IDS・IPSとは?それぞれの仕組みと違い
IDS・IPSの仕組みと、ファイアウォール・WAFとの違いを解説します。
不正侵入検知(IDS)とは
IDSは「Intrusion Detection System」の略で、Intrusion(=侵入)をDetection(=検知)する働きから、「侵入検知システム」と呼ばれています。システムやネットワークに対して外部から不正なアクセスやその兆候を確認できた場合に、管理者へ通知します。
不正侵入防御(IPS)とは
IPSは「Intrusion Prevention System」の略で、Intrusion(=侵入)を Prevention(=防御)する働きから、「侵入防御システム」と呼ばれています。IDSが不正アクセスの検知・通知にとどまるのに対し、IPSは不正アクセスを防御する役割を果たします。

「IDS・IPS」とファイアウォール、WAFの違い
IDS・IPSと似た働きをもつセキュリティシステムに「ファイアウォール」と「WAF」があります。それぞれの違いについて簡単に解説しましょう。
IDS・IPSとファイアウォールの違い
ファイアウォールとは、直訳の「防火壁」の名前のとおり、外部ネットワーク(インターネット)と内部ネットワークの間に設置され、インターネットを通じた不正アクセスから内部ネットワークを防御します。通常ファイアウォールは、通信の送信元/宛先を監視するのみで、通信内容までは精査していません。そのため、OS/Webサーバーの脆弱性を突いた攻撃に対応できない場合があります。
一方、IDS・IPSは通信の中身まで監視して、不正なアクセスか否かをチェックします。正常な通信であっても通信内容に不正があれば、検知・防御が可能です。
IDS・IPSとWAFの違い
WAF(Web Application Firewal)とは、Webアプリケーションの防御に特化したセキュリティシステムのことです。IDS・IPSとの違いは「守備範囲」にあり、WAFの守備範囲がWebアプリケーションに特化している一方、IDS・IPSはサーバやネットワーク全般を広く保護します。
WAFは、IDS・IPSでは検出できないWebアプリケーションをターゲットとした攻撃に有効です。しかし、OSやミドルウェア層への攻撃に特化したい場合は、IDS・IPSが適しています。
「IDS・IPS」とファイアウォール、WAFの違いを詳しく知りたい方は、以下の記事を参考にしてください。
関連記事
watch_later
2021.03.19
IDS・IPSとWAF、ファイアウォールの違いとは?
続きを読む ≫
IDS・IPSの種類
IDS・IPSは、検知方法・監視方法ごとにそれぞれ種類が異なります。
検知方法の種類
IDS・IPSの検知方法には「シグネチャ型」と「アノマリ型」の2種類があります。
シグネチャ型
あらかじめ不正なアクセスパターンを登録し、パターンと合致した通信を不正と判断する検知方法です。誤検知が少ない一方で、登録されていない不正アクセスのパターンを見逃してしまうのがデメリットです。
アノマリ型
あらかじめ正常なアクセスパターンを登録し、パターンと異なる通信を不正と判断する手法です。ログイン時刻やネットワークトラフィック状況、使用コマンドなどの条件に通常時のしきい値を設定し、これと異なった場合に異常と判断します。未知の脅威に対して効果を発揮する一方で、シグネチャ型に比べて誤検知が多いのも特徴です。
監視方法の種類
IDS・IPSの監視方法には「ネットワーク型」と「ホスト型」の2種類があります。
ネットワーク型
ネットワーク型はネットワーク上の通信パケットを収集し、そのデータやプロトコルヘッダを解析します。通常、監視対象となるネットワークに設置されますが、直接接続しているネットワークセグメントのみを監視するため、DMZ(=非武装地帯:公開サーバなど)、社内ネットワーク、ファイアウォールの外側など、監視したいネットワークそれぞれに配置する必要があります。
ホスト型
監視対象のサーバなどにインストールして、OSが記録するログファイルやサーバ内のファイル改ざんを監視するのが特徴です。OSの監視機能と連携して不正侵入の検出が可能です。インストールされたホストでしか働かないため、保護したいPCが複数ある場合はそれぞれにインストールする必要があります。
ネットワーク型はホスト型と比べて導入が簡単です。なおかつリアルタイムでクラッカーの攻撃を検出できるというメリットもあります。
なお以下の記事では、両者の違いについてさらに詳しく解説しています。
関連記事
watch_later
2021.06.03
ネットワーク型IDSとは?ホスト型やIPSとの違いをわかりやすく解説!
続きを読む ≫
IDS・IPSが検知・防御できる攻撃の種類
IDS・IPSが検知・防御できる攻撃は、主に以下の3種類です。
DoS攻撃(DDoS攻撃)
DoS攻撃(DDoS攻撃)とは、Webサイトやサーバに対して大量のデータやアクセスを送りつけるサイバー攻撃です。攻撃対象のWebサービスに大量のアクセスを集中させ、サーバダウンやサービス停止に追い込みます。
DoS攻撃が一台のコンピュータで行われるのに対し、DDoS攻撃は複数のコンピュータから一斉にサイバー攻撃を仕掛けてくるのが特徴です。そのためDDoS攻撃は、DoS攻撃に比べ膨大なデータが送られてくることから、より過剰な負荷がかかります。さらに複数のIPから攻撃を仕掛けるため、犯人の特定が困難で、防御が難しい攻撃です。
Synフラッド攻撃
Synフラッド攻撃とは、DoS攻撃(DDoS攻撃)の一種で、サーバの負荷を増大させ、サービス停止に追い込むサイバー攻撃です。具体的には、サーバに送信元IPアドレスを詐称した接続要求通信(SYN)を大量に送り、Webサイトのサーバダウンを狙います。
バッファオーバーフロー攻撃(BOF)
バッファオーバーフロー攻撃(BOF)とは、許容量以上のデータを送りつけ、誤作動を起こさせるサイバー攻撃です。バッファとは、コンピュータ上でプログラムが実行される際に、一時的にデータを保持するメモリー領域のこと。保管できるデータ量はあらかじめ想定されています。
しかし大量のデータが送付され、確保された領域からデータがあふれ出る(バッファオーバーフロー)ことで、別のメモリに漏れたデータが上書きされ、データが破壊されてしまうのです。このとき攻撃者によって書き込まれた不正なプログラムを実行してしまい、管理者権限を乗っ取られたり、サイバー攻撃の踏み台にされたり、多大な被害につながる可能性があります。
未知なる脅威には IPS・IDSで対策を!
不正侵入を検知するIDSは、大切なシステムを外部の悪意ある攻撃から守るために欠かせない存在です。未知なる脅威や増加を続ける不正アクセスへの対抗手段のひとつとして、社内のデータはもちろん、顧客を守るためにも不正侵入検知・防御システムの導入は重要です。
しかし、数あるセキュリティ製品の中から自社に最適な製品を選ぶのは容易でありません。以下の記事では、IDS・IPS製品を価格・特徴別に比較して紹介しています。製品選びにぜひお役立てください。
関連記事
watch_later
2022.01.31
【2022年版】IDS・IPS製品おすすめ12選!価格・特徴を一覧で比較
続きを読む ≫