IDS・IPS（不正侵入検知・防御）とは？違いや仕組みを図解！

不正侵入検知（IDS）と不正侵入防御（IPS）

まずは不正侵入検知(IDS)と不正侵入防御(IPS)の意味や働きの違いについて確認しましょう。

不正侵入検知（IDS）とは

IDSとはIntrusion Detection Systemの略で、Intrusion（＝侵入）をDetection（＝検知、検出）するシステムとして、侵入検知システムと呼ばれています。システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が確認できた場合に管理者への通知といったアクションと行います。

不正侵入防御（IPS）とは

これに対してIPSはIntrusion（＝侵入）を Prevention（＝防御）するシステム、すなわち侵入防御システムと呼ばれています。ファイアウォールで防げない脅威もIPSなら対処できることから、セキュリティ強化としてファイアウォールに続けて多く導入されることがあります。

IDSとIPSの違いは不正行為検出後の行動にあり！

IDS、IPS共に外部からの不正なアクセスを検知するだけでなく、例えば内部の機密情報を外部に不正に公開するといった悪質な行為を検知することも可能となっているのです。

ではその違いはなんでしょうか。IDSもIPSもシステムやネットワークに対する外部からの不正行為を検出するシステムですが、検出後のアクションによって区分されています。不正行為を検出後、指定されたアクション（例えばシステム管理者に通知するなど）を起こすものの防御措置は取らないのがIDS、検出後直ちにトラフィックを遮断するなどの防御措置を取るのがIPSです。

IDSが不正を検知して管理者に通知をしても、対応にはある程度の時間がかかります。管理者対応までの時間に被害が拡大することもあり得るのです。そこで、IDSに疑わしいアクセスを自動的に遮断する機能をもたせたものがIPSであると言えます。

ファイアウォールやウィルス対策ソフトと比べると、あまり知られていないのも事実ですが、これらと連携することでより強靭なセキュリティ環境を築くことができるのです。

ネットワーク上やホスト上でトラフィックを監視

IDS（不正侵入検知システム）にはNIDS（Network-Based IDS＝ネットワーク型IDS）と、HIDS（Host-Based IDS）があります。これらは名称の通り、「ネットワーク上でトラフィックを監視するIDS」と「ホストに常駐して不正侵入を検知するIDS」です。

ネットワーク型IDS

ネットワーク型IDSはネットワーク上を流れる通信パケットを収集し、そのデータやプロトコルヘッダを解析します。通常監視対象となるネットワークに設置されますが、直接接続しているネットワークセグメントについてのみ監視できるので、DMZ（＝非武装地帯：公開サーバなど）、社内ネットワーク、ファイアウォールの外側など、監視したいネットワークのそれぞれに配置する必要があります。

ホスト型IDS

ホスト型IDSは監視対象のサーバなどにインストールして、OSが記録するログファイルやサーバ内のファイル改ざんを監視します。OSの監視機能と連携して不正侵入を検出するのです。もちろん、インストールされたホストにしか働かないので、システムに保護したいPCが複数ある場合はそれぞれにインストールする必要があります。

ネットワーク型IDSはホスト型IDSに比べて導入が簡単であり、リアルタイムでクラッカーの攻撃を検出できるというメリットがあります。

IDS・IPSが不正侵入を検知する２つの仕組みとは

IDS・IPSが不正侵入を検知する仕組みは２つあります。具体的には、IDSは不正侵入や悪意あるアクセスを検出する仕組みによって、「不正検出型」と「異常検出型」にも分類されます。以下ではこの２つの仕組みについて詳しく解説します。

シグネチャとのマッチングで検出する不正検出

不正検出とは多くのIDSで採用されている不正検出（Misuse Detection）は、あらかじめ登録されたシグネチャと呼ばれるパターンやルールとマッチングさせて侵入検出を行う仕組みです。

IDSがシグネチャと一致したパケットを発見すると、不正侵入あるいは攻撃の予兆とみなして対応するのです。このタイプのアルゴリズムでは、既知の手口を使った侵入のみしか検出することができません。

通常と異なるトラフィックを検出する異常検出

対して異常検出（Anomaly Detection）では、通常とは違ったトラフィックを検出する仕組みで、未知の手口を使った侵入も見つけることができます。ログイン時刻やネットワークトラフィック状況、使用コマンドなどの条件に対して、通常時のしきい値を設定し、これと異なった場合に異常と判断します。最近のIDS製品ではこれらの両方の検出手法を採用したものも多くあります。

ちょっと難しい…という方は下の図で仕組みを理解していきましょう。不正侵入型はあらかじめ怪しいパターンやルールをまとめたブラックリスト（シグネチャ）を用意しておき、それらと一致したものが見つかった場合に対応します。それに対し異常検出型は他と異なる動きをしている場合に異常と判断するのです。

合わせて知っておきたい！IDS、IPSとWAFの違い

外部ネットワークからの不正アクセスを防ぐ、もうひとつの仕組みにWAF（Webアプリケーションファイアウォール）があります。WAFはWebアプリケーションの脆弱性を悪用した攻撃などからシステムを守るシステムです。

WAFの特徴は通信データの内容を機械的に解析できる点であり、従来のファイアウォールやIDS・IPSではブロックしきれなかった、ユーザからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐことができます。

IDS・IPS、WAFはどれも外部ネットワークを経由する不正アクセスからシステムを守るという働きを持っていますが、その監視対象や目的、守備範囲が異なっています。これらを組み合わせることで、より強固なセキュリティシステムを構築することができ、自社システムとユーザを守ることができるのです。

▼IDS・IPSとWAFの違いを詳しく知ろう！
参考記事：IDS・IPSはファイアウォール、WAFとどう違う？

新型ウイルス増加中！ IPS・IDSで対抗を！～

ネットワーク上やホスト上でパケットを監視することにより、不正侵入を検知するIDSは大切なシステムを外部の悪意ある攻撃から守るために、欠かせない存在です。新型ウィルスや増加を続ける不正アクセスのへの対抗手段のひとつとして、社内のデータはもちろん、顧客を守るためにも、不正侵入検知・防御システムの導入を検討してみてはいかがでしょう。

しかし、セキュリティ製品の選定は慎重になりがちです。多くの製品が市場に投入されています。もし製品選びに迷うようであれば、不正侵入検知・防御システムの人気製品ランキングなどの情報を参考にすることをおすすめします。