サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

IDS・IPSとは?不正侵入検知・防御サービスをわかりやすく解説



「IDS・IPSって何?WAFとの違いがわからない…」

「ファイアウォールを設定しているなら、IDS・IPSはいらないの?」

このように、IDS・IPSについてお悩みですね。本記事は、IDS・IPSに関する以下の内容をお届けします。

  • IDS・IPSの仕組みや役割の違い
  • IDS・IPSとファイアウォール・WAFの違い
  • IDS・IPSが防げる攻撃・防げない攻撃

加えて、IDS・IPSのメリットや製品の選び方も紹介します。IDS・IPSの基本から詳細まで知りたい人は、ぜひご覧ください。

IDS・IPSとは?仕組みや違い

IDS・IPSとは、ネットワーク上の不正アクセスを検知・防御するシステムです。インターネットに接続する際のセキュリティシステムと言えば、ファイアウォールを思い浮かべる人が多いかもしれません。実はIDS・IPSも、ファイアウォールと並ぶ重要なセキュリティシステムだとご存知でしょうか?

IDSとIPSには違いがあります。2つの違いを、詳しく見ていきましょう。

IDSとは:不正侵入の【検知】

IDS(Intrusion Detection System)の役割は、不正侵入の検知です。英名を訳して、不正侵入検知システムとも呼ばれます。ネットワーク上の通信を常に監視し、外部から不正な侵入がないかチェックしています。不正な侵入もしくは兆候を検知すると、管理者に自動で通知。警報機能がある監視カメラを想像してもらうと、わかりやすいでしょう。

不正侵入をリアルタイムで通知するため、管理者は迅速な対処が可能になります。ただし、IDSの役割は不正侵入の発見と通知までです。それ以上の機能はないので、IDS単体で不正侵入の防御はできません。

IPSとは:不正侵入の【防御】

IPS(Intrusion Prevention System)とは、不正侵入防御システムのこと。名前の通り、ネットワーク上の不正な侵入を防御します。IDSが不正侵入の検知までおこなうのに対し、IPSは不正侵入の検知に加えて防御も可能です。

具体的には、アクセスログの改ざん防止や不正パケットの遮断を実行します。例えるなら、監視カメラと警備員による2段構えの対応です。監視カメラで発見した不正侵入を、常駐する警備員が駆けつけて排除します。

ここまでの解説で、IDSとIPSの違いをおわかりいただけたかと思います。どちらも不正侵入を検知する点は共通しますが、IPSは検知に加え、防御・遮断といった機能が働きます。では、そもそもIDSとIPSは、どのようにして不正侵入を検知するのでしょうか?

IDS・IPSの検知方法

ネットワーク上の不正な侵入を検知・防御するIDS・IPS。役割には違いがありますが、検知方法は共通しています。IDS・IPSの検知方法は、「シグネチャ型」と「アノマリ型」の2つに分けられます。まずは2つの違いを、簡単に表で確認してみましょう。

検知対象 誤検知
シグネチャ型 ブラックリスト形式 少ない
アノマリ型 ホワイトリスト形式 多い

続いて、シグネチャ型とアノマリ型の具体的な特徴を説明します。

シグネチャ型

シグネチャ型とは、不正なパターンをあらかじめ登録し、パターンと合致する通信のみを検知する手法です。いまいちわかりづらい人は、迷惑メール対策のブラックリスト方式を思い浮かべてみましょう。ブラックリスト方式は、拒否設定したアドレス以外のメールを全て受信するもの。シグネチャ型も、ほとんど同じ仕組みです。

シグネチャ型のメリットに、誤検知が少ない点が挙げられます。一方で、未登録パターンの不正アクセスを見逃してしまうのがデメリットです。事前に登録されていなければ、通信内容に脅威が含まれていても、全て通過させてしまいます。

現在、IDS・IPS製品の主流はシグネチャ型です。未知の攻撃に対しては弱くなりますが、主流の不正パターンや過去に経験した攻撃は確実に防げます。防ぎたい脅威が明確な場合、効果的な検知方法と言えるでしょう。

アノマリ型

アノマリ型とは、正常なパターンをあらかじめ登録し、パターンと異なる通信をすべて検知する手法です。異常検出型とも言います。こちらもシグネチャ型と同じ例で言うなら、迷惑メール対策のホワイトリスト方式と似た仕組みです。

アノマリ型は、許可していないパターンのアクセスを検知するため、未知の脅威に対して効果を発揮します。一方で、シグネチャ型に比べて、誤検知が多くなる点に注意が必要です。業務に必要な通信を誤って検出してしまうと、管理者が手動で許可しなければなりません。誤検知があまりに多いと、業務に支障が出る可能性もあります。

新たに通信を増やす際は、忘れずに正常パターンとして登録しましょう。アノマリ型は管理の手間がかかりますが、そのぶん強力に防御できます。さまざまな不正アクセスや攻撃から守りたい場合に、おすすめの手段です。

シグネチャ型とアノマリ型のメリット・デメリットを比較し、設置環境に合う検知方法を選びましょう。IDS・IPSの設置環境は、扱う情報の機密レベルや業種によってさまざま。安全な設置環境を構築するために、IDS・IPSの適切な監視方法を選択することも大切です。

IDS・IPSの監視方法

IDS・IPSは、シグネチャ型かアノマリ型の検知方法を使って、不正侵入を検知・防御します。その際、検知対象となる場所は監視方法によって異なります。IDS・IPSの監視方法は、次の2種類です。

  1. ネットワーク型
  2. ホスト型

それぞれ順番に解説します。

ネットワーク型

ネットワーク型のIDS・IPSは、ネットワーク上に設置され、ネットワーク内を通るパケット(データ)の中身を監視します。監視対象になるのは、IDS・IPSを設置したネットワークのみです。Network-basedの頭文字をつけて、NIDS・NIPSとも呼ばれます。

ただし、NIDS・NIPSを設置したネットワークの「外側」は監視できません。監視対象に含めたいネットワークが複数ある場合は、それぞれに設置する必要があります。たとえば、ファイアウォールの外側と社内ネットワークを監視したいのであれば、どちらにも設置する必要があるわけです。

ちなみに、不正侵入の防御力を高めたい場合は、ファイアウォールの内側(社内ネットワークなどの内部ネットワーク上)に設置すると良いでしょう。不正侵入を試みたログの取得・解析を目的とするなら、ファイアウォールの外側が適しています。

ホスト型

ホスト型は、監視対象のサーバーに設置するIDS・IPSです。Host-basedを冠してHIDS・HIPSとも言われます。サーバーに直接インストールするので、不正侵入検知の他に、サーバー内の不審な動きやファイル改ざんの監視が可能です。

HIDS・HIPSはサーバーごとに設置します。保護したいサーバーが複数ある場合、それぞれに設置する必要があります。複数に導入すると、ネットワーク型に比べて運用コストは高くなるでしょう。とはいえ、サーバーに直接インストールする特性により、検知精度の高さ、暗号化通信の解析・検知といった、コストに見合うメリットがあります。

【補足】クラウドでも導入可能

IDS・IPSを導入する場合、自社でネットワークやサーバーに設置する方法以外に、クラウドサービスを利用する手段もあります。

クラウドで提供されるIDS・IPSのメリットは、導入のしやすさです。さらに、運用や更新を、クラウド提供事業者に任せられる利点もあります。一方、事業者側に通信障害が発生した場合、ダイレクトに影響を受けてしまうでしょう。運用を外部に任せる分、事業者に依存する点がデメリットと言えます。

IDS・IPSを選ぶ際は、ネットワーク型かホスト型、どちらの監視方法が自社の環境に合うか考えましょう。自社運用が難しい場合はクラウドサービスの導入がおすすめです。

IDS・IPSとファイアウォール・WAFの違いは?

IDS・IPSは、不正侵入の検知・防御システムですが、似たようなセキュリティシステムに「ファイアウォール」と「WAF」があります。中には、あまり違いがわからない人もいるかもしれません。ここでは、IDS・IPSとの違いを解説します。

  1. IDS・IPSとファイアウォールの違い
  2. IDS・IPSとWAFの違い
  3. 対策手段は併用がおすすめ

1つずつ見ていきましょう。

IDS・IPSとファイアウォールの違い

ファイアウォールとは、通信の送信元と宛先を監視し、不正と疑われる通信をブロックするシステムです。通常、外部ネットワーク(インターネット)と内部ネットワークの間に設置されます。直訳の「防火壁」の名前のとおり、家(内部ネットワーク)を囲む高い塀を想像するとわかりやすいでしょうか。

「不正通信のブロック」と聞くと、不正侵入を検知・防御するIDS・IPSの必要性を感じないかもしれません。ところが、ファイアウォールは、正常な通信に見せかけた攻撃に対応できない場合があります。

ファイアウォールは、通信の送信元/宛先のみを監視しており、通信内容は見ていません。そのため、正常な通信で短時間に大量アクセスする攻撃などは見分けられず、侵入を許してしまいます。

そこで活躍するのが、IDS・IPSです。IDS・IPSは通信内容を監視しています。なので、正常な通信であっても、通信内容に不正な動きがあれば検知・防御が可能です。このように、IDS・IPSとファイアウォールは、不正通信の見分け方が異なっているわけです。

IDS・IPSとWAFの違い

IDS・IPSとWAFの違いは、守備範囲です。IDS・IPSはシステム全般を、WAFはウェブアプリケーションに特化して攻撃から守ります。具体的に説明します。

WAF(Web Application Firewal)とは、Webアプリケーションの脆弱性を突く攻撃を検出・防御するシステムのこと。インターネット上で提供されるサービスは、Webアプリケーションを用いていることがほとんどです。たとえば、Google ChromeやYoutubeなど。こうしたサービスの基幹である、Webアプリケーションの保護がWAFの目的です。

そのため、WAFはWebアプリケーションに仕掛けられる攻撃の防御に特化しました。一方、IDS・IPSはサーバーやネットワークなどシステム全般を広く守ります。Webアプリケーションを狙う攻撃に対しては、WAFのほうが高精度に検出できるでしょう。反対に、OSやミドルウェア層の保護に特化したい場合は、IDS・IPSがおすすめです。

対策手段は併用がおすすめ

ここまでIDS・IPSと、ファイアウォールやWAFとの違いを説明しました。その上でお伝えしたい結論は、「対策手段は併用したほうが良い」ということです。

セキュリティシステムには、それぞれ得意分野と苦手分野があります。どれか1つだけを導入するよりも、複数のシステムを組み合わせたほうが、より堅牢なセキュリティの構築が可能です。そこで次は、IDS・IPSが検知および防御できる攻撃を解説します。

IDS・IPSが検知・防御できる攻撃

IDS・IPSとファイアウォール、WAFといったセキュリティシステムは、対処できる攻撃が異なります。IDS・IPSが検知・防御できる攻撃は、主に以下の3種類です。

  1. DoS攻撃(DDoS攻撃)
  2. Synフラッド攻撃
  3. バッファオーバーフロー攻撃(BOF)

どのような攻撃なのか、詳細をお話します。

DoS攻撃(DDoS攻撃)

DoS攻撃(DDoS攻撃)とは、Webサイトやサーバーに大量アクセスし、負荷をかけるサイバー攻撃です。DoS攻撃(DDoS攻撃)を受けると、Webサイトを表示できなくなったり、読み込みが遅延したりといった被害が発生します。

DoS攻撃(DDoS攻撃)を受けた企業や組織は、復旧作業が必要です。復旧にかかるコストの他に、システムダウン中の機会損失といった被害も生まれるでしょう。

ちなみに、DoS攻撃は1台のコンピューターでおこなわれ、DDoS攻撃は複数のコンピューターから仕掛けてくる点で異なります。

Synフラッド攻撃

Synフラッド攻撃とは、DoS攻撃(DDoS攻撃)の1種です。Synフラッド攻撃は、TCPの「3ウェイハンドシェイク」の1段階目を狙って攻撃します。少しわかりづらいので、1つずつ簡単に補足します。

まず、TCPとは、信頼できる通信プロトコルのこと。次に、通信プロトコルとは、「コンピュータがお互いに通信するためのルール」です。そして、スリーウェイハンドシェイクとは、TCP(信頼できる通信ルール)で通信するときにおこなわれる、3段階の仕組みを意味します。

スリーウェイハンドシェイクの1段階目で、発信元情報を偽装して大量の接続要求を送り続けます。大量の要求を受けたサーバーは、2段階目に移れずサーバーダウンに陥るといった流れです。こうした一連の攻撃手段を、Synフラッド攻撃と言います。

バッファオーバーフロー攻撃(BOF)

バッファオーバーフロー攻撃(BOF)とは、コンピュータが処理できる量を超えたデータを大量に送りつけ、誤作動を起こさせる攻撃です。バッファは、データの一時保管場所のことを指します。バッファに保管できるデータ量はあらかじめ想定されており、想定量を超えたデータはあふれ出て「バッファオーバーフロー」状態になります。

バッファからデータがあふれ出ると、プログラムが意図しない動きをします。このとき、攻撃者の用意した不正なプログラムを実行してしまい、誤作動を起こすわけです。不正なプログラムにより、権利者権限を盗まれたり、サイバー攻撃の踏み台にされたり、多大な被害を生む可能性があります。

IDS・IPSは、以上の3つのサイバー攻撃に対して有効な手段です。通信内容を監視するため、これら3つの攻撃を検知・防御できます。とはいえ、IDS・IPSも完璧ではありません。IDS・IPSが苦手とする攻撃も存在します。

IDS・IPSが検知・防御しにくい攻撃

IDS・IPSは、通信内容を監視して、コンピューターやネットワークを保護するシステムです。OSやミドルウェア層といった広域の監視が得意な反面、webアプリケーションに特化した攻撃を苦手としています。webアプリケーションを狙う攻撃の中で、IDS・IPSが検知・防御しにくい攻撃は主に以下の2つ。

  1. SQLインジェクション
  2. クロスサイトスクリプティング

1つずつ解説します。

SQLインジェクション

SQLインジェクションとは、データベースを操作する言語「SQL」に、不正な命令文を入力・実行し、データの盗窃・改ざんをおこなう攻撃です。具体的には、データベースから個人情報やカード情報を盗んだり、Webサイトを改ざんしたりします。

クロスサイトスクリプティング

クロスサイトスクリプティングは、SNSや掲示板といった、ユーザーの書き込みを表示できるWebサイトに、不正なスクリプトを埋め込む攻撃です。不正なスクリプトのリンクをクリックしたユーザーは、最終的に個人情報を盗まれたりマルウェアに感染させられたりします。

上記2つは、IDS・IPSが苦手とする「難読化」を突いた攻撃です。IDS・IPSには苦手分野があるものの、他のセキュリティシステムにも、それぞれ苦手とする攻撃が存在します。複数のセキュリティシステムを併用すれば、お互いの苦手をカバーし合えるでしょう。

IDS・IPSのメリット

ここまで、IDS・IPSの仕組みや対処できる攻撃などを解説しました。お話してきたように、セキュリティシステムは複数の併用がおすすめです。しかし、すでにWAFやファイアウォールを導入している人の中には、IDS・IPSにメリットを感じない人もいるかもしれません。ですので、あらためてIDS・IPSの3つのメリットを解説します。

  1. ファイアウォールが見逃す攻撃を検知
  2. システム障害の未然防止
  3. 検知だけも可能

順番に説明します。

ファイアウォールが見逃す攻撃を検知

IDS・IPSは、ファイアウォールがカバーし切れない攻撃を検知できます。ファイアウォールは通信の発信元・宛先を監視しますが、通信内容までは確認しません。そのため、一見正常な通信であれば、中身が不正なものであっても侵入を許してしまいます。

IDS・IPSは通信内容を監視するため、ファイアウォールが通過させた不正な通信内容も見抜き、遮断可能です。ファイアウォールとIDS・IPSの二段構えにすれば、高精度に不正侵入を防げるでしょう。

システム障害の未然防止

IDS・IPSは、システム障害の未然防止に強みがあります。DoS攻撃(DDoS攻撃)やSynフラッド攻撃といった、Webサイトやサーバーに負荷をかける攻撃への防衛を得意としているからです。

サーバー障害やシステムダウンが起きると、復旧作業の手間と費用が発生します。さらに、業務の一時停止に加え、ユーザーからの信用低下などの損失も被るでしょう。IDS・IPSでサーバー障害およびシステムダウンを未然に防げれば、そもそもこうした損失は生じません。

検知だけも可能

検知機能だけを使える点も、IDS・IPSのメリットです。IDSの機能は不正侵入の検知だけですが、IPSも検知のみをおこなう設定に変えられます。

不正侵入の防御をせず検知だけにすると、正常な通信を異常とする誤検知があってもブロックしません。たとえ誤検知が多くても、問題なく業務を進められるでしょう。不正な通信の定義を設定し直して、誤検知が減ってから防御機能を設定するといった柔軟な使い方ができます。

以上3つがIDS・IPSのメリットです。他の対策をしている人も、新たにセキュリティシステムを探している人も、IDS・IPSの導入すればより良いセキュリティ環境を作れるでしょう。IDS・IPSの導入する場合におすすめの方法が、IDS・IPS製品の購入です。

IDS・IPS製品の選定ポイント

IDS・IPSを導入する際、IDS・IPSのソフトウェア製品の購入を検討するケースが多いでしょう。無料で使えるツールも存在しますが、提供元が不明瞭、機能が限定的などのリスクがあります。確実にセキュリティを高めたい場合、専用製品の購入がおすすめです。

IDS・IPS製品を選ぶときは、以下3つのポイントに注目しましょう。

  1. 導入形態・方法
  2. 価格
  3. サポート体制・サービス

なぜこの3ポイントなのか、理由を解説していきます。

導入形態・方法

IPS・IDS導入形態は、監視対象によってネットワーク型とホスト型に分けられます。特定のネットワーク上の通信内容を監視したいのであれば、ネットワーク型。サーバーの中まで高精度に異常検知をしたい場合は、ホスト型を選びましょう。

また、自社でIPS・IDSの設定やネットワークの構築が難しい場合は、クラウドサービスがおすすめです。クラウドで提供されるIPS・IDSは、自社で運用保守する必要がないため、ITの専門知識がなくても簡単に利用できます。

価格

IPS・IDS製品の価格も、選び方の重要な要素です。一般的に、ネットワーク型やクラウドサービスは安価で導入できます。反対に、ホスト型は高価な傾向にあります。

まずは、導入することで得られる効果と、導入・運用にかかる費用を比較してみてください。値段ばかり重視して、機能面が粗悪な安い製品を買っても意味がありません。同様に、不必要な高額製品も避けましょう。コストパフォーマンスを考えて、最適な製品を選ぶことが大切です。

サポート体制・サービス

サポート体制とサービスが充実しているかも判断材料となります。IDS・IPSを導入した後は、異常検知後の迅速な対応が必要です。検知方法はシグネチャ型とアノマリ型の2種類ありますが、どちらも新たな異常を検知した後は、許可・不許可する通信の定義を設定しなくてはいけません。社内にIT専門知識のある社員がいないなら、こうした設定を提供企業でサポートしてくれるかが重要になるでしょう。

また、製品自体の脅威更新も迅速でなければ、脆弱性が発生し、セキュリティに穴が空きます。自社が必要とするサポート体制やサービス面を洗い出し、対応できる製品の中から検討しましょう。

IDS・IPS製品を選ぶときは、上記3項目を参考にしてみてください。

まとめ

ここまで、IDS・IPSの役割に加え、ファイアウォールとWAFとの違いなどを解説しました。最後に、記事の内容を簡単に振り返りましょう。

  • IDSとは、不正侵入の検知システム。IPSとは、不正侵入の検知・防御システム
  • IDS・IPSは、ネットワークに設置する「ネットワーク型」とサーバーに設置する「ホスト型」に分けられる
  • IDS・IPSは、ファイアウォールが見逃す攻撃を発見し、防御できる
  • IDS・IPSをファイアウォールやWAFと併用すると、よりセキュリティが強固になる

IDS・IPSを導入し正しく運用すれば、サイバー攻撃に対する防衛手段が増えます。IDS・IPSで、大切な自社システムや機密情報を守りましょう。

よくある質問

サイバー攻撃に備えるためにはIDS・IPSを導入するべきですか?

IDS・IPSの導入をおすすめします。導入する際は、IDS・IPSソフトウェア製品の購入を検討してみましょう。

すでにファイアウォールやWAFを導入していても、IDS・IPSを併用すればさらに万全なセキュリティを構築できます。また、IDS・IPSには無料ツールがありますが、機能面や信頼性に不安があることも多いため、IDS・IPS製品を利用したほうが良いでしょう。

IDS・IPSのおすすめソフトは?

こちらから最新のIDS・IPS製品の比較をご覧いただけます。

IDS・IPS製品を大企業、中小企業に分けて紹介していますので、自社環境に合う製品の中から比較できます。

不正侵入を防御できないIDSを使うメリットはあるの?

低コスト導入、誤検知による正常な通信のブロックがない点がメリットです。

IDSには防御機能がない分、低コストで導入できます。システムによる自動防御を必要としない場合、価格を抑えられるでしょう。また、検知しかしないため、たとえ誤検知が起きても、正常な通信をブロックしません。正常な通信のブロックされると業務が止まるリスクが高い企業は、検知のみIDSに任せ、防御は手動でやる方法が向いています。

WAFと一緒にIDS・IPSを設置するならどっちが良い?

基本的にはIPSがおすすめです。

検知のみのIDSよりも、自動で検知・防御までおこなうIPSのほうが楽に管理できます。ただし、誤検知による正常な通信のブロックにより、業務に支障が出る場合があります。最初のうちは検知のみ稼働させ、誤検知によるリスクが少ないことを検証してから、防御設定に切り替えると良いでしょう。

IDS・IPSサービスをまとめて比較したい

こちらのページから、IDS・IPSサービスの一覧が見られます。

一括して資料請求できるので、まとめて比較したい場合、ぜひご覧になってみてください。公式サイトを1つひとつ回って問い合わせる手間が省けます。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。