IDS・IPSとWAF、ファイアウォールの違いとは？

IPS・IDSとWAFの違いとは

IPS・IDSとWAFの違いは何でしょうか？まずはWAFの意味や働きを確認し、IPS・IDSとの違いについて解説していきます。

WAFは外部ネットワークからの不正アクセスを防ぐ

外部ネットワークからの不正アクセスを防ぐ仕組みとしてWAF（Webアプリケーションファイアウォール）があります。WAFは名称に「ファイアウォール」が入っていますが、その機能は異なります。WAFはWebアプリケーションの脆弱性を悪用した攻撃などからシステムを守るものです。

▼WAFの意味や機能を詳しく知ろう！
参考記事：今更聞けない、WAFの基礎知識

IPS・IDSとWAFの違いは守備範囲

WAFは通信データの内容を機械的に解析できるのが特徴で、従来のファイアウォールやIDS・IPSではブロックしきれなかった、ユーザからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐことができます。

Webアプリケーションの通信内容に「クロスサイトスクリプティング」や「SQLインジェクション攻撃」、「強制ブラウジング」などの手口の特徴的なパターンが含まれていた場合、WAFはそのトラフィックを直ちに遮断するなどの対策をとります。

IPS・IDSとファイアウォールの違いとは

これまでWAFとIPS・IDSの違いについて確認しました。それではファイアウォールとの違いは何でしょうか？大きな違いとしては「機能」と「機能する場所」があります。それでは以下で詳しくみていきましょう。

違い１. ファイアウォールはIDS・IPSと異なる働きをする

ファイアウォールとIDS、どちらも大切なシステムを外部からの不正な侵入から守ってくれる、頼れる存在です。例えば、敷地を守るために家の周囲に高い塀を巡らせるとして、どんなに高い塀を巡らせても、それだけで十分とは言えません。

万が一の侵入に備えて、警備員を巡回させたり、敷地内に防犯カメラを設置したりといった方法を併用するでしょう。

この「塀」がファイアウォールだとしたら、IDSは「警備員や防犯カメラ」です。つまり、併用することで、より充実したセキュリティ環境を構築することができるのです。

未知の外部ネットワークからの通信を拒否するファイアウォール

ファイアウォールは外部から内部へ向けて発せられるトラフィックを基本的に拒否し、内部から外部へ発生したトラフィックと、その戻りのトラフィックのみ許可します。送信元情報と送信先情報（IPアドレス、ポート番号）を元に、内部ネットワークへのアクセスを制限するのです。

このように未知の外部ネットワークからの通信を拒否するファイアウォールですが、正当なパケットと不正なパケットを区別できない場合があります。

例えば、外部からのアクセスを内部から外部への通信（リクエスト）に対する戻りのトラフィックであるように見せかける方法があります。この場合、ステートフルインスペクション機能を搭載しているファイアウォールであれば、見分けることができます。

ルールやパターンでパケットを監視するIPS・IDS

しかし、外部から通常のアクセスを短時間に大量の送りつける攻撃を仕掛けた場合、パケットそのものは正当なパケットと何ら変わりないので、ステートフルインスペクションでもこれが攻撃パケットであると判断できません。

違い２. ファイアウォールはIDS・IPSと働く場所が違う

ファイアウォールとの違いとIDS・IPSの違いとして、「機能する場所」の違いがあげられます。この「場所」とは、大きく３つに分類されます。まずはそのエリアについて確認し、ファイアウォール、IDS・IPSそれぞれがどこで機能するのかについて解説します。

３つのエリア分かれるネットワークセキュリティ

それぞれのシステムが働く場所を確認しておきましょう。通常ネットワークセキュリティを検討する場合、ネットワークを3つに分けるのが一般的です。

具体的には社内ネットワークなどの「内部ネットワーク」、インターネットなどの「外部ネットワーク」、内部・外部ネットワークの両方から隔離された「DMZ（DeMilitarized Zone＝非武装地帯）」です。

DMZにはおもに外部ユーザに公開されたサーバを置きます。これにより、公開サーバを乗っ取られるようなことがあっても内部ネットワークを守ることができるのです。ファイアウォールは、インターネットへの出入口に設置されます。ファイアウォールの外側が外部ネットワーク、内側がDMZと内部ネットワークとなります。

ファイアウォールは外部と内部ネットワークの間に設置する

多くの企業では、ファイアウォールとIDS・IPSを組合せてセキュリティの強化を図ります。具体的にはファイアウォールは「外部ネットワーク」と「内部ネットワーク及びDMZ」の間に設置して外部からの攻撃をブロックします。

IPS・IDSは設置場所によって働きがかわる

IPS・IDSはホスト型の場合、ファイアウォールの内側で「内部ネットワークにあるコンピュータ上」に設置されます。ネットワーク型の場合は「ファイアウォールの外側」「DMZ上」「内部ネットワーク上」の3ヶ所の設置パターンがあります。

またIDS・IPSは、設置場所によって目的が異なってきます。ファイアウォールの外側に設置する場合は、ログを取得して攻撃を把握、分析することが目的となります。防御を重視する場合は、ファイアウォールと防御能力を補完し合えるようにファイアウォールの内側に設置します。

そして、DMZ上ではファイアウォールでブロックできなかった攻撃を検出・防御し、内部ネットワーク上では内部の不正なアクセスや通信を監視します。

セキュリティ対策は総合的に行おう！

このように、IDS・IPS、ファイアウォール、WAFはどれもシステムをおもに外部ネットワークを経由する不正アクセスから守るという働きを持っていますが、その監視対象や目的、守備範囲が異なっています。

そこでこれらを組み合わせることでより強固なセキュリティシステムを構築することができ、自社システムとユーザを守ることができるのです。

現在情報セキュリティは複雑化しているため、これで完璧という状態に到達することは難しくなっています。あらゆるリスクを想定して、あらゆる手段を講じなければなりません。今回は特にネットワークセキュリティを中心に各カテゴリーの製品の比較をしました。どれが良いかではなく、それぞれの役割を整理して総合的なセキュリティ対策が必要です。