サイバー攻撃の脅威が日々増大する中で、自社のネットワーク、システムを守るためには、侵入の兆候をいち早く検知・防御する仕組みが不可欠です。

そこで重要な役割を果たすのがIDSとIPSですが、それぞれ機能が異なるため、適切に導入できるよう違いを知っておきましょう。

本記事では、IDSとIPSの特徴や違い、仕組み、種類、防御できる攻撃などについて解説しています。

よりセキュリティを高める方法もまとめているので、ぜひ参考にしてください。

IDS・IPSの違い

	機能	構成
IDS	ネットワークやシステム内の通信を監視攻撃の疑いや不正アクセスの兆候があれば管理者へアラートを発して迅速な対応を促す	ネットワークの通信経路に直接は入らず、通信内容のコピーを受け取って監視する。
IPS	攻撃の疑いや怪しい通信をリアルタイムで検査異常を検知した場合には自動的に遮断・防御する。	すべての通信がIPSを必ず通過するよう、ネットワークの通信経路上に設置される。

不正アクセスや攻撃に早期に気づき、脅威に素早く対応するためには、システムやネットワーク内部の監視と防御を強化する必要があります。

そこで重要な役割を果たすのが、IDSとIPSです。脅威となる侵入に対して、適切に検知とブロックができれば、セキュリティリスクを大きく軽減できます。

まずは、IDSとIPSそれぞれの特徴と仕組み、役割などを確認しておきましょう。

IDSとは

IDS（Intrusion Detection System / 侵入検知システム）は、通信を監視して不正なアクセスやサイバー攻撃を検出するための仕組みです。

リアルタイムでログを解析し、異常な通信のパターンや攻撃行動などを検知した際には、管理者へアラートを出して被害の拡大を防ぎます。

例えば、自社サービスへの通信の中には、サイバー攻撃が隠れている可能性がありますが、それを防ぐためにすべての通信を遮断してしまうのは現実的ではありません。

単純な通信の遮断ではなく、IDSを利用すれば、正規ユーザーからのリクエストを遮ることなく、不正なアクセスを見つけ出すことが可能です。

企業では、外部からの攻撃や内部不正の早期発見を目的に導入されるケースが多く、情報漏洩、システム停止といったリスクの防止に役立っています。

IPSとは

IPS（Intrusion Prevention System / 侵入防止システム）は、サーバーなどを常時監視し、通信の異常や不正なアクセスを検知するセキュリティシステムです。

不正アクセスやサイバー攻撃のパターンを比較し、それらが脅威であると判断した場合、その不審な通信を自動的にブロックして被害を防ぎます。

例えば、異常なパケットの遮断、セッションの強制終了、不正IPアドレスからの通信を拒否するといった対応が可能です。

このような特性上、ネットワークの境界部分に設置されるため、不正アクセスがシステムの内部に到達する前に防御する役割を担います。

また、24時間365日体制で、監視・検知・防御を自動で行うため、セキュリティの強化や人的リソースの削減も見込めます。

 

参考記事：IPS（不正侵入防止システム）とは？セキュリティの仕組みやメリットなどを解説

IDS・IPSの役割

IDSとIPSは、どちらも通信を監視し、不正アクセスをはじめとする異常検知の働きがあります。

ただし、異常を検知した際、IDSが管理者への通知にとどまる一方で、IPSは必要に応じて通信の遮断を行う点が大きな違いです。

また、IDSは基本的に通信経路の外側で通信のコピーを監視しますが、異常な通信のブロックができるIPSは、通信経路に設置しなければなりません。

このような違いから、例えるならIDSは監視カメラ、IPSは検問所のような機能であるといえるでしょう。

ただし、昨今は通信の遮断が行えるIDS製品もリリースされているため、IDSとIPSがほぼ同じ意味で使われることもあります。

IDS・IPSの2つの仕組み

IDS・IPSで脅威を検出する方法は、すでに知られている攻撃のパターンをもとに分析する「シグネチャ型」と、異常な振る舞いを発見する「アノマリ型」の2つに分けられます。

それぞれに得意とする領域や運用上の特徴が異なるので、その仕組みと違いを理解しておくことは、適切なセキュリティ対策を設計するうえで重要です。

シグネチャ型（署名型）

シグネチャ型とは、あらかじめ登録しておいた検知ルール（シグネチャ）と、通信データを照合して不正アクセスを検知する方式で、署名型とも呼ばれます。

例えば、特定のウイルスが持つファイル構造や、SQLインジェクションのリクエスト形式などの特徴をデータベース化し、リアルタイムで行われている通信の内容と照合する仕組みです。

シグネチャの調整によって、高確率で既知の脅威を検出することが可能になりますが、新たな攻撃や変異した脅威には対応しにくいという欠点もあります。

そのため、重大な未知の脅威をスルーしてしまう恐れも否定できません。

こうした未知の攻撃を正確に処理するためには、検知ルールの更新や細かな調整が必要になるため、継続的なメンテナンスが不可欠です。

アノマリ型（異常検知型）

アノマリ型は、プログラムの正常な動作パターンを学習しておき、そのパターンから外れる動きを検知する方式で、その特徴から異常検知型とも呼ばれます。

例えば、普段使わないポートへの大量アクセスや、特定のユーザーによる急激な通信量の増加などが異常として挙げられるでしょう。

この方法は、未知の攻撃やゼロデイ攻撃にも対応できるため、シグネチャ型より高い検知能力があるという意見もあります。

ただし、正常と異常の判断は難しく、誤検知のリスクが高くなる可能性があるため、精密なチューニングが求められます。

万が一、必要な通信が誤って遮断されれば、業務に支障をきたす可能性があるため、適切な対策が必要です。

IDS・IPSの種類

IDS・IPSは、その設置場所や監視対象によって、いくつかの種類に分けられます。

ここでは、クラウド上でセキュリティ対策を行う「クラウド型」、ネットワーク全体を対象にする「ネットワーク型」、端末やサーバーに導入する「ホスト型」、について、それぞれ解説します。

クラウド型

クラウド型は、クラウドサービスとしてIDS・IPSを提供するソリューションです。

インターネット経由で利用できるため、ネットワークの設定を変更せずに導入できる点がメリットです。

クラウド側で脅威情報が常時アップデートされる仕組みのため、新たな攻撃への対応力を常に維持できます。

また、サービスを提供する事業者が、設定や検知パターンの調整を行うため、運用の手間が少ないことから、情報システムの専任担当者が不在だったり、限られた体制で運営している企業にも導入しやすい形式といえるでしょう。

ただし、IDS・IPSの検知精度や機能面はサービス提供事業者によって異なるため、導入時にはそれらの違いを見極めたうえで慎重に選定する必要があります。

ネットワーク型

ネットワーク型は、組織全体の通信を対象に、不正アクセスや攻撃を検知・防御するIDS・IPSの方式です。

攻撃の兆候が見られた際には、リアルタイムでアラートを出したり、必要に応じて通信を遮断するなど、ネットワーク全体の防御を担います。

ホスト型やクラウド型と比較しても、カバー範囲が広いのが特徴で、複数のシステムにまたがる攻撃にも一括で対応できるのが強みです。

ただし、個別のサーバーや端末ごとに細かく設定を変更するのには向いておらず、柔軟な運用を求める環境では制限を感じる可能性がある点に注意が必要です。

ホスト型

ホスト型は、監視対象となる各サーバー（ホスト）に専用のIDS・IPSソフトウェアをインストールし、通信内容やログを詳細に分析する方式です。

ネットワーク経由の外部攻撃だけでなく、サーバー内部で発生する異常な挙動や不正プログラム、ファイルの改ざんなども検知できるため、内部攻撃への備えとして有効です。

特に、端末単位でのきめ細かなセキュリティ監視が必要な場面に適しており、ネットワーク型では検知しにくい挙動にも対応可能です。

一方で、サーバーごとに個別でソフトを導入・管理する必要があるため、導入対象が多くなると管理負担が大きくなりやすい点には注意が必要です。

また、台数が増えるにつれてインストールや運用コストもかさむため、導入前には十分なリソースと予算の見積もりが求められます。

IDS・IPS防御できるセキュリティリスク

IDS・IPSは、サービスの停止を狙うDoS・DDoS攻撃、接続を妨害するSYNフラッド攻撃、プログラムの脆弱性を突くバッファオーバーフロー攻撃といった手口に対して有効です。

これらの攻撃の特徴について、詳しく見ていきましょう。

DoS攻撃・DDoS攻撃

DoS攻撃とは、Webサイトやサーバーに対して、大量のアクセス・データを送りつけることで、サーバーダウンやサービスの停止を招くサイバー攻撃です。

単一のコンピュータから実行されるDoS攻撃に対し、DDoS攻撃では複数のコンピュータが同時に攻撃を仕掛けてきます。

そのため、DDoS攻撃は送信されるデータ量がDoS攻撃に比べて圧倒的に多く、Webサイトやサーバーにかかる負荷は計り知れません。

また、複数のIPアドレスから攻撃が行われる特性上、防御しにくく、攻撃元を特定するのも困難です。

DoS・DDoS攻撃は被害範囲が広く、業務の停止や顧客からの信用失墜といった甚大な影響を及ぼしかねないため、適切に防がなければなりません。

 

参考記事：DDoS攻撃への対策法を徹底解説！初期症状や対策しないリスクを解説

SYNフラッド攻撃

SYNフラッド攻撃は、DoS・DDoS攻撃の一種で、サーバーに過剰な負荷をかけ、最終的にサービスを停止させることを目的としたサイバー攻撃です。

攻撃者は、接続要求（SYNパケット）だけを大量に送りつけ、サーバーに応答待ちの状態を大量発生させ、リソースを枯渇させます。

通常、SYNパケットが送られると、サーバーはACKパケットを返して接続元からの応答を待ちますが、SYNフラッド攻撃は意図的にこの応答を阻害するという仕組みです。

その結果、正規ユーザーの接続要求が処理できず、システムは一時的な利用不能に陥ります。

IDSは、このような通常と異なる大量のSYNパケットを検知して警告を出し、IPSは異常な接続要求をリアルタイムで遮断してサーバー保護を行います。

SYNフラッド攻撃は、Webサイトの基本的な仕組みを利用しているため、検知と防御には繊細なトラフィック解析が必要です。

バッファオーバーフロー攻撃

バッファオーバーフロー攻撃（BOF）とは、本来のメモリ容量を超えるデータを送り込むことで、プログラムを誤作動させるサイバー攻撃です。

一度に大量のデータを受け取るために、プログラムのメモリ領域（バッファ）のキャパを超え、バッファオーバーフローが発生します。

その結果、本来であれば許可されていない領域が上書きされ、データの破損や意図しないプログラムコードの実行などが引き起こされます。

この攻撃は、とくに脆弱なソフトウェアや古いシステムに対して有効です。攻撃者はバッファを溢れさせることで、管理者権限を奪ったりマルウェアを実行したりできます。

管理者権限が不正に取得されれば、サイバー攻撃の踏み台として利用されるといった被害にもつながりかねません。

IDS・IPSの弱点

IDSやIPSは、サイバー攻撃の検知・防御が可能ですが、以下のようにWebアプリケーションを標的とした攻撃の対策にはあまり適していません。

• SQLインジェクション
• クロスサイトスクリプティング
• OSコマンドインジェクション

例えば、SQLインジェクションやXSSは、HTTPリクエストに隠れて実行されるため、パケット単位で通信を検査するIDS・IPSでは検知が難しいケースがあります。

サーバーやネットワークなど、広範囲を監視するという点では、たしかにIDSやIPSは優れています。

しかし、上記のように高い精度の対応が求められる攻撃に対しては、十分に防御できない可能性があるので注意が必要です。

Webアプリケーションのセキュリティを強化するには、IDSやIPSに加えて、WAF（Web Application Firewall）などの導入を検討するとよいでしょう。

IDS・IPSと併せて知っておきたいセキュリティ製品

IDSやIPSは、ネットワークを監視・防御するうえで重要な存在ですが、サイバー攻撃の手口が多様化する現在において、これだけでは十分なセキュリティ対策とはいえません。

より強固なセキュリティ体制を築くためには、IDS・IPSと連携しながら異なる層でリスクに対処できる製品を併用する必要があります。

ここでは、多層的なセキュリティ対策に有効なWAF、ファイアウォール、UTMについて、それぞれ解説していきます。

WAF

WAF（Web Application Firewall）は、Webサイト、Webアプリケーションへの攻撃を防ぐためのセキュリティシステムです。

Webアプリケーションへのアクセスパターンを記録し、細かくチェックして通信の可否を判断します。

SQLインジェクションやXSSなど、Webアプリケーションをターゲットにした攻撃は、ミドルウェア層への攻撃検知に適したIDS・IPSでは防げません。

WAFを用いることで、Webアプリケーションへの脅威を検知、防御できるようになります。

クッキーやパラメータの改ざんといった攻撃にも強いため、センシティブな情報のやりとりを要するWebサービスに導入するのがおすすめです。

Webサイト、Webアプリケーション上で、顧客情報やクレジットカード情報の入力などを求める場合は、WAFの導入を検討しましょう。

ファイアウォール

ファイアウォールは、外部からの不正アクセスやサイバー攻撃から内部ネットワークを保護するためのセキュリティシステムです。

防火壁と訳されることもあり、外部ネットワークと内部ネットワークの間に設置して、脅威を防ぎます。

ファイアウォールでは、通信の送信元や宛先のIPアドレス、ポート番号などに基づき、通信を許可するか拒否するかを判断します。

ただし、通信の内容まではチェックしないため、OSやWebサーバーの脆弱性を突いた攻撃には対応できないケースがあるため、注意が必要です。

例えば、通信に悪意あるデータが入っていた場合でも、ファイアウォールが「表面的に問題ない」と判断して通してしまうことがあります。

これに対して、IDS・IPSでは通信内容まで監視できるため、ファイアウォールだけでは防ぎきれないサイバー攻撃の検知、防御が可能です。

UTM

UTM（Unified Threat Management）は、複数の情報セキュリティ機能を一つにまとめたサービスです。

統合脅威管理と訳され、IPS・IDS、ファイアウォール、アンチウイルスなどの機能が1つの製品に組み込まれています。

複数の機能を一括で備えていることにより、セキュリティ対策を効率的に行える点が特徴です。

また、運用管理が一元化でき、トラブル対応や設定変更がスムーズに行えるほか、専門業者に依頼すれば知識がなくても簡単にセキュリティ対策を実施できます。

サイバー攻撃は年々多様化・巧妙化しているため、ファイアウォールなどの機能が搭載されたUTMで総合的なセキュリティ対策を行うのが望ましいでしょう。

 

参考記事：UTM（統合脅威管理）とは？概要や主な機能、導入事例を解説

IDSとIPSの違いを理解して最適なセキュリティ環境を構築しよう

IDS・IPSは、不正アクセスやサイバー攻撃といったリスクを早期に発見し、防御するために役立ちます。

ホスト型、クラウド型、ネットワーク型の3種類があるため、設置する場所や監視対象、予算に合わせて、適切なものを選びましょう。

DoS・DDoS攻撃やバッファオーバーフロー攻撃などに対して有効なIDS・IPSですが、Webアプリケーションへの攻撃に対しては効果を発揮できません。

そのため、より高度なセキュリティ対策を実施するためには、WAFやUTMの導入を検討するとよいでしょう。

FLESPEEQ UTMは、IDS・IPSやファイアウォールなど、複数の機能をひとつにまとめたUTMサービスです。

システムの一元化によってコストの低減を図るとともに、運用管理者の負担も大きく軽減させることが可能です。

インターネット接続とセットになった「クラウド型」と、拠点に機器を設置する「オンプレ型」をご用意しているので、規模や業務内容に合わせてお選びいただけます。

自社にとって適切なセキュリティがわからないという場合でも、専門スタッフが丁寧に対応いたしますので安心してご相談ください。

日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。