IDSとIPSの違いとは？併用すべきWAFについても紹介

（2017/6/2 執筆、2020/3/6修正・加筆、2021/11/9修正・加筆、2022/10/6修正・加筆）

IDSとIPSは企業や組織の情報セキュリティを確保する際に必要となるシステムです。ネットワークやサーバへの不正な侵入等を検知/遮断する仕組みなのですが、その詳細については大まかに理解をされていることが多いでしょう。

この記事では、IDSとIPSの違いや、仕組み、WAF等との併用などについてご紹介します。

IDS、IPSはともに企業や組織のネットワーク/サーバへの不正な侵入に対するセキュリティを確保する仕組みです。ここでは、それぞれの概要と違い、種類や仕組みについて紹介します。

IDSはIntrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれるセキュリティ確保の仕組みです。

インターネットに公開するサービスへアクセスしてくる通信は、クライアントからの正当なデータの要求の場合も、悪意を持ったサイバー犯罪者からの不正侵入の場合もあり得ます。

クライアントからの正当な要求の場合もあるわけですから、サービスを設置しているサーバやネットワークに対する通信を全て不許可とするわけにはいきません。そのため、ファイアウォールでは接続を許可し、正常な通信と異常な通信の区別なく、サーバやネットワークにはアクセスされることになります。

しかし、当然ながら、悪意を持ったサイバー犯罪者からの不正侵入を許可するわけには行きません。そこで、IDSを設置することで、通信を監視します。

IDSは異常を検出した場合には、管理者へ通知を行います。管理者はこの通知を受けとって、異常な通信をブロックするなどセキュリティを確保するための対処をするきっかけ（トリガー）とすることができます。

IPSはIntrusion Prevention Systemの略称で、不正侵入防止システムとも呼ばれるセキュリティ確保の仕組みです。

IPSは、IDSに異常を検知した場合の対処として通信のブロックを行う機能を付加した仕組みです。IDSでは異常な通信を見つけた際には管理者へ通知していましたが、IPSは通知するだけではなく、その通信を遮断するところまでの対応を行います。

IPSはIDSと比べ迅速な対応が実現できる反面、業務影響が大きい仕組みでもあります。設定が不正な場合など誤検知を行うと、即時システムの停止にもつながり得るためです。

IDSでは異常な通信をシステムで検知して管理者に通知。管理者が異常に気づいてから対処する手順となります。

IPSでは異常な通信をシステム上で検知後、管理者の対処を待たずに通信の遮断をすることが可能です。異常検知から迅速な対処を実現します。

また、IDSとIPSはネットワーク構成上の違いもあります。

IDSでは本来の通信のコピーを監視して、異常を通知することが一般的です。一方のIPSでは異常な通信をブロックする必要があることから、通信経路の間に設置することが必要となります。

IDSとIPSは通信の監視方法および不正なデータの検知方法によって、ネットワーク型とホスト型、クラウド型の3種類に分かられます。

ネットワーク型は、企業や組織のネットワークを流れる通信パケットを監視します。ネットワークの集まるゲートウェイ付近に設置することで、ネットワーク全体を監視することが可能です。反面、ホストごとの細かな設定には向きません。

ホスト型は、監視対象のサーバ上に（ソフトウェアとして）置かれ、通信の結果生成されたサーバ上の受信データやログを監視します。不正侵入検知以外にも、ファイルの改ざんなどにも対応することが可能です。ただし、サーバごとにインストール、設定が必要となります。

クラウド型は、IDS/IPSの仕組みをクラウドサービスとして提供する形式です。ネットワーク設定等の変更を伴わず利用できることがメリットとなりますが、一方でクラウドベンダーへ業務が依存してしまうデメリットを持ちます。

IDS/IPSのデータ検知方法には「不正検出」と「異常検出」の2種類あります。

「不正検出」は事前に登録されているシグネチャという検出ルールと通信データをマッチングすることで、不正なアクセスを検出する方法です。シグネチャ型とも呼ばれます。不正検出を利用する場合、新たなシグネチャが発見されるごとに登録を行う必要があります。

「異常検出」はトラフィックや使用したコマンドを確認することで通常とは異なる振る舞いをした場合に異常と判断し、検出する方法です。アノマリ型とも呼ばれます。シグネチャ型のような頻繁な更新は不要ですが、誤検出も多くチューニングが必要です。

2つの検知方法は組み合わせて利用することで、より効果を発揮します。

ここまで、IDS/IPSについて説明してきましたが、他にも組織のネットワークやサーバにおけるセキュリティを守る機器、仕組みとしてファイアウォールやWAFがあります。また、近年ではこれらを統合したUTMと呼ばれるセキュリティ製品も存在しています。

本項では、IDS/IPSとほかのセキュリティ対策の関係、組みあわせについて記載します。

WAF（ワフ）とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略称で、Webサイトを含めたWebアプリケーションをサイバー攻撃から守るツールです。

IDS/IPSとの違いは、Webアプリケーション上のアクセス内容をチェックしていることです。Web経由でのアクセスを許可するサーバ/ネットワークのセキュリティを守ってくれるのがWAF仕組みとなります。

ファイアウォールもネットワーク上の通信を見て、その通信可否を判断し、問題のある通信の場合には接続を拒否する仕組みです。

IDS/IPSと似ているところもありますが、違いは通信の送信元と行先を判断基準としていることです。ファイアウォールは不審な接続先からの接続を遮断してくれる仕組みですが、その通信の内容はチェックしません。

ファイアウォールは通信の内容をチェックするIDS/IPSと組み合わせて利用することが必要となります。

コンピュータウイルスや外部からの不正侵入などのセキュリティ対策を統合的に行うUTMが近年では登場しています。UTMはUnified Threat Managementの略で、統合脅威管理と訳されます。

UTMは製品にもよりますが、IDS/IPS、ファイアウォール、ウイルス対策ソフトといったセキュリティ対策を集約した製品、サービスです。効率的にセキュリティ対策を施せることがメリットとなります。

しかし、いくつか注意点も存在します。その1つとして、WAF機能は含まれないことが多いこと。この場合にはWAFは別途用意する必要があります。また、利用のためのコストが高くなること、ネットワークへの負荷が高まるなどの点についても考慮が必要です。

IDSはIntrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれるセキュリティ確保の仕組みです。そしてIPS（不正侵入防止システム）は検知するうえ、不正侵入を防止するシステムとなります。

企業や組織がWebサイトをインターネット経由で公開する場合には、IDS/IPSを導入し不正な通信を防ぐ必要がありますが、それだけでは十分とはいえません。

ファイアウォールやWAFなど、守る範囲の異なるセキュリティツールの導入も重要です。ぜひこの機に、WAFについても認識しておきましょう！