IDS/IPSとは？それぞれのセキュリティ対策における役割と効果、違いについて

「IDS（不正侵入検知システム）」「IPS（不正侵入防御システム）」とは

サーバーのセキュリティ対策にはさまざまな方法があります。基本的なものとしては、「ファイアウォール」やウイルス対策ソフトが知られていますが、今回解説する「IDS」「IPS」も重要なセキュリティ対策の手法となります。

まず、IDSとは「Intrusion Detection System」の略で「不正侵入検知システム」と訳され、侵入を検知するための仕組みです。一方、IPSは「Intrusion Prevention System」の略で「不正侵入防止システム」と呼ばれ、侵入を防止するための仕組みです。

どちらもシステムやネットワークに対する外部からの不正なアクセスを検知するという似たような役割を持つように見えますが、検知した後のアクションが大きく異なります。

• IDS：不正なアクセスを検知して、管理者にアラートを発する
• IPS：不正なアクセスを検知して、検知した不正なアクセスを防ぐところまでを担う

不正なアクセスを検知した後にトラフィック遮断など、防御措置をするかどうかがIPSとIDSの大きな違いです。また、導入時のネットワーク構成にも違いがあり、IDSでは監視方法によって、ネットワークに設置する「ネットワーク型」と監視対象のサーバーに設置する「ホスト型」がありますが、IPSでは不正なアクセスを遮断することから、防御したいシステムへの通信経路に設置する必要があります。

ファイアウォールとIDS/IPSの役割・機能の違い

では、同じセキュリティを担うシステムとして、先ほど挙げたファイアウォールとIDS/IPSは、何が違うのでしょうか。

ファイアウォールは、パケットのIPアドレスおよびポートをチェックしてアクセスを制御する仕組みです。「どのようなリクエストに対応するのか」「パケットの発信元や宛先は正しいのか」などを監視することで、不正なパケットを検知して遮断します。

しかし、パケットの中身までは監視していないので、IPアドレスおよびポートがファイアウォールのルールで許可対象であれば、パケットの中身が悪意のあるものであっても通過してしまいます。

郵便物に例えると、ファイアウォールは小包の宛先と差出人だけをチェックするのに対して、IDS/IPSでは小包の中に危険物が入っていないかまでを確認するイメージです。IDS/IPSで不正なアクセスを判断する方法は、「アノマリ型」「シグネチャ型」という2つの方式があります。

IDS/IPSによる対策が重要視されるようになった理由は？

このように、ファイアウォールでは防ぐことができない脅威に対応するIDS/IPSですが、具体的にはどのような攻撃に対して有効なのでしょうか。

IDS/IPSは、基本的にネットワークやシステムの脆弱性を狙ったサイバー攻撃の対策として利用されています。例えば、大量のトラフィックを送りつけてサーバーへ負荷を与えるDDoS攻撃やワームなどに対して有効です。IDSなら、管理者に異常を通知することで、不正なアクセスを遮断するなどの対処をするきっかけ（トリガー）となります。また、IPSでは、即座に悪意のあるアクセスを遮断するので迅速な対処が可能となります。

ただし、IDS/IPSの弱点として、アプリケーションに不正な命令を与えて情報を盗み出す「SQLインジェクション」や、ユーザーがアクセスするごとに表示内容が生成される「動的Webページ」に不正なスクリプトを埋め込む「クロスサイトスクリプティング」といったサイバー攻撃には弱いため、Webアプリケーションレベルの内容まで対応するためには、WAF（Webアプリケーションファイアウォール）を併用する必要があります。