IDS・IPSとは？　ファイアウォールやWAFとの違いを解説

IPSとは、不正侵入防止システムのこと

IPS（Intrusion Prevention System）とは不正侵入防止システムのことで、ネットワークなどの通信をリアルタイム監視して不正アクセスなどを検知した上で、不審な通信を遮断して侵入をブロックします。脅威が発見された時点で自動的に対応するため、基本的には管理者が通信遮断などの初動対応をする必要はありません。

ただし、検知ルールの設定の仕方によっては、正常な通信を誤って遮断してしまうリスクも存在します。都度ルールを見直して設定を調整し、不正な通信だけを遮断できるようにする必要があります。

シグネチャ型（ブラックリスト型）

シグネチャ型は、検知してほしい異常な挙動について、あらかじめ登録しておくタイプです。登録した情報にマッチしたアクセスがあった場合に、検知、分析などの対処を行います。検知の確実性が高い方法ですが、登録されていない脅威には対応できないため、未知のサイバー攻撃から逃れるのは困難です。

アノマリ型（ホワイトリスト型）

アノマリ型も、あらかじめ情報を登録しておきますが、正常な挙動を登録する点にシグネチャ型との違いがあります。アノマリ型では、登録してある挙動に一致しない通信があった場合はすべて異常な挙動と判断して、検知、分析をします。シグネチャ型に比べて誤検知は増えますが、未知の脅威からの攻撃にも対応が可能です。

ネットワーク型

ネットワーク型のIDS・IPSは、対象となるネットワーク上に置くことによって、通過する通信を監視できるタイプです。
ネットワーク全体を広く監視して脅威を検知できるのがメリットですが、監視対象のネットワークが複数ある場合はそれぞれのネットワークで設置しなければなりません。

ホスト型

ホスト型のIDS・IPSは、監視対象となるサーバー（ホスト）にインストールして使用するタイプです。サーバー上にあるログデータや受信データを監視・解析し、脅威を検知します。サーバー上にあるプログラムやファイルへのアクセス状況なども監視できるのがメリットです。ただし、ネットワーク型と同様、監視対象が複数の場合はそれぞれに設置が必要です。

クラウド型

クラウド型のIDS・IPSは、クラウドサービスとして提供されているタイプです。利用する際はインターネットを経由するため、ネットワークの設定やハードウェアの準備の手間がかかりません。検知するパターンの設定や運用管理をベンダーに任せられるため、導入コストだけでなく運用コストを抑えたいときにも最適です。

ファイアウォールとの違い

IDS・IPSとファイアウォールは、外部の脅威から社内ネットワークを守るという働きは同じですが、防御する領域や対象が異なります。

ファイアウォールは、企業や組織内に開かれた内部ネットワークと、その外側に存在する外部ネットワークのあいだに設置し、外部から内部へ、および内部から外部への不正なアクセスを遮断してネットワークを守るための装置です。一方、IDS・IPSは、ミドルウェアやOSなどのネットワーク内部で通信内容をリアルタイムで監視するため、プラットフォームへのサイバー攻撃に力を発揮します。ファイアウォールは、IDS・IPSより手前のネットワーク入り口で通信を監視し、ネットワークを守るシステムと言えるかもしれません。

また、IDS・IPSは通信の内容を見て正常・異常を判断していますが、ファイアウォールは送信元と送信先の情報だけで判断している点も異なります。

WAFとの違い

WAF（Web Application Firewall）とIDS・IPSは、不審な通信を監視し、通信の内容も確認する点では共通していますが、監視の対象領域に違いがあります。

WAFは、IDS・IPSよりさらにWebサイトやWebサービスに近いアプリケーションレベルで通信を監視します。ファイアウォールやIDS・IPSでは防ぎきれない、Webアプリケーションの脆弱性を突いたサイバー攻撃を阻止できるのがWAFのメリットです。

このように、通信を監視するためのセキュリティシステムには様々な種類があり、それぞれ守備範囲と強みが異なるため、併用して階層的に攻撃を防ぐことが重要です。

DoS・DDoS攻撃

IDS・IPSは、悪意のある第三者が大量のトラフィックをサーバーやネットワークに送り付け、アクセス集中による通信のパンクを狙うDoS・DDoS攻撃を防ぐことができます。閾値を設ける方法などで、サーバーなどの負荷を高める不正なアクセスを防ぐことが可能です。

バッファオーバーフロー

IDS・IPSによって、バッファオーバーフローを防ぐことも可能です。バッファオーバーフローは、データの入出力や転送をスムーズに行うために一時的にデータを蓄えておくバッファに、許容量を超えるデータを書き込んで想定外の動作や動作不良、機能停止を起こすサイバー攻撃です。

過剰なデータを送り付け、不具合を引き起こす点でDoS・DDoS攻撃と似ていますが、DoS・DDoS攻撃が公開サーバーやネットワークからのシステムダウンを企図しているのに対し、バッファオーバーフローはサーバー内部のメモリを攻撃することで不正なスクリプトの実行を狙っています。

いずれにせよ、IDS・IPSはOSやサーバーの脆弱性を狙った攻撃に有効であるため、バッファオーバーフローにも効果を発揮します。

SYNフラッド攻撃

SYNフラッド攻撃も、IDS・IPSで防げる攻撃のうちの1つです。SYNフラッド攻撃は、TCP接続が成立した後、サーバーに大量のSYNリクエストを送信し、サーバーからのメッセージを無視する攻撃です。これにより、サーバーに多数のオープン状態の接続を確立し、リソースを消費させることで他からの要求に応えられない状態にして、サービスをダウンさせます。

SYNフラッド攻撃を受けた場合、売上機会の喪失に伴う売上の減少や社会的な評価の低下などにつながりかねません。IDS・IPSは、トラフィックを監視して不正なリクエストを検知するため、SYNフラッド攻撃を回避できます。

SQLインジェクション

IDS・IPSでは、SQLインジェクションを防ぐことはできません。SQLインジェクションは、Webアプリケーションの脆弱性を突いて不正なSQL文を挿入し、データの改ざんや読み取りを狙う攻撃です。IDS・IPSの監視対象にはWebアプリケーションでの通信は含まれないため、SQLインジェクションを防ぐにはWAFなどを導入する必要があります。

クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS）も、IDS・IPSで防げない攻撃の1つです。クロスサイトスクリプティング（XSS）は、HTMLに悪意あるコードを埋め込んで不正なスクリプトを実行させます。Webサイトの脆弱性を突く攻撃となるため、IDS・IPSの防御範囲の対象外です。

OSコマンドインジェクション

IDS・IPSでは防げない攻撃の1つとして、OSコマンドインジェクションも挙げられます。OSコマンドインジェクションは、Webアプリケーションが実行する外部からの入力に不正なOSコマンドを紛れ込ませ、想定外の行動をさせます。これも、Webサイトの脆弱性を突く攻撃であるため、IDS・IPSで防御することはできません。

コストは適切か

IDS・IPSの導入にあたって確認したいのは、予算に対してコストが適切であるかどうかです。導入に伴って発生する購入費用や設定費用だけでなく、導入後のアップデートやサポートサービスにかかる費用を含めたランニングコストも確認しましょう。
複数社の見積もりをとって費用対効果を検証し、最適な製品を選んでください。

サポートは万全か

IDS・IPSは、導入時に検知パターンを設定し、導入後も定期的にパターンを見直してチューニングする必要があるため、導入後のサポートも重要となります。社内で対応できるリソースを確保できれば問題ありませんが、専門性の高い人材がいない場合はサポートサービスを依頼しなければなりません。

自社のリソース状況に合わせて、運用の負担の軽減とセキュリティリスクの低減を図れるサポートが用意されているかどうかを検討しましょう。