IDSとIPSは、どちらも不正な通信や攻撃を検知するセキュリティ技術ですが、
「検知するだけか」「自動で遮断まで行うか」という大きな違いがあります。
CCNA学習ではもちろん、実務でもFW・UTM・WAFなどと混同しやすいため、
違い・仕組み・設置場所をセットで理解することが重要です。
この記事では、IDSとIPSの違いを整理したうえで、検知方式、設置位置、検知できる攻撃例、
導入時の注意点まで初心者向けにわかりやすく解説します。
ネットワーク全体の基礎から整理したい方は、先に以下も参考にしてください。
▶ネットワーク全体像の基礎まとめ
IDSとIPSの違いを最初に整理
まずは結論として、IDSとIPSの役割の違いを表で整理します。
| 項目 | IDS | IPS |
|---|---|---|
| 正式名称 | Intrusion Detection System | Intrusion Prevention System |
| 日本語 | 侵入検知システム | 侵入防止システム |
| 役割 | 不正通信や攻撃を検知して通知する | 不正通信や攻撃を検知し、自動で遮断する |
| 設置方法 | ミラーポートやTAPで監視 | 通信経路上にインライン設置 |
| 通信への影響 | 基本的に影響しにくい | 誤検知時に正規通信を止める可能性がある |
| 主な目的 | 監視・可視化・分析 | 防御・遮断 |
簡単に言えば、IDSは「見つける装置」、IPSは「見つけて止める装置」です。
IDSとは
IDSは、不正アクセスや攻撃の兆候を検知して管理者に通知するための仕組みです。通信そのものを止めるのではなく、ログ出力やアラート通知によって異常を可視化します。
そのため、既存ネットワークへ比較的導入しやすく、まずは「どのような不審通信が流れているかを把握したい」という場面で使われます。
IDSの特徴
- 不正通信を検知してアラートを出す
- 通信経路の外側で監視することが多い
- 正規通信を止めにくい
- 監視や分析には向くが、防御は別製品に依存する
IPSとは
IPSは、不正通信や攻撃を検知した際に、その通信を自動で遮断する仕組みです。IDSより一歩進んだ防御機能を持ち、攻撃をリアルタイムで止めたい場合に有効です。
ただし、IPSは通信経路上に置くため、誤検知があると正常な通信まで止めてしまう可能性があります。そのため、運用開始前のチューニングが非常に重要です。
IPSの特徴
- 不正通信を検知して自動遮断する
- 通信経路上に配置する
- 防御効果が高い
- 誤検知・遅延・障害時影響を考慮する必要がある
IDSとIPSの仕組み
IDSとIPSは、主に以下の方式で不正通信を検知します。
シグネチャ型検知
既知の攻撃パターンをデータベース化し、通信内容と照合して検知する方式です。既知の攻撃には強い一方で、未知の攻撃には弱い面があります。
アノマリ型検知
通常の通信パターンから外れた異常な挙動を検知する方式です。未知の攻撃も見つけやすい反面、誤検知が増えやすい傾向があります。
ハイブリッド型検知
シグネチャ型とアノマリ型を組み合わせた方式です。現在の商用製品ではこの考え方がよく使われています。
IDSとIPSの設置場所
IDSとIPSは、同じセキュリティ製品のように見えても、設置場所が異なります。
IDSの設置場所
IDSは、ミラーポート(SPANポート)やネットワークTAPから通信を複製して受け取り、監視します。通信経路の外側にいるため、監視対象の通信を直接止めることはありません。
IPSの設置場所
IPSは、通信経路上にインラインで設置します。たとえばファイアウォールの内側や外側に置かれ、流れてくる通信を見ながら遮断判断を行います。
[インターネット] ─ [FW] ─ [IPS] ─ [社内LAN]
└─(ミラー)─ [IDS]このように、IDSは監視向き、IPSは防御向きという違いが構成にも表れます。
IDSとIPSが検知・防御する主な攻撃
IDS/IPSは、以下のような不審通信や攻撃の検知・防御に使われます。
- ポートスキャン
- ブルートフォース攻撃
- SQLインジェクション
- XSS(クロスサイトスクリプティング)
- DDoS攻撃の一部パターン
- マルウェア通信
- 異常な内部通信
特にポイントなのは、ファイアウォールでは見落としやすいアプリケーション層寄りの脅威にも対応しやすい点です。
IDSとIPSのメリット・デメリット
IDSのメリット
- 既存環境へ導入しやすい
- 通信を止めないため影響が少ない
- 異常の可視化に向いている
IDSのデメリット
- 攻撃を止められない
- ログ監視や分析の運用負荷がかかる
IPSのメリット
- 攻撃をリアルタイムで遮断できる
- 防御レベルを高めやすい
IPSのデメリット
- 誤検知で正常通信を止める可能性がある
- インライン設置のため障害時影響が大きい
- 導入前後のチューニングが重要
CCNAで押さえるべきIDSとIPSのポイント
CCNA学習では、細かな製品仕様よりも「役割の違い」「設置場所」「通信を止めるかどうか」を押さえることが重要です。
- IDS:検知のみ、通信は止めない
- IPS:検知して遮断する
- IDSはミラーポート監視、IPSはインライン設置
- IPSは誤検知時の影響に注意が必要
この4点を整理しておくと、試験でも実務でも混乱しにくくなります。
導入・運用時の注意点
1. シグネチャ更新を継続する
シグネチャ型検知を使う場合は、定義ファイルが古いと検知精度が落ちます。自動更新の仕組みを整えることが重要です。
2. 誤検知をチューニングする
特にIPSでは、正規通信を誤って遮断しないよう、除外設定や検知レベル調整が必要です。
3. ログ分析の運用を決める
IDSはアラートを出して終わりでは意味がありません。誰がどのログを見て、どう対応するかまで決める必要があります。
4. IPSは可用性も考慮する
IPSは通信経路上に置くため、障害時の通信影響が大きくなります。フェイルオープンや冗長化も検討しましょう。
FW・UTM・IDS・IPSの違いも整理しておく
IDS/IPSは、ファイアウォールやUTMと混同されやすいです。違いをまとめて理解したい方は以下も参考になります。
まとめ
- IDSは侵入を検知して通知する仕組み
- IPSは侵入を検知して自動遮断する仕組み
- IDSは監視向き、IPSは防御向き
- IDSはミラー監視、IPSはインライン設置
- IPSは誤検知や障害時影響を考慮した設計が重要
IDSとIPSは、どちらか一方だけを覚えるのではなく、「何が違うのか」「どこに置くのか」「何ができて何ができないのか」をセットで理解することが大切です。
ネットワークセキュリティ全体をあわせて学びたい方は、関連する以下の記事もおすすめです。
