IDSとIPSとは？基本から違いまでを解説

IDSとIPSは似た仕組みですが、その機能や役割は異なります。ここではIDSとIPSの概要と違いを解説しましょう。

IDS（不正侵入検知システム）とは

IDSは、ネットワークやシステムへの攻撃やその兆候を検知し、管理者へ通知します。

監視のために通信をミラーリングし、DMZや内部ネットワークなど複数のポイントに設置されることが多く、不正アクセスやマルウェアによる異常通信、ユーザーの不審な行動などを検知対象とします。

IDSはリアルタイムで通知はしますが、通信の遮断は行いません。

IPS（不正侵入防止システム）とは

IPSは、サーバーやネットワークへの攻撃やその兆候を検知し、自動的に遮断・防御します。主な設置場所は、ゲートウェイ（ネットワーク間を中継する機器）やファイアウォールの外側などです。

脅威と判断されたパケットの破棄や接続元のIPアドレスのブロックを行い、被害拡大を防ぎます。

IDSとIPSの違い

IDSは脅威の侵入を検知するだけですが、IPSは脅威の検知だけでなく防御も行うのが特徴です。この機能の違いからIDSは異常の早期発見、IPSは被害拡大の防止が役割となっています。

また、IDSは脅威の検知が主な機能であり、IDS内に通信内容をコピーして分析するため、通信経路に設置する必要はありません。一方、IPSはアクセスの遮断機能も持っているため、通信経路に設置する必要があります。

IDS/IPSと他のセキュリティとの違い

他セキュリティの特徴とIDS・IPSとの違いは、以下の通りです。

• ファイアウォール
  ファイアウォールとは、ネットワークの出入り口に設置される、不正な通信を遮断するセキュリティシステムです。ファイアウォールはネットワークの境界で設定されたルールに基づき、通信を許可・拒否します。
  一方、IDS・IPSはネットワーク内部の通信を監視し、脅威を検知・防御するのが特徴です。ファイアウォールは塀、IDS・IPSは監視カメラと考えるとわかりやすいでしょう。
• WAF
  WAF（Web Application Firewall）とは、Webアプリをサイバー攻撃から保護するための対策です。一般的に、Webサーバーの前やクラウドサービス上に設置されます。Webアプリの脆弱性を悪用した攻撃の防止に特化しているため、IDS・IPSのようにネットワークやミドルウェアへの攻撃は防げません。
  
• SASE
  SASE（Secure Access Service Edge）とは、ネットワークとセキュリティをクラウド上で統合し、安全なアクセスを実現する概念です。さまざまなセキュリティ機能を包括しており、ネットワーク全体をクラウドベースで安全に管理します。SASEは上位概念であり、IDS・IPSはSASEを構成するセキュリティ機能の一つです。
• NDR
  NDR（Network Detection and Response）とは、ネットワーク上の脅威を検知し、対応するための製品・サービスです。IDS・IPSよりも広い監視システムであり、外部・内部を問わず全ての不正を検知することを目的としています。また、IDS・IPSにはない侵入経路や脅威の原因を特定できる機能があるのも特徴です。さらに、AIによる機械学習も採用しているため、IDS・IPSよりも運用負荷が低いといわれます。

IDS/IPSの種類

ここでは、IDS・IPSの種類を解説します。IDS・IPSは、ホスト型とネットワーク型があり、最近ではクラウド上でこれらの機能を提供するサービスも登場しています。

クラウド型

クラウド上でIDS・IPSを提供するサービスです。ネットワーク設定や機器の設置が不要であるため、運用負荷を軽減できます。また、検知するパターンの設定や調整をベンダーが代わりに行ってくれる点もメリットです。

ただし、提供されているサービスで障害が発生したりサービスが終了したりした際に影響を受ける恐れがあります。また、ベンダーによって検知できる攻撃の種類や範囲が異なるため、自社に合ったサービスを選ぶ必要があります。

ホスト型

監視対象のサーバーや端末に直接インストールして利用するIDS・IPSです。それぞれの端末で発生するイベントを監視して、ファイル・ログの改ざんや不審なプログラムなどを検知します。

詳細な監視ができる反面、監視対象ごとにインストールが必要になるため、導入・運用コストが高くなる傾向です。監視対象が増えれば増えるほど、運用負荷も高くなるでしょう。

ネットワーク型

ネットワーク上に設置し、ネットワーク全体の通信を監視するIDS・IPSを指します。広範囲をリアルタイム監視できるため、異常検知や遮断のスピードも早いのがメリットです。

ただし、端末ごとの細かい設定は難しいほか、通信量が多いと処理が追い付かない場合もあります。

IDS/IPSの仕組み

ここでは、IDS・IPSの仕組みを解説します。IDS・IPSが脅威を検知する方法には、シグネチャベースと異常検知があります。

シグネチャベース

シグネチャベース（署名型）とは、既知の脅威のパターンをあらかじめデータベースに登録し、それと一致するものを検知する仕組みです。シグネチャは攻撃のパターンや特徴を表すデータを指し、あるマルウェアのコードの一部や攻撃に使われるパケットの特徴などがシグネチャとして登録されます。

シグネチャと一致しなければ脅威とみなさないため、誤検知は少ない傾向です。既知の脅威は高い精度で検知できるうえ、シグネチャと照合するだけであるためシステムへの負荷は比較的低いという特徴があります。

ただし、新しい攻撃や未知のマルウェアなどはシグネチャに登録されていないため、検知が困難です。常に新しい脅威に対応するためには、シグネチャのデータベースを頻繁に最新の状態にアップデートする必要があります。

異常検知（アノマリ型）

異常検知（アノマリ型）とは、正常な通信パターンをあらかじめ定義し、それから外れた通信を異常とみなして脅威を検知する仕組みです。定義される通信パターンとして、通信の種類や速度、通信量、時間帯、アクセス元などが挙げられます。

シグネチャベースのように脅威のパターンをデータベースに登録する必要がないため、未知の脅威に対応できる可能性があります。正常な状態を基に脅威を検知するため、新たなアプリを導入する際やネットワーク構成を変更する際にも柔軟に対応できるでしょう。

一方、シグネチャベースよりも誤検知は多い傾向です。誤検知を減らすためには、正常な通信パターンを細かく定義する必要があり、チューニングや分析に手間がかかる恐れがあります。

IDS/IPSで防げる脅威

ここでは、IDS・IPSで防げる脅威を解説します。DoS・DDoS攻撃やSYNフラッド攻撃、バッファオーバーフロー攻撃やマルウェアの感染などを防げます。

DoS攻撃（DDoS攻撃）

標的のサーバーに対して大量のアクセスを送り、サーバーを過負荷状態にする攻撃です。DDoS攻撃は複数のコンピューターからアクセスを送りますが、DoS攻撃は1台のコンピューターからアクセスを送信します。

SYNフラッド攻撃

通信プロトコルの一種であるTCP/IPの仕組みを悪用したDoS攻撃です。TCP/IPでは、クライアントからSYNパケットという接続要求が送信されるとサーバーはSYN-ACKパケットという確認応答を送信します。クライアントはサーバーにACKパケットという最終的な確認応答を送信することで、接続が確立される仕組みです。

攻撃者はサーバーに大量のSYNパケットを送信し、サーバーに大量のSYN-ACKパケットを送信させます。しかし、攻撃者はACKパケットを送信しないため、サーバーは半開きの状態で接続を維持し続けることになります。これにより、サーバーは過負荷状態になり、他の接続を処理できなくなるのです。

バッファオーバーフロー攻撃

プログラムのバッファ（データを一時的に保存する場所）に本来格納できる量を超えるデータを送り、システムを不正に操作する攻撃です。バッファに本来格納できる量を超えるデータを送るとバッファの境界を超えて領域外のデータに影響を与え、不正なコードの実行や管理者権限の乗っ取りなどが起こります。

マルウェア感染

端末に損害を与えたり不正な操作を行わせたりする悪意のあるソフトの総称です。ウイルス・トロイの木馬・ランサムウェアなどさまざまな種類があり、感染するとデータの改ざん・窃取やシステムの停止などの恐れがあります。

IDS/IPSでは防げない脅威はWAFを併用

IDS・IPSはOSやミドルウェアへの攻撃に強い一方、Webアプリの脆弱性を突く攻撃には弱いといわれます。具体的には、以下のような攻撃はIDS/IPSだけでは防げないかもしれません。

• SQLインジェクション
  Webアプリの脆弱性を突き、不正なSQL文をデータベースに挿入し、データの改ざんや窃取を行う攻撃です。
• クロスサイトスクリプティング
  Webサイトの脆弱性を突き、HTMLに悪意のあるスクリプトを埋め込み、ユーザーのブラウザ上で実行させる攻撃です。
• OSコマンドインジェクション
  Webアプリの脆弱性を突き、OSのコマンドを不正に実行させる攻撃です。入力フォームやURLパラメータなどからOSのコマンドを不正に実行させ、データの改ざん・窃取や不正プログラムの実行を狙います。

これらの攻撃を防ぐには、アプリケーション層への脅威からシステムを守るWAFの併用が効果的です。

IDS/IPS導入のメリット

ここでは、IDS・IPSを導入するメリットを解説します。リアルタイム検知ができる点や、従来では見逃しかねない脅威を検知できる点がメリットです。

従来では見逃しかねない脅威を検知できる

従来はファイアウォールを用いて脅威を検知していましたが、ファイアウォールはネットワークの出入り口で不正なアクセスをブロックするセキュリティです。そのため、正常な通信に見せかけた不正な通信やOS・サーバーの脆弱性を突いた攻撃、すでに内部に潜む脅威などは見逃す恐れがあります。

一方、IDS・IPSはファイアウォールでは検知できない脅威も検知できるため、より堅牢なセキュリティを実現できます。

リアルタイムでの検知ができる

ログを解析してはじめて不正アクセスや攻撃に気付くと対応が遅れてしまい、重大な問題や損害が起きる恐れがあります。IDS・IPSはリアルタイムで不正アクセスや異常な通信などを検知するため、被害拡大を防げる可能性があります。

状況に応じた対応ができる

誤検知が多い場合はIPSを検知のみに設定できるため、業務への影響を抑えられます。また、検知したらシステムを停止するかシステムを稼働させたまま対応するかも選べるため、状況に応じて柔軟な対応ができるでしょう。

総合セキュリティ対策なら
パロアルトネットワークス

IDS・IPSを導入することで不正アクセスやサイバー攻撃を検知・防御できますが、対応できる脅威には限度があります。セキュリティの堅牢性を高めるためには、物理的な対策や人的な対策など多角的に進めることが重要です。

パロアルトネットワークスは世界のさまざまな企業・組織のサイバーセキュリティパートナーとして、確かな経験と実績を持っています。エンドポイントセキュリティを含む総合セキュリティ対策を求めている企業様は、ぜひパロアルトネットワークスまでご相談ください。

• パロアルトネットワークスが手がけるサイバーセキュリティ

まとめ

IDSは不正侵入検知システム、IPSは不正侵入防止システムで、IPSは脅威の検知だけでなく防御も行うのが特徴です。IDS・IPSは、既知の攻撃パターンを検出するシグネチャ型と、通常と異なる通信を検出するアノマリ型の2種類の検知方式があります。

リアルタイム検知ができる点や従来では見逃しかねない脅威を検出できるのがメリットで、DoS・DDoS攻撃やマルウェア感染などを検知可能です。IDS・IPSを導入して、より強固なセキュリティ体制を築きましょう。