Webサイトやサーバーに大量アクセスし、負荷をかけるサイバー攻撃です。DoS攻撃（DDoS攻撃）を受けると、Webサイトを表示できなくなったり、読み込みが遅延したりといった被害が発生します。

ちなみに、DoS攻撃は1台のコンピューターでおこなわれ、DDoS攻撃は複数のコンピューターから仕掛けてくる点で異なります。

Synフラッド攻撃

Synフラッド攻撃とは、DoS攻撃（DDoS攻撃）の1種で、TCPの「3ウェイハンドシェイク」の1段階目を狙う攻撃です。まず、TCPとは「コンピュータがお互いに通信するためのルール」である通信プロトコルのこと。3ウェイハンドシェイクとは、TCP通信でおこなわれる3段階の仕組みです。

Synフラッド攻撃は、3ウェイハンドシェイクの1段階目で発信元情報を偽装し大量の接続要求を送ります。大量の要求を受けたサーバーは、2段階目に移れずサーバーダウンに陥ります。

バッファオーバーフロー攻撃（BOF）

バッファオーバーフロー攻撃（BOF）とは、コンピュータが処理できる量を超えたデータを大量に送りつけ、誤作動を起こさせる攻撃です。バッファは、データの一時保管場所を指します。バッファに保管できるデータ量はあらかじめ想定されており、想定量を超えたデータはあふれ出て「バッファオーバーフロー」状態になります。

バッファからデータがあふれ出ると、プログラムが意図しない動きをします。このとき、攻撃者の用意した不正なプログラムを実行してしまい、誤作動を起こすわけです。権利者権限を盗まれたりサイバー攻撃の踏み台にされたりして、多大な被害を生む可能性があります。

バックドア

ITにおけるバックドアとは、攻撃者が管理者に気づかれないように作った不正侵入の入り口です。コンピュータやネットワークの脆弱性を突いて不正侵入し、内側からバックドアを設置します。攻撃者はバックドアから侵入し、情報の盗窃や破壊・改ざんなどの攻撃を仕掛けます。

マルウェア

IDS/IPSは、サイバー攻撃の基本であるマルウェアにも対応できます。マルウェアとは、コンピュータウイルス、ワーム、トロイの木馬といった「不正なプログラム」の総称です。たとえば、ワームはネットワークに侵入した後に自己増殖し、不正操作や他コンピュータへの感染拡大を狙います。

IDS/IPSが検知・防御しにくい攻撃

IDS/IPSはOSやミドルウェア層といった広域の監視が得意な反面、Webアプリケーションに特化した攻撃を苦手としています。IDS/IPSが検知・防御しにくい攻撃は、主に以下の3つです。

SQLインジェクション

SQLインジェクションとは、データベースを操作する言語「SQL」に、不正な命令文を入力・実行し、データの盗窃・改ざんをおこなう攻撃です。具体的には、データベースから個人情報やカード情報を盗んだり、Webサイトを改ざんしたりします。

クロスサイトスクリプティング

クロスサイトスクリプティングは、SNSや掲示板といった、ユーザーの書き込みを表示できるWebサイトに、不正なスクリプトを埋め込む攻撃です。不正なスクリプトのリンクをクリックしたユーザーは、最終的に個人情報を盗まれたりマルウェアに感染させられたりします。

OSコマンドインジェクション

OSコマンドインジェクションとは、Webサイトの入力フォームから攻撃文を送り、Webサーバーに意図しない動きをさせる攻撃です。OSへの不正な命令文を入力し、サーバーが誤ってOSへの命令を実行してしまうと被害が生じます。

IDS/IPS製品の選定ポイント

IDS/IPSを導入する際、IDS/IPSのソフトウェア製品の購入を検討するケースが多いでしょう。無料で使えるツールも存在しますが、提供元が不明瞭、機能が限定的などのリスクがあります。確実にセキュリティを高めたい場合、専用製品の購入がおすすめです。

導入形態・方法

IPS・IDS導入形態は、監視対象によってネットワーク型とホスト型に分けられます。特定のネットワーク上の通信内容を監視したいのであれば、ネットワーク型がおすすめです。サーバーの中まで高精度に異常検知をしたい場合は、ホスト型を選びましょう。
また、自社でIPS・IDSの設定やネットワークの構築が難しい場合は、クラウドサービスがおすすめです。クラウドで提供されるIPS・IDSは、自社で運用保守する必要がないため、ITの専門知識がなくても簡単に利用できます。

価格

IPS・IDS製品の価格も、選び方の重要な要素です。一般的に、ネットワーク型やクラウドサービスは安価で導入できます。反対に、ホスト型は高価な傾向にあります。
まずは、導入することで得られる効果と、導入・運用にかかる費用を比較してみてください。値段ばかり重視して、機能面が粗悪な安い製品を買っても意味がありません。同様に、不必要な高額製品も避けましょう。コストパフォーマンスを考えて、最適な製品を選ぶことが大切です。

サポート体制・サービス

サポート体制とサービスが充実しているかも判断材料となります。IDS/IPSを導入した後は、異常検知後の迅速な対応が必要です。検知方法はシグネチャ型とアノマリ型の2種類ありますが、どちらも新たな異常を検知した後は、許可・不許可する通信の定義を設定しなくてはいけません。社内にIT専門知識のある社員がいないなら、こうした設定を提供企業でサポートしてくれるかが重要になるでしょう。
また、製品自体の脅威更新も迅速でなければ、脆弱性が発生し、セキュリティに穴が空きます。自社が必要とするサポート体制やサービス面を洗い出し、対応できる製品の中から検討しましょう。

IDS/IPSを導入した方が良い企業

基本的にはどのような企業であれ、インターネットに接続する以上はIDS/IPSを導入したほうが良いと言えます。ここでは、中でも導入をおすすめしたい企業例を見ていきましょう。

重大な機密情報を扱う企業

顧客の個人情報や取引先の情報、開発データなど、重大な機密情報を扱う企業はIDS/IPSの導入をおすすめします。情報漏えいは損害賠償や信用失墜につながるため、IDS/IPSを取り入れた万全なセキュリティ体制が必要です。

システムを稼働停止できない企業

24時間のサービス稼働が求められる企業にも、IDS/IPSの導入が効果的です。システムダウンを狙うサイバー攻撃を受けても、IDS/IPSであれば未然に防止できる確率が上がります。不正な通信をリアルタイムで検知・遮断するため、システム稼働停止の予防が可能です。

セキュリティ強化が必要な企業

スタートアップ企業や最近IT化を始めた企業など、これからセキュリティ強化に取り組む企業は、この機会にIDS/IPSを導入してみてはいかがでしょうか。また、現在のセキュリティ体制が不十分と感じる場合も、IDS/IPSの導入を検討してみてください。

ITリテラシーに不安のある企業

社内のITリテラシーに不安がある場合、IDS/IPSによってある程度マルウェア感染のリスクを下げられます。仮に社員が不正なリンクにアクセスしても、IDS/IPSを導入していれば不正侵入の予防が可能です。IDS/IPSにより、社員にITリテラシー教育が行き渡るまでの不安材料を減らせるでしょう。

よくある質問

サイバー攻撃に備えるためにはIDS・IPSを導入するべきですか？

IDS・IPSの導入をおすすめします。導入する際は、IDS・IPSソフトウェア製品の購入を検討してみましょう。
すでにファイアウォールやWAFを導入していても、IDS・IPSを併用すればさらに万全なセキュリティを構築できます。また、IDS・IPSには無料ツールがありますが、機能面や信頼性に不安があることも多いため、IDS・IPS製品を利用したほうが良いでしょう。

IDS・IPSのおすすめソフトは？

こちらから最新のIDS・IPS製品の比較をご覧いただけます。
IDS・IPS製品を大企業、中小企業に分けて紹介していますので、自社環境に合う製品の中から比較できます。

不正侵入を防御できないIDSを使うメリットはあるの？

低コスト導入、誤検知による正常な通信のブロックがない点がメリットです。
IDSには防御機能がない分、低コストで導入できます。システムによる自動防御を必要としない場合、価格を抑えられるでしょう。また、検知しかしないため、たとえ誤検知が起きても、正常な通信をブロックしません。正常な通信のブロックされると業務が止まるリスクが高い企業は、検知のみIDSに任せ、防御は手動でやる方法が向いています。

WAFと一緒にIDS・IPSを設置するならどっちが良い？

基本的にはIPSがおすすめです。
検知のみのIDSよりも、自動で検知・防御までおこなうIPSのほうが楽に管理できます。ただし、誤検知による正常な通信のブロックにより、業務に支障が出る場合があります。最初のうちは検知のみ稼働させ、誤検知によるリスクが少ないことを検証してから、防御設定に切り替えると良いでしょう。

IDS・IPSサービスをまとめて比較したい

こちらのページから、IDS・IPSサービスの一覧が見られます。
一括して資料請求できるので、まとめて比較したい場合、ぜひご覧になってみてください。公式サイトを1つひとつ回って問い合わせる手間が省けます。

まとめ

ここまで、IDS/IPSの役割に加え、ファイアウォールとWAFとの違いなどを解説しました。最後に、記事の内容を簡単に振り返りましょう。

• IDSとは、不正侵入の検知システム。IPSとは、不正侵入の検知・防御システム
• IDS/IPSは、ネットワークに設置する「ネットワーク型」とサーバーに設置する「ホスト型」に分けられる
• IDS/IPSは、ファイアウォールが見逃す攻撃を発見し、防御できる
• IDS/IPSをファイアウォールやWAFと併用すると、よりセキュリティが強固になる

IDS/IPSを導入し正しく運用すれば、サイバー攻撃に対する防衛手段が増えます。IDS/IPSで、大切な自社システムや機密情報を守りましょう。