IDSとIPSの違いとは?併用すべきWAFについても紹介

2020.03.06

Webセキュリティ

IDSとIPSの違いとは?Difference-between-IDS-and-IPS

IDSとIPSは企業や組織の情報セキュリティを確保する際に必要となるシステムです。ネットワークやサーバへの不正な侵入等を検知/遮断する仕組みなのですが、その詳細については大まかに理解をされていることが多いでしょう。
本記事では、IDSとIPSの違いや、仕組み、WAF等との併用などについてご紹介します。

目次

IDSとIPSとは?

IDS、IPSはともに企業や組織のネットワーク/サーバへの不正な侵入に対するセキュリティを確保する仕組みです。本項では、それぞれの概要と違い、種類や仕組みについて紹介します。

 

IDS(不正侵入検知システム)

IDSはIntrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれるセキュリティ確保の仕組みです。

 

インターネットに公開するサービスへアクセスしてくる通信は、クライアントからの正当なデータの要求の場合も、悪意を持ったサイバー犯罪者からの不正侵入の場合もあり得ます。クライアントからの正当な要求の場合もあるわけですから、サービスを設置しているサーバやネットワークに対する通信を全て不許可とするわけにはいきません。
ファイアウォールでは接続を許可し、正常な通信と異常な通信の区別なく、サーバやネットワークにはアクセスされることになります。

 

しかし、当然ながら、悪意を持ったサイバー犯罪者からの不正侵入を許可するわけには行きません。そこで、IDSを設置することで、通信を監視します。

 

IDSは異常を検出した場合には、管理者へ通知を行います。管理者はこの通知を受けとって、異常な通信をブロックするなどセキュリティを確保するための対処をするきっかけ(トリガー)とすることができます。

 

IPS(不正侵入防止システム)

IPSはIntrusion Prevention Systemの略称で、不正侵入防止システムとも呼ばれるセキュリティ確保の仕組みです。

 

IPSは、IDSに異常を検知した場合の対処として通信のブロックを行う機能を付加した仕組みです。IDSでは異常な通信を見つけた際には管理者へ通知していましたが、IPSは通知するだけではなく、その通信を遮断するところまでの対応を行います。

 

IPSはIDSと比べ迅速な対応が実現できる反面、業務影響が大きい仕組みでもあります。設定が不正な場合など誤検知を行うと、即時システムの停止にもつながり得るためです。

 

IDSとIPSの違いとは

IDSでは異常な通信をシステムで検知して管理者に通知。管理者が異常に気づいてから対処する手順となります。

 

IPSでは異常な通信をシステム上で検知後、管理者の対処を待たずに通信の遮断をすることが可能です。異常検知から迅速な対処を実現します。

 

また、IDSとIPSはネットワーク構成上の違いもあります。

 

IDSでは本来の通信のコピーを監視して、異常を通知することが一般的です。一方のIPSでは異常な通信をブロックする必要があることから、通信経路の間に設置することが必要となります。

 

IDSとIPSの種類と仕組み

IDSとIPSは通信の監視方法および不正なデータの検知方法で種類が分かれています。本項では、その種類について説明します。

▼ネットワーク型とホスト型、クラウド型

 

IDS/IPSには通信の監視方法によって、ネットワーク型とホスト型、クラウド型の3つのタイプに分けられます。

 

ネットワーク型は、企業や組織のネットワークを流れる通信パケットを監視します。ネットワークの集まるゲートウェイ付近に設置することで、ネットワーク全体を監視することが可能です。反面、ホストごとの細かな設定には向きません。

 

ホスト型は、監視対象のサーバ上に(ソフトウェアとして)置かれ、通信の結果生成されたサーバ上の受信データやログを監視します。不正侵入検知以外にも、ファイルの改ざんなどにも対応することが可能です。ただし、サーバごとにインストール、設定が必要となります。

 

クラウド型は、IDS/IPSの仕組みをクラウドサービスとして提供する形式です。ネットワーク設定等の変更を伴わず利用できることがメリットとなりますが、一方でクラウドベンダーへ業務が依存してしまうデメリットを持ちます。

 

▼不正なデータの検知方法

 

IDS/IPSのデータ検知方法には2種類あり、「不正検出」と「異常検出」があります。

 

「不正検出」は事前に登録されているシグネチャという検出ルールと通信データをマッチングすることで、不正なアクセスを検出する方法です。シグネチャ型とも呼ばれます。
新たなシグネチャが発見されるごとに登録を行う必要があります。

 

「異常検出」はトラフィックや使用したコマンドを確認することで通常とは異なる振る舞いをした場合に異常と判断し、検出する方法です。アノマリ型とも呼ばれます。
シグネチャ型のような頻繁な更新は不要ですが、誤検出も多くチューニングが必要です。

 

二つの検知方法は組み合わせて利用することで、より効果を発揮します。

 

IDS/IPSとWAFの関係とは?

ここまで、IDS/IPSについて説明してきましたが、他にも組織のネットワークやサーバにおけるセキュリティを守る機器、仕組みとしてファイアウォールやWAFがあります。また、近年ではこれらを統合したUTMと呼ばれるセキュリティ製品も存在しています。
本項では、IDS/IPSと他のセキュリティ対策の関係、組みあわせについて記載します。

ファイアウォール

ファイアウォールもネットワーク上の通信を見て、その通信可否を判断し、問題のある通信の場合には接続を拒否する仕組みです。IDS/IPSと似ているところもありますが、違いは通信の送信元と行先を判断基準としていることです。ファイアウォールは不審な接続先からの接続を遮断してくれる仕組みですが、その通信の内容はチェックしません。

 

ファイアウォールは通信の内容をチェックするIDS/IPSと組み合わせて利用することが必要となります。

 

WAF

WAF(Web Application Firewall)はWebアプリケーションの脆弱性を悪用した攻撃に対し、保護を行うセキュリティ対策のひとつです。Webサーバやネットワークで接続したコンピュータを守ることができます。

 

IDS/IPSやファイアウォールとの違いは、Webアプリケーション上のアクセス内容をチェックしていることです。Web経由でのアクセスを許可するサーバ/ネットワークのセキュリティを守ってくれる仕組みとなります。

 

UTM

コンピュータウイルスや外部からの不正侵入などのセキュリティ対策を統合的に行うUTMが近年では登場しています。UTMはUnified Threat Managementの略で、統合脅威管理と訳されます。

 

UTMは製品にもよりますが、IDS/IPS、ファイアウォール、ウイルス対策ソフトといったセキュリティ対策を集約した製品、サービスです。効率的にセキュリティ対策を施せることがメリットとなります。

 

しかし、いくつか注意点も存在します。その一つとして、WAF機能は含まれないことが多いこと。この場合にはWAFは別途用意する必要があります。また、利用のためのコストが高くなること、ネットワークへの負荷が高まるなどの点についても考慮が必要です。

 

IDS/IPSとWAF

企業や組織がWebサイトをインターネット経由で公開する場合には、ファイアウォール、IDS/IPSにより不正な通信を防ぎ、WAFによってWebアプリケーション上の不正な操作を防ぐ必要があります。

 

ファイアウォール、IDS/IPS、WAFはそれぞれ防御する範囲が違います。セキュリティ対策としてどれかを入れておけばよいというものではなく、各範囲を守るために相互に補完する関係です。

 

IDS/IPSには、あわせてファイアウォール、WAFによるセキュリティ対策も必要となることを確認しておきましょう。

 

クラウド型WAF「攻撃遮断くん」

CyberSecurityTIMESを運営しているサイバーセキュリティクラウドでは、Webセキュリティ対策サービス「攻撃遮断くん」を開発・提供しております。

 

攻撃遮断くん」はクラウド型のWAFです。利用者は専用のサーバ等を用意することなく、サービスを利用することができます。
大手企業からベンチャーまで15,000サイトを超える導入実績があり、安心して利用できるサービスです。また、サブスクリプション型サービスとなっており、月額での料金設定で、少ない投資で導入が可能です。

 

攻撃遮断くんはクラウド型のWAFのため、セキュリティ技術者不在でも最新の脅威にも瞬時に対応します。専門家によるサポートも充実しておりますので、お気軽にお問合せください。

 

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

(2017/6/2 執筆、2020/3/6修正・加筆、2021/11/9修正・加筆)

  • 国内商用Webサイトが受けやすいサイバー攻撃とは?|サイバー攻撃の統計データから傾向を読み解く|今すぐ無料で資料をダウンロード
  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード

この記事と一緒に読まれています