IDS/IPSとは?仕組み・種類と運用の注意点を解説

IDS/IPSとは、ネットワークや端末を流れる通信を監視し、不正侵入や攻撃の兆候を「検知して知らせる(IDS)」または「検知して遮断する(IPS)」ためのセキュリティ製品・仕組みです。ファイアウォールが「通す/通さない」をルールで振り分けるのに対し、IDS/IPSは通した通信の中身まで見て攻撃らしさを判定するのが役割です。

本記事は、情報システム部門の担当者が「IDSとIPSはどう違うのか」「WAFやEDRと何が別なのか」「導入して終わりにできない理由は何か」を短時間で押さえるための用語解説です。

  • IDSとIPSの違い(検知だけか、遮断までするか)
  • 設置場所による種類(ネットワーク型/ホスト型)
  • 攻撃を見つける2つの方式(シグネチャ型/アノマリ型)
  • WAF・EDRとの棲み分けと、運用でつまずきやすい点

IDSとIPSの違いは「知らせる」か「止める」か

両者はほぼ同じ検知エンジンを使いますが、攻撃を見つけた後の動きが違います。

項目 IDS(不正侵入検知システム) IPS(不正侵入防御システム)
役割 攻撃の兆候を検知し、管理者に通知する 検知に加えて、その通信を自動で遮断する
通信経路 通信を複製して監視(経路の外側で観測) 通信経路の途中に入り、通過する通信を止められる
誤検知の影響 アラートが増えるだけ(通信自体は流れる) 正常な通信まで止めてしまう恐れがある
向いている場面 まず可視化したい/既存の通信を止めたくない 既知の攻撃をリアルタイムで自動遮断したい

IDSはネットワークスイッチのミラーポートやタップで通信のコピーを受け取り、経路の「外」で監視します。攻撃を見つけてもパケットそのものは止められないため、あくまで検知・通知役です。一方IPSは通信経路上(インライン)に配置され、攻撃と判断した通信をその場でドロップしたり、接続をリセットしたりできます。この「止められる」力が、そのまま「正常な通信を誤って止めるリスク」と表裏一体である点が、後述する運用の勘所です。

米国NISTのガイドライン「SP 800-94」では、検知と防御の両方を担うこれらの製品をまとめてIDPS(Intrusion Detection and Prevention Systems)と総称しています。近年の製品は検知と遮断の両モードを1台で切り替えられるものが主流で、IDS/IPSはきれいに分かれた別製品というより「動作モードの違い」に近くなっています。

設置場所による種類:ネットワーク型とホスト型

どこに置いて何を監視するかで、大きく2つに分かれます。

ネットワーク型(NIDS/NIPS)

ネットワークの境界やセグメントの要所に置き、そこを流れる通信全体を監視します。1か所で多数の端末を面的にカバーできるのが強みです。社内から外への出口や、サーバーセグメントの手前などが典型的な設置ポイントになります。

ホスト型(HIDS/HIPS)

サーバーやPCなど個々の端末にソフトウェアとして導入し、その端末のログ・プロセス・ファイル変更・通信を監視します。暗号化されて中身が見えない通信や、端末内部での不審な挙動を捉えやすい反面、台数分の導入・運用が必要です。NISTのSP 800-94では、このほか無線を監視するタイプや、通信量の異常を検知するネットワーク挙動分析(NBA)も分類として挙げられています。

攻撃を見つける2つの方式:シグネチャ型とアノマリ型

「何をもって攻撃とみなすか」の判定方式にも種類があります。

  • シグネチャ型(不正検知):既知の攻撃パターン(シグネチャ)との一致で判定する方式。既知の攻撃には強く誤検知も少ない反面、パターン未登録の新種・ゼロデイ攻撃は原理的に見逃します。シグネチャの更新が欠かせません。
  • アノマリ型(異常検知):平常時の通信の「ふつうの状態」を基準(プロファイル)として学習し、そこから大きく外れた挙動を異常とみなす方式。未知の攻撃を捉えられる可能性がある一方、平常の定義が難しく誤検知(フォールスポジティブ)が増えやすいのが弱点です。

実際の製品は両方式を組み合わせ、さらに通信プロトコルの正しい手順から逸脱していないかを見る「ステートフルプロトコル解析」なども併用しています。どの方式にも一長一短があり、「入れれば全部止まる」万能の仕組みではないことを理解しておくのが重要です。

WAF・EDRとの違いと棲み分け

IDS/IPSは、名前の似た他のセキュリティ製品としばしば混同されます。守る対象と得意なレイヤーが異なるので、置き換えではなく役割分担で考えるのが基本です。

製品 主に守る対象 得意なこと
IDS/IPS ネットワーク全般(幅広い通信) 不正な通信・攻撃通信の検知と遮断
WAF Webアプリケーション SQLインジェクションなどアプリ層の攻撃対策
EDR PC・サーバーなどの端末(エンドポイント) 端末上の不審な挙動の検知と対応

ざっくり言えば、IDS/IPSは「通信の道」を、WAFは「Webアプリの入口」を、EDRは「端末の中」を見ています。攻撃は複数のレイヤーをまたいで進むため、どれか1つで完結はしません。なお、現在は次世代ファイアウォール(NGFW)やUTMがIPS機能を統合している例も多く、単体のIPS製品を新規に導入するより、既存の境界機器が持つIPS機能をどう使いこなすか、という観点も実務では重要になっています。

情シスが運用で押さえるべき注意点

IDS/IPSは「導入して終わり」にできない、運用が主役の仕組みです。現場で効かせるには次の点が要になります。

  • チューニングが前提:初期状態のままだと誤検知(正常な通信を攻撃と誤認)が多発しがちです。自社の通信に合わせてシグネチャの取捨選択やしきい値の調整を続ける必要があります。IPSで遮断モードにするなら、まずは検知(IDS)モードで一定期間ならし運転し、誤遮断が業務を止めないか見極めてから切り替えるのが安全です。
  • アラートを見る人・回す運用が必要:検知しても、誰も見ていなければ意味がありません。アラートの確認・対応の体制やSIEMなど他の仕組みとの連携がないと、大量の通知に埋もれて重要な兆候を見逃します。
  • 暗号化通信は中身が見えない:TLSで暗号化された通信は、復号する仕組みがなければネットワーク型では中身を検査できません。守備範囲の限界を理解し、端末側(EDR)など他の対策と組み合わせて補う前提が要ります。

限られた人員で、これらのチューニングとアラート対応を回し続けるのは決して楽ではありません。「入れたのに誰も見ていない」「誤検知が多くて結局アラートを無視している」という状態になりがちで、ツールそのものより運用体制の設計こそが成否を分ける、というのが正直な実感です。境界防御だけに頼らない考え方はゼロトラストの発想にもつながります。

まとめ

  • IDSは攻撃の兆候を「検知・通知」する仕組み、IPSはさらに「遮断」まで行う仕組みで、両者はまとめてIDPSと呼ばれます。
  • 設置場所(ネットワーク型/ホスト型)と検知方式(シグネチャ型/アノマリ型)で種類が分かれ、それぞれに得意・不得意があります。万能ではありません。
  • WAF・EDRとは守る対象が異なり、置き換えではなく役割分担で使うもの。効果を出す鍵は導入後のチューニングとアラート対応の運用体制にあります。

参考・出典

タイトルとURLをコピーしました