IDS・IPS（不正侵入検知・防御）の違いとは？種類や仕組みを徹底解説

不正侵入検知（IDS）とは

IDSとはIntrusion Detection Systemの略で、Intrusion（＝侵入）をDetection（＝検知、検出）するシステムとして、侵入検知システムと呼ばれています。システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が確認できた場合に管理者への通知といったアクションと行います。

不正侵入防御（IPS）とは

これに対してIPSはIntrusion（＝侵入）を Prevention（＝防御）するシステム、すなわち侵入防御システムと呼ばれています。ファイアウォールで防げない脅威もIPSなら対処できることから、セキュリティ強化としてファイアウォールに続けて多く導入されることがあります。

IDSとIPSの違い

IDS、IPS共に外部からの不正なアクセスを検知するだけでなく、例えば内部の機密情報を外部に不正に公開するといった悪質な行為を検知することも可能となっているのです。

ではその違いはなんでしょうか。IDSもIPSもシステムやネットワークに対する外部からの不正行為を検出するシステムですが、検出後のアクションによって区分されています。不正行為を検出後、指定されたアクション（例えばシステム管理者に通知するなど）を起こすものの防御措置は取らないのがIDS、検出後直ちにトラフィックを遮断するなどの防御措置を取るのがIPSです。

IDSが不正を検知して管理者に通知をしても、対応にはある程度の時間がかかります。管理者対応までの時間に被害が拡大することもあり得るのです。そこで、IDSに疑わしいアクセスを自動的に遮断する機能をもたせたものがIPSであると言えます。

ファイアウォールやWAF、ウィルス対策ソフトと比べると、あまり知られていないのも事実ですが、これらと連携することでより強靭なセキュリティ環境を築くことができるのです。

ここまでIPS・IDSの概要を解説してきました。以下の記事ではIDSとIPSがセキュリティ対策にどんな影響を与えるのか、メリットとデメリットを紹介していますので、ぜひご覧ください。

関連記事

watch_later 2020.05.09

IPS/IDSの導入メリットやデメリットを徹底解説！克服方法も紹介

続きを読む ≫

IDS・IPSの種類

IDS（不正侵入検知システム）にはNIDS（Network-Based IDS＝ネットワーク型IDS）と、HIDS（Host-Based IDS）があります。同様にIPSにもNIPSとHIPSがあります。これらは名称の通り、「ネットワーク上でトラフィックを監視するIDS・IPS」と「ホストに常駐して不正侵入を検知するIDS・IPS」です。

ネットワーク型IDS・IPS

ネットワーク型IDSはネットワーク上を流れる通信パケットを収集し、そのデータやプロトコルヘッダを解析します。通常監視対象となるネットワークに設置されますが、直接接続しているネットワークセグメントについてのみ監視できるので、DMZ（＝非武装地帯：公開サーバなど）、社内ネットワーク、ファイアウォールの外側など、監視したいネットワークのそれぞれに配置する必要があります。

ホスト型IDS

ホスト型IDSは監視対象のサーバなどにインストールして、OSが記録するログファイルやサーバ内のファイル改ざんを監視します。OSの監視機能と連携して不正侵入を検出するのです。もちろん、インストールされたホストにしか働かないので、システムに保護したいPCが複数ある場合はそれぞれにインストールする必要があります。

ネットワーク型IDSはホスト型IDSに比べて導入が簡単であり、リアルタイムでクラッカーの攻撃を検出できるというメリットがあります。

以下の記事では両者の違いについてさらにくわしく解説していますので、参考にしてみてください。

関連記事

watch_later 2020.09.15

勤怠管理とは？労務管理との違いや基本知識を解説

続きを読む ≫

IDS・IPSが不正侵入を検知する２つの仕組み

IDS・IPSが不正侵入を検知する仕組みは２つあります。具体的に、IDSは不正侵入や悪意あるアクセスを検出する仕組みによって、「不正検出型」と「異常検出型」にも分類されます。以下ではこの２つの仕組みについて詳しく解説します。

シグネチャとのマッチングで検出する不正検出

多くのIDS・IPSで採用されている不正検出（Misuse Detection）は、あらかじめ登録されたシグネチャと呼ばれるパターンやルールとマッチングさせて侵入検出を行う仕組みです。

IDSがシグネチャと一致したパケットを発見すると、不正侵入あるいは攻撃の予兆とみなして対応するのです。このタイプのアルゴリズムでは、既知の手口を使った侵入のみしか検出することができません。

通常と異なるトラフィックを検出する異常検出

対して異常検出（Anomaly Detection）では、通常とは違ったトラフィックを検出する仕組みで、未知の手口を使った侵入も見つけることが可能です。

ログイン時刻やネットワークトラフィック状況、使用コマンドなどの条件に対して、通常時のしきい値を設定し、これと異なった場合に異常と判断します。最近のIDS製品ではこれらの両方の検出手法を採用したものも多くあります。

ちょっと難しい…という方は下の図で仕組みを理解していきましょう。不正侵入型はあらかじめ怪しいパターンやルールをまとめたブラックリスト（シグネチャ）を用意しておき、それらと一致したものが見つかった場合に対応します。それに対し異常検出型は他と異なる動きをしている場合に異常と判断するのです。

合わせて知っておきたい！IDS・IPSとWAFの違い

外部ネットワークからの不正アクセスを防ぐ、もうひとつの仕組みにWAF（Webアプリケーションファイアウォール）があります。WAFはWebアプリケーションの脆弱性を悪用した攻撃などからシステムを守るシステムです。

WAFの特徴は通信データの内容を機械的に解析できる点であり、従来のファイアウォールやIDS・IPSではブロックしきれなかった、ユーザからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐことができます。

IDS・IPS、WAFはどれも外部ネットワークを経由する不正アクセスからシステムを守るという働きを持っていますが、その監視対象や目的、守備範囲が異なっています。これらを組み合わせることで、より強固なセキュリティシステムを構築することができ、自社システムとユーザを守ることができるのです。

IDS・IPSとWAFの違いについてさらに詳しく知りたい方は以下の記事をご覧ください。

関連記事

watch_later 2021.03.19

IDS・IPSとWAF、ファイアウォールの違いとは？

続きを読む ≫

新型ウイルス増加中！ IPS・IDSで対抗を！～

ネットワーク上やホスト上でパケットを監視することにより、不正侵入を検知するIDSは大切なシステムを外部の悪意ある攻撃から守るために、欠かせない存在です。新型ウィルスや増加を続ける不正アクセスのへの対抗手段のひとつとして、社内のデータはもちろん、顧客を守るためにも、不正侵入検知・防御システムの導入は重要でしょう。

しかし、多くの製品があるため、セキュリティ製品の選定は迷いがちです。以下の記事や資料請求を通して、多くの導入実績があるおすすめ製品を選ぶことをおすすめします。

関連記事

watch_later 2021.02.19

【2021年版】IDS・IPS製品おすすめ８選！価格・特徴を一覧で比較

続きを読む ≫