IDS・IPSはファイアウォール、WAFとどう違う?
不正侵入検知・防御システム(IDS・IPS)の製品一覧
セキュリティといえばファイアウォールやウィルス対策ソフトが定番ですが、これらと組み合わせることでセキュリティ環境をより充実させることができるIDS(不正侵入検知システム)やIPS(不正侵入防御システム)の認知度も高まってきています。IDSやIPSとファイアウォールなど、他のセキュリティシステムはどのように異なっているのでしょう?
- 不正侵入検知・防御システム(IDS・IPS)の製品をお探しの方はこちら
-
「IPS・IDS」と「ファイアウォール」の違い違い その1:ファイアウォールはIDS・IPSと異なる働きをする
ファイアウォールとIDS、どちらも大切なシステムを外部からの不正な侵入から守ってくれる、頼れる存在です。例えば、敷地を守るために家の周囲に高い塀を巡らせるとして、どんなに高い塀を巡らせても、それだけで十分とは言えません。万が一の侵入に備えて、警備員を巡回させたり、敷地内に防犯カメラを設置したりといった方法を併用するのではないでしょうか。
この「塀」がファイアウォールだとしたら、IDSは「警備員や防犯カメラ」。つまり、併用することで、より充実したセキュリティ環境を構築することができるのです。
ファイアウォールは外部から内部へ向けて発せられるトラフィックを基本的に拒否し、内部から外部へ発生したトラフィックと、その戻りのトラフィックのみ許可します。送信元情報と送信先情報(IPアドレス、ポート番号)を元に、内部ネットワークへのアクセスを制限するのです。
未知の外部ネットワークからの通信を拒否するファイアウォールですが、正当なパケットと不正なパケットを区別できない場合があります。例えば、外部からのアクセスを内部から外部への通信(リクエスト)に対する戻りのトラフィックであるように見せかける方法があります。。この場合、ステートフルインスペクション機能を搭載しているファイアウォールであれば、見分けることができます。
しかし、外部から通常のアクセスを短時間に大量の送りつける攻撃を仕掛けた場合、パケットそのものは正当なパケットと何ら変わりないので、ステートフルインスペクションでもこれが攻撃パケットであると判断できません。そこでパケットの内容を監視して、ルールやパターンによって異常検知するIDSやIPSの出番となります。
違い その2:ファイアウォールはIDS・IPSと働く場所が違う
それぞれのシステムが働く場所を確認しておきましょう。通常ネットワークセキュリティを検討する場合、ネットワークを3つに分けるのが一般的です。社内ネットワークなどの「内部ネットワーク」、インターネットなどの「外部ネットワーク」、内部・外部ネットワークの両方から隔離された「DMZ(DeMilitarized Zone=非武装地帯)」です。
DMZにはおもに外部ユーザに公開されたサーバを置きます。これにより、公開サーバを乗っ取られるようなことがあっても内部ネットワークを守ることができるのです。ファイアウォールは、インターネットへの出入口に設置されます。ファイアウォールの外側が外部ネットワーク、内側がDMZと内部ネットワークとなります。
多くの企業では、ファイアウォールとIDS・IPSを組合せてセキュリティの強化を図ります。ファイアウォールは「外部ネットワーク」と「内部ネットワーク及びDMZ」の間に設置して外部からの攻撃をブロックします。
IDS・IPSはホスト型の場合、ファイアウォールの内側で「内部ネットワークにあるコンピュータ上」に設置されます。ネットワーク型の場合は「ファイアウォールの外側」「DMZ上」「内部ネットワーク上」の3ヶ所の設置パターンがあります。
IDS・IPSは、設置場所によって目的が異なってきます。ファイアウォールの外側に設置する場合は、ログを取得して攻撃を把握、分析することが目的となります。防御を重視する場合は、ファイアウォールと防御能力を補完し合えるようにファイアウォールの内側に設置します。そして、DMZ上ではファイアウォールでブロックできなかった攻撃を検出・防御し、内部ネットワーク上では内部の不正なアクセスや通信を監視します。
「IPS・IDS」と「WAF」の違い
もうひとつのネットワークセキュリティWAFの守備範囲
外部ネットワークからの不正アクセスを防ぐ、もうひとつの仕組みにWAF(Web Application Firewall=Webアプリケーションファイアウォール)があります。WAFは名称に「ファイアウォール」が入っていますが、その機能は異なります。WAFはWebアプリケーションの脆弱性を悪用した攻撃などからシステムを守るシステムなのです。
WAFは通信データの内容を機械的に解析できるのが特徴で、従来のファイアウォールやIDS・IPSではブロックしきれなかった、ユーザからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐことができます。
Webアプリケーションの通信内容に「クロスサイトスクリプティング」や「SQLインジェクション攻撃」、「強制ブラウジング」などの手口の特徴的なパターンが含まれていた場合、WAFはそのトラフィックを直ちに遮断するなどの対策をとります。
まとめ ~ セキュリティ対策は総合的に ~
このように、IDS・IPS、ファイアウォール、WAFはどれもシステムをおもに外部ネットワークを経由する不正アクセスから守るという働きを持っていますが、その監視対象や目的、守備範囲が異なっています。これらを組み合わせることで、より強固なセキュリティシステムを構築することができ、自社システムとユーザを守ることができるのです。
現在、情報セキュリティは、複雑化しているため、これで完璧という状態に到達することは難しくなっています。あらゆるリスクを想定して、あらゆる手段を講じなければなりません。今回は、特にネットワークセキュリティを中心に各カテゴリーの製品の比較をしました。どれが良いかではなく、それぞれの役割を整理して総合的なセキュリティ対策が必要です。
IDS・IPS(不正侵入検知・防御システム)の製品選びに迷うようであれば、IDS・IPSの人気製品ランキング情報などを参考にしてみましょう。ぜひこの機会に自社に最適なIDS・IPSの導入検討をはじめてください。
【併せて読みたい】不正侵入検知・防御システム(IDS・IPS)のオススメ記事
-
第1位
FortiGateは、企業のインターネットゲートウェイに必要なセキュリティ機能9つを一台で実現する、UTM(統合脅威管理)/次世代ファイアウォールアプライアンスです。
キヤノンシステムアンドサポート株式会社
-
第2位
IDS/IPSに加え、DNS切替えだけでDDoS対策・FW・WAFの各専用機器が「ワンストップ」で利用可能。導入だけでなく「運用」の手間も省きます。脅威分析専門ベンダーの「SOC」運用と月次レポート付き。
株式会社エヌ・ティ・ティピー・シーコミュニケーションズ
-
第3位
社内ネットワークへの未許可端末によるアクセスを検知・遮断します。 既存ネットワーク構成の変更不要!管理ツールによる集中管理により未許可PCを接続させません。
株式会社ソフトクリエイト
- ランキングTOP10をチェック
不正侵入検知・防御システム(IDS・IPS)
| 7月16日(月) 更新 | |
 |
|
|---|---|
 |
|
 |
|
 ランキング一覧へ
|
|
