IDS・IPSとは?機能やメリット・デメリットをわかりやすく解説
Check!
- IDS・IPSとは、ネットワークへの不正アクセスを検知・防御するシステムである
- IDS・IPSだけでは防げない攻撃も存在するため、他システムとの連携も視野に入れる
- 企業の目的やネットワーク規模に合わせて、検知・監視方法のレベルを選ぶ
IDS・IPSとは、ネットワークやサーバーへの不正アクセスなどを検知・防御するセキュリティシステムです。本記事では、IDS・IPSの仕組みや導入のメリット・デメリット、IDS・IPS・ファイアウォール・WAF・UTMの機能の違いをわかりやすく解説します。
目次
開く
閉じる
開く
閉じる
IDS・IPSとは
IDS・IPSとは、ネットワークを介してサーバーに侵入する不正アクセスを検知、または防御するシステムです。OSやWebサーバーの脆弱性を突いて外部から侵入してくる不正な攻撃・アクセスに対して有効であり、システム障害を未然に防いでくれます。
近年は、世界中のネットワーク網を通じて媒介される、不正なデータやアクセスの脅威が増加しています。これらの攻撃を受けてシステムに障害が発生すると、業務が停滞して多くの利用者が影響を受けます。その結果、企業の信用や信頼の低下につながる恐れがあります。
IDS・IPSは、外部からの悪意ある脅威・攻撃を防御して、システムの安定稼働を継続させる機能を持っています。ここでは、IDSとIPSについて、違いや必要とされる理由を解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS(不正侵入検知システム)とは
IDS(Intrusion Detection System)は、「不正侵入検知システム」と呼ばれ、リアルタイムでネットワーク状況を監視し、外部からの不正アクセスを検知して通知するシステムです。ネットワーク状況の監視方法は、「ネットワーク型」と「ホスト型」に分類されます。
ネットワーク型は、ネット上に流れるデータ通信を監視し、不正を検知した段階で異変を管理者に伝えるのが特徴です。外部からの不正アクセス監視を強化する場合は、ルーターとファイアウォールの間に設置し、内部不正の対応では内部トラフィックを主に監視します。
ホスト型は、監視対象となるサーバーにインストールし、決められたデータファイルのログや改ざんの有無などを監視します。OSと連携して不正アクセスを検知するため、接続されているPCなどの数に応じてインストールしなければならず、運用がやや煩雑となります。
IPS(不正侵入防御システム)とは
IPS(Intrusion Prevention System)は、「不正侵入防御システム」と呼ばれており、ネットワークから侵入してきた不正アクセスを検知した場合に、ブロックや遮断によって防御処置を行うのが特徴です。
IPSも、IDSと同じようにネットワーク状況を監視する方法に「ネットワーク型」と「ホスト型」の2種類が存在します。また、監視方法に関する基本的な機能や特徴は、IDSとほぼ同じです。
IDS・IPSの違い
IDSとIPSは、ネットワーク上のデータを監視して、不正アクセスを検知するという機能面は共通しています。そして、IDSはコンピューターのネットワークに対して、外部からの不正アクセスを検知した時点で、管理者に通知する機能を主とします。
一方、IPSは不正アクセスを検知した段階で、必要に応じて通信を遮断するなどの防御機能を有している点が大きな違いです。なお、IPSは通信を遮断する機能を起動させるために、通信経路の間にシステムをインストールする必要があります。
また、Webアプリケーションの脆弱性を突いた、不正アクセスの防御に特化しているWAF(Web Application Firewall)などと、IDS・IPSを連携させることにより、さらにセキュリティを強化することができ、利便性の向上が可能です。
IDS・IPSの歴史と進化
IDSは1990年代に登場し、ネットワーク上の不審な通信を検知する仕組みとして普及しました。その後リアルタイムに不正アクセスを遮断できるIPSが生まれ、単なる監視から防御へと役割が広がりました。
現在では誤検知対策や高速処理が進み、シグネチャ検知に加えて、振る舞い分析と機械学習を取り入れた次世代型IPS(NGIPS)が主流となっています。
さらに、クラウドや仮想環境への対応、SIEMやEDRなど他のセキュリティ製品との連携も進み、IDS・IPSは単体の防御機能から、ゼロトラスト・多層防御を支える中核的な存在へと進化しています。
IDS・IPSが必要とされる理由
近年では、ネットワークを介して、サーバーなどに対する破壊行為やデータの窃取、改ざんなどの不正アクセスを行うサイバー攻撃が増加しています。
サイバー攻撃を受けると、システムに障害が発生して業務が停止するだけでなく、企業の信用・信頼が低下して顧客離れが発生してしまうなど、その影響度は計り知れません。
中でも、大きな攻撃の1つであるDoS攻撃(Denial of Service attack)では、1台のパソコンを使用して、ターゲットのサーバーに大量のデータを送りつけ、サーバーの負荷を増幅させて障害を発生させます。
また、DDoS攻撃(Distributed Denial of Service attack)では、複数のパソコンを配下に置き、そこからさらに大量のデータを送りつけます。その結果、サーバーがダウンしてWebサイトが閲覧できなくなったり、通信の遅延が発生したりします。
そして、バッファーオーバーフロー攻撃は、コンピューター内部に大量のデータを送り付け、確保しているメモリ領域を越すことで障害を引き起こします。
このような、悪意ある攻撃から自社のコンピューター・サーバーを防御するための対策として、IDS・IPSを導入し、障害を未然に防ぎながら企業の信用を守ることが非常に重要です。
IDS・IPSとファイアウォール・WAF・UTM機能の違い
サイバー攻撃を防御するシステムとして、IDS・IPSの他、ファイアウォールやWAF・UTMがあります。ここでは、それぞれの機能の違いなどを解説します。
| セキュリティの種類 | 機能 |
|---|---|
| IDS・IPS | 通信データの異常を監視し、通知または遮断する |
| ファイアウォール | 送信元や送信先などの正常・異常を判断する |
| WAF | Webアプリケーション自体に内在する脆弱性をつく攻撃から保護する |
| UTM | マルウェア検知や迷惑メール対策などの機能を搭載し、統合的に脅威から保護する |
ファイアウォールとは
ファイアウォールは、不正アクセスに対する「防火壁」のような役割があり、壁の内部にあるネットワークを守る機能です。外部と内部ネットワークの間にインストールされ、主にインターネットを経由して入ってくるサイバー攻撃などから、ネットワークを防御します。
ファイアウォールは、通信データ内のIPアドレスやポートを監視し、送信元や送信先などの正常・異常を判断する機能があります。ただ、通信の内容までは精査しないため、OSやWebサーバーなどの、脆弱性を突いたサイバー攻撃を防ぐことは難しいとされています。
対して、IDS・IPSは通信内容まで監視するため、ファイアウォールを通過して入ってきた不正なアクセス通信の内容も見抜き、遮断も可能です。ファイアウォールとIDS・IPSを併用することで、より高精度なセキュリティ対策が可能となります。
WAFとは
WAF(Web Application Firewall)は、Webアプリケーション自体の脆弱性を突くサイバー攻撃を検出し、防御することに特化したシステムです。WAFはWebアプリケーション内に導入するのではなく、ネットワークやWebアプリケーションの周りにインストールします。
CMS(Contents Management System)などを使い、個別に開発されたWebアプリに内在する脆弱性を保護する点がメリットです。インターネットバンキングやネットショッピングなど、幅広いWebアプリのセキュリティ対策に利用されています。
一方、WAFは導入するWebサーバー数に比例して導入や運用コストがかかり、費用が高額になりやすい点がデメリットとされています。ただし、最近ではクラウド型のWAFも増えており、コストを抑えて導入できるものも登場しています。
UTMとは
UTM(Unified Threat Management)は、コンピューターウイルスやハッキングなどの攻撃から、コンピューターネットワークを包括的に保護するシステムです。「統合脅威管理」や「統合型脅威管理」とも呼ばれ、さまざまなセキュリティ機能を搭載しています。
例えば、IDS・IPSをはじめとして、ファイアウォール・アンチスパム・アンチウイルス・Webフィルタリングといった機能を集約し、マルウェア検知や迷惑メールなどにも対応しています。
従来であれば、ウイルスの種類や不正アクセスなどの脅威に合わせてセキュリティ対策をする必要がありましたが、個別の導入にはコストと手間がかかります。その点、UTMを利用すれば、セキュリティ機能の統合によって一括管理できるようになります。
ただし、その分コスト面では一気に負担が大きくなるため、自社が求めるセキュリティの規模と費用についても、しっかりと比較検討する必要があります。
セキュリティ対策には連携がおすすめ
IDS・IPSシステムとファイアウォール、WAF・UTMはそれぞれ機能に違いがありますが、どのシステムも外部のネットワークを経由して、入ってくる不正アクセスやサイバー攻撃からシステムを防御する、という機能を搭載している点は共通しています。
しかし、防御のための監視対象や目的・防御範囲・インストールする場所などが異なり、得意・不得意もあります。そこで、各システムを組み合わせて連携させることにより、一層強固で万全なセキュリティ対策を構築することが可能になります。
その結果、悪意ある外部からのアクセスや攻撃から、自社システムを保護することができます。逆に、何かが欠けてもシステム保護やセキュリティの面で穴ができてしまうため、これらの組み合わせを充分理解・確認して、強固なセキュリティ対策を立てましょう。
IDS・IPSの仕組み
IDS・IPSには、異なる検知方法と監視方法が存在します。ここでは、IDS・IPSの仕組みについて詳細を解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPSの仕組み
IDS・IPSにおける検知方法の種類
IDS・IPSにおける不正アクセスの検知方法には、シグネチャ型とアノマリ型の2つの種類があります。以下では、それぞれの種類について解説します。
シグネチャ型
シグネチャ(Signature)型とは不正検出型とも呼ばれ、データベース上に不正アクセスのパターンを登録・定義しておき、パターンに一致する通信データを不正アクセスとして検知する方法です。
シグネチャ型のメリットは、これまでに発生や経験した不正アクセスの攻撃を確実にブロックできることです。システムの脅威となるデータを検知して高い防御率を実現し、誤検知の発生も少ないとされています。
ただし、シグネチャ型は、登録・定義されているパターンや値のみを検知して対応するため、それ以外の新たな未知の脅威に対しては、防御率が低くなってしまう点がデメリットといえます。
アノマリ型
アノマリ(Anomaly)型とは、正常検知型とも呼ばれ、データベース上に正常なアクセスのパターンを登録・定義しておき、このパターンから外れた通信データを不正アクセスとみなして検知する方法です。
例えば、通信データのプロトコルやトラフィック量が登録している値と相違するケースは、不正アクセスと判定します。そのため、新たな不正や未知の脅威を検知しやすいのがメリットです。
しかし、正常パターンの定義にミスがあると、正しいデータでも誤検知することになり、業務に支障が出てしまうため注意が必要です。また、新しい通信が増える際には、正常値の追加定義を必要とし、管理や運用に手間がかかります。
IDS・IPSにおける監視方法の種類
IDS・IPSの監視方法には、ネットワーク型とホスト型の2種類があります。以下では、それぞれの特徴やメリット・デメリットなどを解説します。
ネットワーク型
ネットワーク型のIDS・IPSは、ネットワーク上に設置し、ネットワークを通る通信パケットを収集して、データやプロトコルヘッダなど、パケットの中身を解析して正常かどうかを監視する方法です。
ネットワーク型は、ファイアウォールとネットワーク間に設置することで、複数のユーザーを監視しながら、リアルタイムでの攻撃検出ができるのが大きなメリットです。
ただし、監視対象になるのはIDS・IPSを設置したネットワークのみとなっており、社内ネットワークやファイアウォールの外側、公開サーバーなど、追加で監視したいネットワークには別途設置する必要があります。
また、ネットワークの通信をすべて確認するため、多くのリソースが求められます。さらに、監視対象の情報も一定期間保存するため、ファシリティを多く占有してしまいます。
ホスト型
ホスト型は、監視対象となるサーバー上に、監視システムを直接インストールして監視する方法です。コンピュータへの通信履歴や、ファイルへのアクセス状況などを監視するのが特徴です。
不正侵入の監視をはじめ、サーバー内の不審な動きやファイルの改ざんなどの監視も行います。OSの監視機能と連携し、不正侵入の検出が可能です。
ただし、インストールされたサーバー上のみに対応して監視するため、保護したいサーバーが複数ある場合は、それぞれにインストールしなければなりません。
IDS・IPSで防ぐことのできる攻撃の種類
外部からの悪意ある攻撃として「マルウェア」があります。IDS・IPSの導入で、ワームやトロイの木馬などで知られたマルウェア・ソフトを検知し、社内システムへの感染を未然に防ぐことができます。
また、コンピューター内部に入り込み、メモリ領域を越えたデータを発生させたり、不正コードで障害を起こしたりする「バッファーオーバーフロー」や、外部のサーバーに負荷をかけるために大量のデータを送りつける「DoS・DDoS攻撃」などを検知します。
そして、外部のサーバーに大量の接続要求通信(SYN)を送り付け、他の正規の接続要求を受け付けできないようにする「SYNフラッド攻撃」も検知し、正常稼働を助けます。
なお、「バックドア」と呼ばれる、ID・パスワード認証を回避し、管理者から見えない場所から不正なアクセスを行う攻撃もあります。こういった、非常に悪質な攻撃からも、IDS・IPS導入によって防御を固めることが可能です。
| 攻撃の種類 | 内容 |
|---|---|
| マルウェア感染 | ワームやトロイの木馬といった、コンピューターに 被害を与える悪意あるソフトへの感染 |
| バッファーオーバーフロー | コンピューター内部に入り、メモリ領域を越えた データの発生や不正コードによる障害を引き起こす |
| DoS攻撃・DDoS攻撃 | 外部のサーバーに、負荷をかけるために大量の データを送りつける |
| SYNフラッド攻撃 | サーバーに大量の接続要求通信(SYN)を送付し、 正規のSYNを受け付けられないようにして サーバーのダウンを狙う |
| バックドア | IDやパスワードなどの認証をせず、 不正な経路から侵入する |
IDS・IPSで防ぐことのできない攻撃の種類
IDS・IPSを導入したとしても、万全のセキュリティ対策が完了しているわけではありません。なぜなら、IDS・IPSでも防御できない攻撃もあるからです。ここでは、そのうちの3つについて解説します。
攻撃の1つ目は、SQL(Structured Query Language)インジェクションです。SQLインジェクション攻撃は、サーバーに悪意あるSQL文を送信し、データベース内の情報を破壊する不正操作を行います。
2つ目の、XSS(クロスサイトスクリプティング)は、Web上のアプリに悪意あるスクリプトを埋め込み、個人情報やCookie情報を取得して悪用します。
3つ目の、OSコマンド・インジェクションは、脆弱性を持つアプリケーションを通じて、サーバーなどに不正なOSコマンドを送信します。OSに対する誤った命令を伝えて、被害を発生させる攻撃です。
| 攻撃の種類 | 内容 |
|---|---|
| SQLインジェクション | 悪意あるSQL文を送信し、データベース内の情報を 破壊する不正操作を行う |
| XSS(クロスサイトスクリプティング) | Web上のアプリに不正スクリプトを埋め込み、 個人情報などを取得し悪用する |
| OSコマンドインジェクション | サーバーに不正なOSコマンドを送信して、 OSに対して誤った命令を実行させる |
内部不正による攻撃検知
内部不正は正規アカウントや端末を悪用するため、外部からの攻撃に比べて発見が難しい特徴があります。IDS・IPSは通常とは異なる挙動を検知することで、深夜の大量データ転送や権限昇格の思考、短時間での複数システムへのアクセスなどを早期に検知できます。
検知方法はシグネチャだけでなく、アノマリ検知を活用してネットワーク型とホスト型を組み合わせることで精度が向上します。さらに、SIEMやログ管理システムと連携させれば、不審な操作の背景・ユーザー属性を踏まえた高度な判定が可能です。
その結果、内部不正やアカウント乗っ取りに対して迅速な対応が行えます。
IDS・IPS導入のメリット
IDS・IPSの導入によって、リアルタイムな不正アクセスの検知・防御などが可能となります。ここでは、IDS・IPSを導入するメリットについて解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPS導入のメリット
不正アクセスをリアルタイムで検知・防御
IDS・IPSのメリットは、リアルタイムで不正アクセスなどの異常を検知できることです。異常を検知すると、すぐに管理者に連絡をしたり、システムを遮断したりするなどの対処を行います。
このように、問題が発生した際に速やかに対応できるのが強みです。そのため、記録されているアクセスログを後で解析し、初めて不正アクセスがあった事実に気が付くといった状況を防ぐことができます。
従来のシステムが見逃す攻撃を検知
不正アクセスを防ぐセキュリティシステムには、以前からファイアウォールがありますが、IDS・IPSでは、ファイアウォールでは防ぎきれなかった攻撃を検知して、対応できるのが大きなメリットです。
ファイアウォールは、ネットワークから送付されるパケット内の送信元のIPアドレスやポート番号などの情報を読み取り、接続可否を判定します。
対して、IDS・IPSではデータの通信内容を読み取り、あらかじめ登録された攻撃パターンと比較しながら、正常・異常を判断します。そのため、従来のシステムが見逃してしまう攻撃についても検知・対処が可能です。
システム障害を未然に防ぐ
IDS・IPSは、不正なマルウェア感染やDoS/DDoS攻撃、バッファーオーバーフロー、SYNフラッド攻撃といった、OS・Webサーバーの脆弱性を突いた攻撃や、負荷を掛ける攻撃への対応としても有効です。システム障害を未然に防ぐことができます。
仮にシステム障害が起きてしまうと、業務が停止して利用者に混乱を生じさせるだけでなく、会社の信用低下や社会問題にも発展しかねません。
IDS・IPSのシステム障害を未然に防ぐ機能は、企業の業務遂行・システム運用の面で非常に大きなメリットとなります。
IDS・IPS導入のデメリット
IDS・IPSにはメリットだけでなく、いくつかのデメリットも存在します。ここでは、IDS・IPSによる誤検知や防げない攻撃、コスト面に関するデメリットを解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPS導入のデメリット
誤検知が発生する恐れがある
IDS・IPSのデメリットとして、デ―タの誤検知の問題があります。通信データの種類によっては、正常な通信データにもかかわらず、不正なアクセスや悪意ある攻撃とみなしてブロックしてしまうケースが発生します。
IDS・IPSでは、事前に設定された攻撃パターンをベースに、アクセスの通信可否を判定します。この設定する攻撃パターンの情報をリアルタイムで頻繁に更新しないと、正常・異常データの誤検知が生じる可能性が高いです。
このような誤検知の発生を防ぐためにも、攻撃パターンの更新・設定を頻繁に行うなど、日常の管理・運用が重要になります。
IDS・IPSだけでは防げない攻撃もある
IDS・IPSでは、防御できない攻撃がある点もデメリットです。例えば、Web上の掲示板アプリケーションに不正なスクリプトを埋め込み、個人情報などを取得して悪用するXSS(クロスサイトスクリプティング)などは、基本的に防御できないとされています。
また、サーバーに悪意あるSQL文を送信し、データベース内の情報を破壊するSQLインジェクション攻撃、不正なOSコマンドを送信して、誤った命令を実行させるOSコマンド・インジェクションなども、IDS・IPSでは防ぐのが難しいです。
コストがかかる
IDS・IPSの導入に関しては、導入費用や維持費がかかる点もデメリットです。また、使用料に関しても、提供する会社によって差があります。例えば、A社では初期費用20,000円、月額基本料金20,000円からと設定されています。
対して、B社では月額が最小価格45,000円から最大154,000円となっており、C社では、初期導入費用が100,000円、月額費用が45,000円から154,000円です。なお、多くの会社が費用に関しては公開しておらず、「要問い合わせ」対応が中心です。
IDS・IPSは、製品によって防御できる範囲やセキュリティ・レベルが違っており、それに応じて費用や価格帯が異なっています。そのため、自社のシステムの規模に見合ったセキュリティを搭載したシステム・レベルの製品選択が重要です。
IDS・IPSの導入がおすすめな企業
セキュリティ対策を強化したい企業には、IDS・IPSの導入が有効です。特に、以下のような企業にIDS・IPSの導入がおすすめです。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPSの導入がおすすめな企業
ノンストップ稼働が求められる企業
機械やシステムを1度も停止することなく、連続して稼働し続けることが求められる企業では、外部からの攻撃によるサービスの中断は大きな損失につながります。
IDS・IPSなら、万が一サービスの停止を狙う攻撃を受けても、即座に検知・防御してくれるため、サービスを中断することなく提供できるでしょう。なお、ノンストップ稼働では誤検知によるシステムの停止も起こしてはなりません。
そのため、防御処置までは担わないIDSの方が適しているといえます。
重要な機密情報を取り扱う企業
個人情報などの機密情報を多く取り扱う企業にも、IDS・IPSの導入がおすすめです。このような企業において、情報漏洩は会社の信用と事業の継続に深刻な影響を与えます。
外部からの攻撃による情報漏洩を防ぐためには、ネットワークへの不正侵入をリアルタイムに検知し、防御することが大切です。特に、不正なトラフィックに対して自動で遮断するIPSが適しています。
IDS・IPS製品の選定ポイント
IDS・IPS製品は、導入形態や種類、動作の軽さを比較検討する必要があります。ここでは、IDS・IPS製品の選定ポイントについて解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPS製品の選定ポイント
導入形態や種類で選ぶ
IDS・IPSの導入に際しては、企業のセキュリティの目的や範囲・ネットワークの規模に合わせて、製品を選ぶことが重要です。なお、IDS・IPSを導入する形態は、監視対象によってネットワーク型とホスト型に分けられます。
特定のネットワーク上の通信データの内容を監視したい場合には、ネットワーク型が適しています。一方、サーバーの中まで高い精度で異常の検知をしたい場合には、ホスト型がおすすめです。
また、自社内でIDS・IPSの導入や、設定・ネットワークの構築などが難しい場合には、クラウドサービスがおすすめです。クラウドで提供されるIDS・IPSを利用する場合は、運用・保守などを自社で行う必要がないため、人材確保やコスト面でも有利に利用できます。
動作の軽さで選ぶ
IDS・IPS製品を選ぶ際には、稼働時の動作の軽さ・重さの確認も大事です。一般的に、セキュリティ関連の製品は処理負荷が大きいため、システム全体の処理速度を遅くしてしまう傾向があります。
処理速度が落ちてしまうと、ほかの業務の処理に支障が出てしまったり、ユーザーへの応答時間が長くなったりします。その結果、システム全体の生産性が落ちてしまうこともあるため注意が必要です。
サポート体制で選ぶ
IDS・IPS製品を選択する場合には、サポート体制も確認すべきポイントです。導入時やシステムに不具合が生じた場合には、迅速に対応してくれるサポート体制が求められます。
また、システムに関する質問に対するサポートやトラブル発生時の対応など、手厚いサポート体制があるかどうかも、選定ポイントとして確認しましょう。
費用対効果で選ぶ
IDS・IPS製品は安価ではないため、導入する会社のシステム規模に見合った機能や、セキュリティレベルを備えた製品を選ぶ必要があります。また、初期・運用コストを踏まえて、費用対効果を充分に考慮して検討するのが重要です。
例えば、ホスト型を導入して個別に機器を防御するよりも、ネットワーク型で全体を防御する方が初期・運用コストは抑えられます。さらに、コストを抑えるためにクラウド型のサービスを利用するのも有効です。
このように、いずれの場合も費用対効果を基にした製品選びが求められます。
まとめ
IDS・IPSは、ネットワークを介して入ってくる不正アクセスをリアルタイムで検知・防御します。さらに、従来のシステムが見逃すサイバー攻撃を検知して、システム障害を未然に防ぐことが可能です。
一方、誤検知が発生する恐れがあることや、IDS・IPSだけでは防げない攻撃が存在する、全体にコストがかかるなど、デメリットも存在します。また、IDS・IPSはセキュリティの防御範囲や対応できる攻撃の種類にも違いがあります。
今後、IDS・IPSを導入する際には、本記事を参考にしながら、自社の規模に合ったシステムや費用対効果を考慮しつつ、適切な製品選びを行いましょう。
この記事に興味を持った方におすすめ
あなたへのおすすめ記事
