IDS・IPSとは？違いや検知・監視方法をわかりやすく解説

IDS・IPSとは

IDS・IPSとは、ネットワーク・サーバへの不正アクセスを検知・防御するシステムのことです。企業の情報セキュリティを強化する際に必要なシステムで、IDS・IPS両方の役割をもつ製品が多くあります。

不正侵入検知（IDS）とは

IDSは「Intrusion Detection System」の略で、Intrusion（＝侵入）をDetection（＝検知）する働きから、「不正侵入検知システム」と呼ばれています。システムやネットワークに対して外部から不正なアクセスやその兆候を確認できた場合に、管理者へ通知します。

不正侵入防御（IPS）とは

IPSは「Intrusion Prevention System」の略で、Intrusion（＝侵入）を Prevention（＝防御）する働きから、「不正侵入防御システム」と呼ばれています。IPSは不正アクセスを防御する役割があります。

IDSとIPSの違い

IDSとIPSをあわせた製品も多いのですが、２つの違いは役割が異なる点です。IDSが不正アクセスの検知・通知にとどまるのに対し、IPSは防御を実施します。

企業が公開するサービスに外部からアクセスをしてくるユーザーは、顧客や取引先など業務に必要です。そのため、外部からのあらゆる通信を遮断できません。IDSを設置し、不正アクセスか正当なアクセスか監視します。IDSは、不正アクセスを認識した場合は、ただちに通知する役割をもちます。

一方IPSは、検知した異常に対して遮断を実施する役割です。IPSは、不正アクセスを検知した際に通知をせずに遮断するため、迅速な対応が可能です。しかし、誤った検知の場合でも、システム停止などにつながるおそれもあります。IDSや他セキュリティシステムと組み合わせた使用がおすすめです。

不正アクセスや異常を検知し遮断するには、IDS・IPS製品の導入が効果的です。以下のボタンよりIDS・IPS製品について無料で一括資料請求できるので、ご覧ください。

IDS・IPSにおける検知方法の種類

IDS・IPSは、検知方法に「シグネチャ型」と「アノマリ型」があります。ここでは２種類の検知方法を紹介します。

シグネチャ型

シグネチャ型とは、あらかじめ不正なアクセスパターンを登録し、合致した通信を不正と判断する検知方法です。登録したアクセスパターンのみを不正と判断するため、誤検知が少ない傾向にあるでしょう。しかし、未知の脅威など登録されていない不正アクセス発生時に、見逃してしまう可能性があります。

アノマリ型

アノマリ型とは、あらかじめ正常なアクセスパターンを登録し、異なる通信を不正と判断する検知方法です。ログイン時刻やネットワークトラフィック状況、使用コマンドなどの条件に通常時のしきい値を設定します。しきい値と異なる場合に、異常と判断するため、未知の脅威に対して効果を発揮するでしょう。一方で、シグネチャ型に比べて誤検知が発生する可能性も高いといえます。

IDS・IPSにおける監視方法の種類

IDS・IPSの監視方法には、「ネットワーク型」と「ホスト型」の種類があり、それぞれ特徴が異なるため、理解が必要でしょう。ここでは、２種類の監視方法を紹介します。

ネットワーク型

ネットワーク型とは、ネットワークにある通信パケットを収集し、データやプロトコルヘッダを解析する監視方法です。ネットワーク型は、直接接続しているネットワークセグメントのみを監視します。DMZ（＝非武装地帯：公開サーバなど）・社内ネットワーク・ファイアウォールの外側など、監視したいネットワークへ配置する必要があります。ネットワーク型は、導入しやすくリアルタイムでの攻撃検出が可能です。

ホスト型

ホスト型は、監視対象のサーバなどにインストールして監視する方法です。OSが記録するログファイルやサーバ内のファイル改ざんを監視できます。ホスト型は、OSの監視機能と連携して不正侵入の検出が可能です。しかし、インストールされたホストのみに対応するため、保護したいPCが複数ある場合はそれぞれにインストールする必要があります。

ネットワーク型とホスト型についてさらに違いや特徴を知りたい方は、以下のページをご覧ください。

関連記事

watch_later 2023.04.05

ネットワーク型IDSとは？ホスト型やIPSとの違いをわかりやすく解説！

続きを読む ≫

IDS・IPSが検知・防御できる攻撃の種類

IDS・IPSが検知・防御できる代表的な攻撃は、「DoS攻撃」「Synフラッド攻撃」「バッファオーバーフロー攻撃」です。ここでは、３種類の攻撃をわかりやすく紹介します。

DoS攻撃（DDoS攻撃）

DoS攻撃とは、Webサイトやサーバに対して大量のデータやアクセスを送りつけるサイバー攻撃です。攻撃対象のWebサービスに大量のアクセスを集中させ、サーバダウンやサービス停止に追い込みます。

DoS攻撃が一台のコンピュータで実施されるのに対し、DDoS攻撃は複数のコンピュータから一斉にサイバー攻撃を仕掛けてくるのが特徴です。そのためDDoS攻撃は、DoS攻撃に比べ膨大なデータが送られてくるため、さらに過剰な負荷がかかります。また、DDoS攻撃では複数のIPから攻撃を仕掛けるため、犯人の特定が困難で、防御が難しいといえるでしょう。

Synフラッド攻撃

Synフラッド攻撃とは、DoS攻撃（DDoS攻撃）の一種で、サーバの負荷を増大させ、サービス停止に追い込むサイバー攻撃です。サーバに送信元IPアドレスを詐称した接続要求通信（SYN）を大量に送り、Webサイトのサーバダウンを狙います。SYNパケットを送信すると、ACKパケットを返信するのですが、あえて返信に応じません。サーバは「応答待ち」状態が続き、接続可能数を超えるため、新規の接続を受信できない状況に陥ります。

バッファオーバーフロー攻撃（BOF）

バッファオーバーフロー攻撃（BOF）とは、許容量以上のデータを送りつけ、誤作動を起こさせるサイバー攻撃です。バッファとは、コンピュータでプログラムが実行される際に、一時的にデータを保持するメモリー領域のことです。保管できるデータ量はあらかじめ想定されています。

しかし大量のデータが送付されると、確保された領域からデータがあふれ出るバッファオーバーフロー状態に陥ります。バッファオーバーフロー状態では、別のメモリに漏れたデータが上書きされるため、データが破壊されるおそれもあるでしょう。さらに、攻撃者によって書き込まれた不正なプログラムを実行し、管理者権限の乗っ取りやサイバー攻撃の踏み台など、多大な被害につながる可能性もあります。

「DoS攻撃」「Synフラッド攻撃」「バッファオーバーフロー攻撃」を防ぐためには、セキュリティシステムの導入が効果的です。以下のページでは、IDS・IPS製品の特徴を比較しているので、セキュリティ対策の参考にしてください。

関連記事

watch_later 2023.04.10

【2023年版】おすすめしたいIDS・IPS製品６選！選び方や違いも紹介

続きを読む ≫

その他のセキュリティシステムとの違いや関係性

IDS・IPS製品は、不正アクセスを検知し遮断しますが、多様化したサイバー攻撃の対策として万全ではありません。その他のセキュリティシステムとの併用や機能が搭載されている製品の導入がおすすめです。ここでは、IDS・IPS以外のセキュリティシステムについて紹介します。

ファイアウォール

ファイアウォールとは、「防火壁」と訳し、外部ネットワーク（インターネット）と内部ネットワークの間に設置されるセキュリティシステムです。インターネットを通じた不正アクセスから内部ネットワークを防御します。ファイアウォールは、通信の送信元や宛先の監視をするため、通信内容までは精査していません。そのため、OSやWebサーバーの脆弱性を突いた攻撃に対応できない場合もあります。

一方、IDS・IPSは通信の中身まで監視し、チェックします。IDS・IPSとファイアウォールを併用して利用することで、セキュリティ対策の強化につながるでしょう。

WAF

WAFとは「Web Application Firewal」の略で、Webアプリケーションの防御に特化したセキュリティシステムのことです。IDS・IPSとWAFの違いは、守備範囲が異なります。WAFの守備範囲がWebアプリケーションに特化している一方、IDS・IPSはサーバやネットワーク全般を広く保護します。

WAFは、IDS・IPSでは検出できないWebアプリケーションをターゲットとした攻撃に効果的です。しかし、OSやミドルウェア層への攻撃に特化したい場合は、IDS・IPSが適しています。WAFが搭載されているIDS・IPS製品を導入すれば、広範囲の防御が実現するでしょう。

IDS・IPSとファイアウォール、WAFの違いをさらに知りたい方は、以下のページをご覧ください。

関連記事

watch_later 2023.04.10

IDS・IPSとWAF、ファイアウォールの違いとは？セキュリティ特徴は？

続きを読む ≫

UTM

UTMとは、不正アクセスに対するセキュリティ対策を統合的に実施できる製品のことです。UTM製品により、搭載機能は異なりますが、「IPS・IDS」「ファイアウォール」「ウイルス対策」などを集約しています。広範囲でさまざまな攻撃に対してセキュリティ対策を強化できるため、効率的なシステムといえるでしょう。しかし、他の製品と比べコストが高い傾向もあるため、注意が必要です。また、ネットワークへの負荷も増加する場合もあります。自社のセキュリティ対策の方針をふまえて、導入を検討しましょう。

まずは、人気のIDS・IPS製品を知りたいという方は、以下のボタンより最新資料請求ランキングをご覧ください。

IDS・IPSを理解してセキュリティ対策をしよう

IDS・IPSとは、不正アクセスに対して検知し防御するシステムです。IDSは不正アクセスを検知し通知し、IPSは遮断をする役割があります。不正アクセスを検知する方法には、シグネチャ型とアノマリ型があります。さらに不正アクセスを監視する方法は、ネットワーク型とホスト型があり、誤検知の確率や導入のしやすさ、未知の脅威への対応が異なるといえるでしょう。

IDS・IPSは、「DoS攻撃」「Synフラッド攻撃」「バッファオーバーフロー攻撃」の防御に効果的です。ファイアウォールやWAFとの併用で防御の種類や範囲が広がります。統合的にセキュリティ対策を実施できるUTMもありますが、コストやネットワークの負担が大きい傾向にあるでしょう。自社の業務内容、防御したい攻撃の種類や範囲を明確にし、適したセキュリティ対策がおすすめです。

これらの対策はIDS・IPSのシステムを導入することで可能です。製品情報を知りたい方は、以下より資料請求をして製品の比較をしてみましょう。