IPS・IDSとWAFの違い
IPS・IDSとWAFの違いは、ズバリ、それぞれの守備範囲です。では、それぞれについて見ていきましょう。
WAF:Webアプリケーションからの攻撃を防ぐ
外部ネットワークからの不正アクセスを防ぐ仕組みとしてWAF(Webアプリケーションファイアウォール)があります。WAFは名称に「ファイアウォール」が入っていますが、その機能は異なります。WAFはWebアプリケーションの脆弱性を悪用した攻撃などからシステムを守るものです。
Webアプリケーションの通信内容に「クロスサイトスクリプティング」や「SQLインジェクション攻撃」、「強制ブラウジング」などの手口の特徴的なパターンが含まれていた場合、WAFはそのトラフィックを直ちに遮断するなどの対策をとります。
WAFについてさらに知りたい方は以下の記事を参考にしてみてください。
IPS:OSやミドルウェア層
それに対して、IPSはOSやミドルウェア層に対する攻撃に特化しているのが特徴です。すべてのトラフィックを監視し、不正な通信と正常な通信を見分けます。ただし、WAFのように、SQLインジェクションやクロスサイトスクリプティングなどの特殊な攻撃には対応することはできません。
IPSについてさらに詳しく知りたい方は以下の記事をご覧ください。
IPS・IDSとファイアウォールの違い
これまでWAFとIPS・IDSの違いについて確認しました。それではファイアウォールとの違いは何でしょうか?大きな違いとしては「機能」と「機能する場所」があります。それでは以下で詳しくみていきましょう。
1.ファイアウォールはIDS・IPSと異なる働きをする
ファイアウォールとIDS・IPSは例えると高い塀と監視カメラです。ファイアウォールは敷地を囲み、不正アクセスを防ぐ高い壁です。一方IPS・IDSは不審な動きをしている通信がないか監視する監視カメラの役割でしょう。しかし、周囲に高い塀を巡らせるとして、どれほどに高い塀を巡らせても、それだけで十分とは言えません。
屋敷でも万が一の侵入に備えて、警備員を巡回させたり、敷地内に防犯カメラを設置したりといった方法とるように、ネットワーク上でファイアウォールとIDS・IPSが果たす役割は違うことを理解しましょう。
ファイアウォール:不正アクセスをブロック
ファイアウォールは外部から内部へ向けて発せられるトラフィックを基本的に拒否し、内部から外部へ発生したトラフィックと、その戻りのトラフィックのみ許可します。送信元情報と送信先情報(IPアドレス、ポート番号)を元に、内部ネットワークへのアクセスを制限するのです。
このように未知の外部ネットワークからの通信を拒否するファイアウォールですが、正当なパケットと不正なパケットを区別できない場合があります。
例えば、外部からのアクセスを内部から外部への通信(リクエスト)に対する戻りのトラフィックであるように見せかける方法があります。この場合、ステートフルインスペクション機能を搭載しているファイアウォールであれば、見分けられます。
ファイアウォールについてさらに詳しく知りたい方は以下の記事をご覧ください。
IPS・IDS:パケットを監視
しかし、外部から通常のアクセスを短時間に大量の送りつける攻撃を仕掛けた場合、パケットそのものは正当なパケットと何ら変わりないので、ステートフルインスペクションでもこれが攻撃パケットであると判断できません。
そこでパケットの内容を監視して、ルールやパターンによって異常検知するIDSやIPSの出番となります。
2. ファイアウォールはIDS・IPSと働く場所が違う
ファイアウォールとの違いとIDS・IPSの違いとして、「機能する場所」の違いがあげられます。この「場所」とは、大きく3つに分類されます。まずはそのエリアについて確認し、ファイアウォール、IDS・IPSそれぞれがどこで機能するのかについて解説します。
3つのエリア分かれるネットワークセキュリティ
それぞれのシステムが働く場所を確認しておきましょう。通常ネットワークセキュリティを検討する場合、ネットワークを3つに分けるのが一般的です。
具体的には社内ネットワークなどの「内部ネットワーク」、インターネットなどの「外部ネットワーク」、内部・外部ネットワークの両方から隔離された「DMZ(DeMilitarized Zone=非武装地帯)」です。
DMZにはおもに外部ユーザに公開されたサーバを置きます。これにより、公開サーバを乗っ取られるようなことがあっても内部ネットワークを守ることが可能です。ファイアウォールは、インターネットへの出入口に設置されます。ファイアウォールの外側が外部ネットワーク、内側がDMZと内部ネットワークとなります。
ファイアウォール:外部と内部ネットワークの間に設置
多くの企業では、ファイアウォールとIDS・IPSを組合せてセキュリティの強化を図ります。具体的にはファイアウォールは「外部ネットワーク」と「内部ネットワーク及びDMZ」の間に設置して外部からの攻撃をブロックします。
IPS・IDS:種類によって異なる
IPS・IDSは、サーバーにインストールするホスト型の場合、ファイアウォールの内側で「内部ネットワークにあるコンピュータ上」に設置されます。ネットワーク型の設置パターンは「ファイアウォールの外側」「DMZ上」「内部ネットワーク上」の3ヶ所です。
またIDS・IPSは、設置場所によって目的が異なってきます。ファイアウォールの外側に設置する場合は、ログを取得して攻撃を把握、分析することが目的です。防御を重視する場合は、ファイアウォールと防御能力を補完し合えるようにファイアウォールの内側に設置します。
そして、DMZ上ではファイアウォールでブロックできなかった攻撃を検出・防御し、内部ネットワーク上では内部の不正なアクセスや通信を監視します。
こちらの記事では、IDS・IPS製品について詳しく解説しています。ITトレンドで人気の製品も紹介しているので、気になる方はあわせてご覧ください。
IPS/IDSとWAF、ファイアウォールの違いを理解し、対策を
このように、IDS・IPSとWAF、ファイアウォールはどれもシステムをおもに外部ネットワークを経由する不正アクセスから守るという働きを持っていますが、その監視対象や目的、守備範囲が異なっています。
そこでこれらを組み合わせることでより強固なセキュリティシステムを構築することができ、自社システムとユーザを守ることができるのです。逆に、どれかが欠けることでセキュリティ対策に穴ができてしまうのも事実。
そのため、総合的なセキュリティ対策を行う一環として、まだIDS・IPSの導入が済んでいない場合は資料請求を行い、導入を検討していきましょう。
