不正侵入検知(IDS)とは
IDS(Intrusion Detection System)は、ネットワークやシステム上で発生する不正アクセスや異常な通信をリアルタイムで監視し、管理者へ通知するセキュリティシステムです。IDSの目的は「侵入を止める」のではなく、「侵入の兆候を素早く検知し、対策を講じる時間を確保すること」にあります。
代表的な検知対象としては、外部からの不正アクセスや、マルウェアによる異常通信、ユーザーの不審な操作などが挙げられます。IDSはネットワークの通信内容やログ情報を常時モニタリングし、事前に登録された攻撃パターンや通常時からの逸脱をもとに検知を行います。
主に導入される場所は、社内ネットワークの内部、ファイアウォールの内側、DMZなどです。検知した情報はログとして記録されるため、インシデント調査や再発防止にも役立ちます。
不正侵入防御(IPS)とは
IPS(Intrusion Prevention System)は、ネットワークを流れる通信をリアルタイムで監視し、不正なアクセスや攻撃を検知した時点で自動的に遮断・ブロックするセキュリティシステムです。IDSと異なり、検知だけでなく防御機能を持つ点が特徴です。
具体的には、ネットワークの通信経路上に設置され、攻撃と判定されたパケットを破棄したり、接続元IPをブロックしたりすることで、攻撃の被害拡大を未然に防ぎます。IPSは「リアルタイム防御」に特化しており、特にDDoS攻撃やポートスキャンなどの即時対処が求められる脅威への対策に適しています。
主にゲートウェイやファイアウォールの外側などに設置され、企業の外部接続ポイントを守る「盾」のような役割を担います。
IDSとIPSの違い
IDSとIPSはいずれも不正アクセス対策に使われるシステムですが、「検知に特化したIDS」と「防御も行うIPS」では役割や導入目的が異なります。
IDSは、サイバー攻撃の兆候をリアルタイムで検知して管理者に通知することで、迅速な対応を可能にします。対してIPSは、検知した攻撃を自動で遮断・ブロックするため、被害を未然に防ぎたい場合に適しています。
それぞれの違いを、以下の図と表で比較して確認しましょう。
| 機能 | 構成 | |
|---|---|---|
| IDS | リアルタイムでトラフィックを監視し、不正アクセスや異常な通信を検知後、管理者へ通知する。 | ネットワーク上に設置し、通信内容をコピーして分析する。 |
| IPS | リアルタイムでトラフィックを監視し、不正アクセスや異常な通信を即座に遮断する。 | 通信経路に設置し、不正な通信を直接ブロックする。 |
「どちらを導入すべきか迷っている」「自社にあったセキュリティ対策を知りたい」という方は、複数の製品を比較できる無料資料をぜひご活用ください。実際に多くの企業が、IDS・IPSの導入によってセキュリティ体制の強化と効率化を実現しています。まずは資料請求をして、最適な対策の第一歩を踏み出しませんか。
IDS・IPSの種類
IDS・IPSには、主に「クラウド型」「ホスト型」「ネットワーク型」の3種類があります。導入目的や監視対象によって適した種類が異なるため、それぞれの特徴を理解しておきましょう。
クラウド型
クラウド型は、クラウド上に構築されたIDS・IPSを利用する方法です。ネットワーク構築や機器の設定が不要のため、導入しやすい点が魅力です。監視範囲や対応内容は製品ごとに異なりますが、運用・保守はベンダーに任せられるため、セキュリティ運用の負担軽減にもつながります。
ただし、クラウドベンダーの障害やネットワーク遅延の影響を受ける可能性がある点には注意が必要です。
ホスト型
ホスト型は、各サーバや端末(ホスト)にIDS・IPSをインストールして個別に監視を行う方法です。ログファイルやファイル改ざん、不正プロセスなど、OSレベルでの挙動を細かくチェックできるのが特徴です。
一方で、監視対象が限定されるため、保護したい端末が複数ある場合は、それぞれにインストールが必要となります。
ネットワーク型
ネットワーク型は、ネットワーク上に設置して通信パケットを監視する方法です。DMZ(※)やファイアウォールの内外など、広範囲のネットワークトラフィックをカバーできる点が強みです。異常検知や遮断のスピードも速く、企業の基幹ネットワーク全体を守る役割を担います。
※DMZ(非武装地帯)とは、外部ネットワークと社内ネットワークの中間に設けるエリアのこと。公開サーバなどを配置し、内部ネットワークへの侵入リスクを低減する目的で利用されます。
各方式のより詳細な違いや活用シーンについては、以下の記事で図解付きで紹介しています。
IDS・IPSの仕組み
IDS・IPSには、「シグネチャ型」と「アノマリ型」という2つの検知方法があります。どちらを採用するかによって、検知の精度や対応可能な脅威が異なります。
シグネチャ型(署名型)
シグネチャ型は、あらかじめ登録された既知の攻撃パターン(シグネチャ)と一致する通信を「不正」と判断する仕組みです。誤検知が少なく、安定した検知精度が得られる点がメリットです。
ただし、未知の攻撃や新種のマルウェアといった「パターン未登録」の脅威には対応が難しく、検知漏れの可能性があります。
アノマリ型(異常検知型)
アノマリ型は、あらかじめ「正常な通信のパターン(しきい値)」を学習・設定し、それと異なる動作を「異常」と判断して検知する仕組みです。未知の攻撃にも対応できる柔軟性があり、新たな脅威の早期発見に効果を発揮します。
一方で、正常な通信と少し異なるだけでアラートを出すため、誤検知が増えるリスクがあります。また、チューニングや分析の手間が発生するケースもあるでしょう。
それぞれの方式に強み・弱みがあるため、製品選定時は組み合わせの有無や自社に必要な検知レベルを確認しましょう。以下の記事では、検知方式に着目したIDS・IPS製品の選び方を詳しく解説しています。
IDS・IPSの防御対象
IDS・IPSの代表的な対応対象には、「DoS攻撃(DDoS攻撃)」「SYNフラッド攻撃」「バッファオーバーフロー攻撃」などがあります。ここでは、それぞれの攻撃手法についてわかりやすく解説します。
DoS攻撃(DDoS攻撃)
DoS(Denial of Service)攻撃は、Webサイトやサーバに対して大量のアクセスやデータを送りつけ、サービス停止や著しい遅延を引き起こすサイバー攻撃です。これにより、正規のユーザーがWebサービスを利用できなくなります。
さらに高度な攻撃であるDDoS(Distributed Denial of Service)攻撃は、複数のコンピュータから一斉に攻撃を仕掛けることで、より強力かつ広範な障害を発生させます。複数のIPから同時攻撃されるため、防御が難しく、攻撃元の特定も困難です。
SYNフラッド攻撃
SYNフラッド攻撃は、DoS攻撃の一種で、TCP通信の接続確立処理(三者間ハンドシェイク)を悪用する手法です。攻撃者は、送信元IPを偽装したSYNパケットを大量に送りつけ、サーバ側がACK応答後の返答を待ち続ける「半開状態」を大量に発生させます。
これにより、サーバのリソースが枯渇し、新規接続が受け付けられない状態(サービス不能)に陥ります。IDS・IPSはこのような不正な接続要求のパターンを検知・遮断することで被害を軽減します。
バッファオーバーフロー攻撃(BOF)
バッファオーバーフロー攻撃(Buffer Overflow Attack)は、プログラムのメモリ処理の脆弱性を突いた攻撃です。意図的に過剰なデータを送り込み、確保されたメモリ領域を超えさせることで、不正なコードを実行させたり、管理者権限を奪ったりする恐れがあります。
攻撃によっては、サーバの動作停止だけでなく、マルウェアの侵入やシステムの完全な乗っ取りにつながる危険性もあるため、適切な検知・防御が重要です。
このような高度化・巧妙化する攻撃に備えるには、自社のシステム構成やリスクに応じた製品の選定が欠かせません。以下の記事では、最新のIDS・IPS製品の特徴や選び方を比較しています。対策を検討中の方はぜひ参考にしてください。
IDS・IPSで防げない攻撃にはWAFの併用が効果的
IDS・IPSは、ネットワークやサーバへの不正アクセスを検知・遮断し、システム全体のセキュリティを強化する役割を果たします。しかし、すべてのサイバー攻撃に対応できるわけではなく、特にWebアプリケーション特有の脆弱性を狙ったサイバー攻撃に効果を発揮します。
そこで有効なのが、WAF(Web Application Firewall)の併用です。WAFは、SQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーションの脆弱性を突く攻撃に特化して防御を行います。
IDS・IPSが“外側”を、WAFが“内側(アプリケーション層)”を守るようなイメージで、多層的な防御を構築することが重要です。セキュリティリスクが多様化・複雑化する今、複数のツールを組み合わせた対策が求められています。
以下の記事では、WAFの仕組みや選び方、導入メリットをわかりやすく紹介しています。Webアプリケーションを保護したい方は、ぜひご覧ください。
まとめ
IDS・IPSとは、ネットワークやサーバへの不正アクセスを検知・遮断して被害を未然に防ぐセキュリティシステムです。導入形態には「クラウド型」「ホスト型」「ネットワーク型」があり、検知方式は「シグネチャ型」「アノマリ型」の2つに大別されます。
それぞれの方式には得意分野や制限があるため、自社のシステム環境やリスクに応じた最適な構成を選ぶことが、効果的なセキュリティ対策の第一歩です。さらに、WAFなど他のセキュリティ製品と併用することで、より強固な防御体制が実現できます。
ITトレンドでは、実際に多くの企業で導入されているIDS・IPS製品の比較資料を用意しています。まずは資料を取り寄せて、自社に合った製品選びの第一歩を踏み出しましょう。
