ネットワークセキュリティ 2025.06.27
パソコンウイルスの種類とは?それぞれの特徴や被害事例について解説
詳しく見る
IDS/IPSとは?それぞれの特徴や仕組みなどを解説
ネットワークセキュリティ
IDS/IPSの活用はセキュリティ対策に有効です。
しかし、「そもそもIDSやIPSとは何か?」「本当に導入すべきなのか?」と疑問に感じる方も多いのではないでしょうか。
この記事では、IDS/IPSの仕組みや防げる攻撃の種類、導入時の注意点について解説します。
また、防ぎきれない攻撃への備えとして、併用するべきセキュリティ対策もあわせてご紹介します。
自社のセキュリティ対策を強化したい方は、ぜひ参考にしてください。
目次
IDS/IPSとは
IDSとIPSは、いずれもネットワークの不正アクセスや異常通信を検出するセキュリティシステムです。
次の表に、IDS/IPSの機能や特徴、違いをまとめました。
| 項目 | IDS (Intrusion Detection System) | IPS (Intrusion Prevention System) |
| 主な役割 | ・不正侵入検知システムと訳される ・不正アクセスや異常な通信を検知し通知する | ・不正侵入防御システムと訳される ・不正アクセスや異常な通信を検知し遮断する |
| 通信の制御 | ・行わない(管理者が対応を判断) | ・行う(自動で通信を遮断) |
| 導入の意図 向いている環境 | ・誤検知を避けたい場合 ・人的判断を挟みたい場合 | ・機密情報の多いネットワークなど 即時対応が必要な環境 |
IDSはIntrusion Detection Systemの略であり、不正侵入検知システムのことを指します。
具体的には不正アクセスや異常な通信などがあった際に、侵入を検知し管理者に通知することといえます。
一方で、IPSはIntrusion Prevention Systemの略であり、不正侵入防御システムおよび不正侵入防止システムのことです。
具体的には、不審なアクセスや異常な通信などがあった際に、侵入を検知し管理者に通知するとともに、自動的に通信を止めます。
なお、IDSが検知だけなのに対し、IPSは防御まで行うのが両者の大きな違いです。
導入する場合、せっかくなら防御まで行うほうが良いように感じるかもしれませんが、一概にそうとはいえません。
IDSでは管理者が対処の判断をするため、検知したものが正常ならば遮断せずに済みますが、IPSでは誤検知によって遮断してしまうリスクもあるためです。
そのため、誤検知による業務影響を避けたい場合はIDSが適しており、機密性の高いシステムでは即時対応が可能なIPSが効果的です。
導入にあたっては、自社のネットワーク特性やリスクの優先度に応じた選択が求められます。
IDS/IPSの仕組み
ここからは、IDS/IPSの仕組みをみていきます。
シグネチャ型とアノマリ型の2つについて説明しますので参考にしてください。
シグネチャ型
シグネチャ型は署名型とも呼ばれており、事前に不正なアクセスのパターンを登録し、一致した通信を不正と判断する方法のことです。
高い精度で既知の脅威を検出できるのが大きな特徴です。
登録したアクセスパターンのみを不正と判断するため、誤認知が少ないといえるでしょう。
ただし、未知の脅威(ゼロデイ攻撃など)などの登録していない不正アクセスは検知できずに見逃してしまうリスクもあります。
シグネチャ型は、既存のマルウェアや攻撃手法に対して確実な防御が可能ですが、新種の攻撃には弱い点に注意が必要です。
アノマリ型
アノマリ型は異常検知型とも呼ばれており、事前に通常のアクセスパターンを登録しておき、異なる通信を不正と判断する方法です。
未知の攻撃やゼロデイ攻撃に対しても有効なのが利点ですが、誤検知のリスクもあるため、適切なチューニングが必要になります。
アノマリ型は、変化する脅威環境に対応しやすい柔軟性がありますが、運用中の誤検知の管理が重要です。
IDS/IPSの種類
ここからはIDS/IPSの種類として、以下の3つを紹介します。
- クラウド型
- ホスト型
- ネットワーク型
それぞれの概要についてみていきましょう。
クラウド型
クラウド型は、クラウドサービスとして提供されているIDS/IPSであり、インターネット経由で利用できるのが特長です。
これはネットワーク設定を変更する必要がなく、導入が容易なのが魅力です。
さらに、検知パターンの設定や調整といった運用管理はサービスを提供するベンダーが行うため、ユーザー側での作業負担が少ないという利点があります。
ただし、検知性能やチューニングの精度はベンダーごとに差があるため、事前の比較検討が重要です。
なお、基本的に運用も保守もベンダーに一任することになります。
そのため、提供ベンダーの環境に障害が発生した場合はその影響を直接受けてしまいます。
ホスト型
ホスト型は、監視対象のサーバにソフトウェアを直接インストールして運用するタイプです。
この方式では、サーバ内の通信やログデータをリアルタイムで解析し、不正アクセスを検知します。
その他、サーバにある不審なプログラムの動作、またファイルの改ざんなども検知可能です。
ただし、サーバごとに個別でソフトウェアを導入する必要があるため、対象サーバが多いとコストや管理の手間がかかる点には注意が必要だといえるでしょう。
ネットワーク型
ネットワーク型は、ネットワーク上に専用機器やソフトウェアを設置し、ネットワークを流れるデータ通信そのものを監視する方式です。
企業や組織全体のネットワークトラフィックを一括で監視できるため、広範囲にわたる不正アクセスの検出に向いています。
一方で、ホスト型のように端末ごとの細かい挙動までは把握しづらいという面もあります。
また、監視対象は接続されているネットワークに限定されるため、複数のネットワークを対象とする場合は、それぞれに機器の設置が必要です。
IDS/IPSで防御できる攻撃
では、IDS/IPSで防御できる攻撃には何があるでしょうか。
ここでは、以下の4つの攻撃について解説します。
- DoS/DDoS攻撃
- SYNフラッド攻撃
- バッファオーバーフロー攻撃(BOF)
- マルウェア感染
DoS/DDoS攻撃
DoS攻撃はDenial of Service Attackの略であり、悪意を持ってサーバに対して大量のデータを送りつけ、アクセスが集中することでサーバをパンクさせるサイバー攻撃のことです。
同じ時間にサイトに大量なアクセスが送られるため、サーバは想定以上の処理をしなくてはならなくなります。
その結果、処理の負荷に耐えきれないとサイトがパンクしてしまうのです。
さらに高度な攻撃がDDoS攻撃(Distributed Denial of Service Attack)で、このDoS攻撃が複数のコンピューターから大量に行われます。
複数のIPから攻撃を受けるため、Dos攻撃よりも攻撃元の特定・防御が難しいのが特徴です。
SYNフラッド攻撃
SYN フラッドはハーフオープン攻撃とも呼ばれており、サービス拒否(DD0S)攻撃の一つです。
この攻撃では、接続要求だけを大量に送りつけ、応答を完了させずに放置することで、サーバ側のリソースを枯渇させます。
結果として、サーバが過負荷状態に陥り、応答速度が著しく低下するか、完全に応答できなくなるという状況が発生します。
バッファオーバーフロー攻撃(BOF)
バッファとはコンピュータ上のプログラムの領域のことです。バッファオーバーフロー(buffer overflow)は、直訳すると「バッファがあふれてしまう」という意味になります。
つまり、バッファオーバーフロー攻撃とは、想定以上のデータを入力させてあふれさせることで、意図しない動作を引き起こす攻撃手法です。
攻撃が成功すると、プログラムの強制終了、システムの乗っ取り、管理者権限の奪取など、深刻な被害につながるおそれがあります。
DoS攻撃と似た点もありますが、バッファオーバーフロー攻撃は脆弱性を利用して悪意あるコードを実行させる点で異なり、より高度な攻撃といえます。
マルウェア感染
マルウェアとはmalicious(悪意のある)とsoftwareの2つの単語からできた造語で、ウイルス・スパイウェア・トロイの木馬などを含む悪質なプログラムの総称です。「ウイルス」や「コンピュータウイルス」と呼ぶこともあります。
マルウェアに感染すると、ファイルの破壊、個人情報や機密データの流出、スパムメールの発信など、重大な被害につながるリスクがあります。
マルウェア感染は、メールの添付ファイルやネットワーク経由、不正サイトへのアクセス、不正なソフトやアプリのインストール、脆弱性からの侵入などが原因です。
IDS/IPSの注意点
「IDS/IPSは有効なセキュリティ対策の一つですが、「導入すれば万全」というわけではありません。
なぜなら、すべてのサイバー攻撃を検知・防御できるわけではないからです。
たとえば、SQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクションなどのWebアプリケーション層の脆弱性を悪用した攻撃には、IDS/IPSだけでは対応できません。
これらに備えるには、ほかのセキュリティ対策を併用することが望ましいでしょう。
さらに、IDS/IPSは誤検知が発生する可能性もゼロではありません。
特にIPSは事前に登録された攻撃パターンからアクセスの通信可否を判断するため、定期的に情報更新をしないと誤検知が発生する可能性が高まります。 また、検知できないという不具合が起こる恐れがあるので注意が必要です。
IDS/IPSとの併用が効果的なネットワークセキュリティ
前述したように、IDS/IPSではすべての攻撃に対応していないため、セキュリティ攻撃が多様化するなかで脆弱性を突かれるリスクがあります。
そのため、ほかのセキュリティ対策を併用することが大切です。
ここでは、併用が効果的なネットワークセキュリティとして、以下の4つを紹介します。
- ファイアウォール
- WAF
- SASE
- NDR
ファイアウォール
ファイアウォールは英語でFire Wallと書き、防火壁を意味します。
あらかじめ設定されたポリシーに基づいて、ネットワークを通過する通信を制御し、不正アクセスや不要な通信をブロックする機能のことです。
不正アクセスによるデータの改ざんや情報漏洩を防ぎます。
不正アクセスが発覚した場合は、管理者に通報してくれるため安心です。
また、高いセキュリティを保てる付加機能を持っているものも多く、さまざまなネットワークに対応できるのが魅力です。
基本的にソフトウェア型で、ネットワーク機器に実装されますが、ハードウェア型の専用機器も存在しています。
WAF
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を悪用して行われる攻撃から、Webサイトを保護するセキュリティのことです。
Webサーバーの前面に設置するのが基本で、通信を解析・検査して、攻撃してきた通信を遮断するようになっています。
ネットショッピングやインターネットバンキング、会員管理システムなど、個人情報や決済情報を扱うWebサービスには必須の対策です。
IDS/IPSがカバーできない攻撃ベクトルを補完する存在といえます。
SASE
SASE(Secure Access Service Edge)は、ネットワーク接続とセキュリティ機能をすべてクラウド側で一括して提供するものです。
社員がどこからアクセスしても、クラウドサービスとしてセキュリティを提供できます。
従来のセキュリティは社内を外部から守るものでした。
しかし現在では、クラウドの普及により、リモートワークなどで社内の人間が外部からアクセスして業務を行うことが増え、物理的な境界が消えてきました。
社内ネットワークと社外ネットワークの境目だけに設置するセキュリティではカバーしきれない領域を守るために、SASEは必要だといえます。
NDR
NDR(Network Detection and Response)とは、新しいセキュリティソリューションのカテゴリを指します。
次世代のセキュリティ対策であり、社内のネットワークトラフィックを包括的に監視して、ネットワーク全体の可視化をできるのが特徴です。
その結果、未知の脅威にもリアルタイムで対応できるものとして注目されています。
従来型では検知が難しかった未知の脅威や異常挙動を検出できるため、ネットワークの可視化を補うものとして有効だといえるでしょう。
まとめ
IDSは不正侵入検知システムのことで、IPSは不正侵入防御システムおよび不正侵入防止システムのことです。
誤検知の防止を重視する場合はIDS、機密情報の多いネットワークの場合はIPSを利用するなど、使い分けをするのがおすすめです。
ただし、IDS/IPSで防御できる攻撃には限界があるため、どちらかだけでセキュリティを完結させることはできません。
Webアプリケーションの脆弱性や未知の攻撃には別の対策が必要です。
今回紹介したWAFやSASE、NDRなどの先進的なセキュリティ対策を組み合わせることで、より堅牢な防御体制を構築できます。
株式会社ファーストでは、IDS/IPSをはじめとした多層的なセキュリティ対策の導入支援を行っています。
「具体的に何を使ったら良いのかわからない」「自社に合ったセキュリティ対策を提案してほしい」といったご相談にも対応が可能です。ぜひお気軽にお問い合わせください。
関連記事
お問い合わせ Contact
お見積り・ご依頼・ご相談などご気軽に
お問い合わせください。
※弊社休日のお問い合わせにつきましては翌営業日以降の回答となります。
ご容赦ください。