ネットワークのセキュリティを強化する上で、IDS(Intrusion Detection System:侵入検知システム) と IPS(Intrusion Prevention System:侵入防止システム) は非常に重要な役割を担います。 本記事では、IDS / IPS の仕組み・動作原理・導入時の注意点をわかりやすく解説します。
1. IDS / IPS とは?
まず、両者の違いを明確にしましょう。
| 項目 | IDS(侵入検知) | IPS(侵入防止) |
|---|---|---|
| 役割 | 攻撃や不正アクセスを検知し、アラートを出す | 攻撃を検知し、自動でブロック・防御を行う |
| 動作モード | 監視(モニタリング) | インライン(通信経路上で制御) |
| 影響範囲 | ネットワークに影響を与えない | トラフィックを遮断するため遅延・誤検知リスクがある |
| 目的 | 検知・可視化 | 防御・遮断 |
簡単に言えば、IDS は「監視カメラ」、IPS は「セキュリティゲート」といえます。
2. IDS / IPS の動作原理
IDS / IPS は、主に以下の方法で不正通信を検知します。
① シグネチャ(Signature)ベース検知
既知の攻撃パターン(シグネチャ)をデータベース化し、通信内容と照合して検出します。 ウイルススキャンのように「既知の攻撃」に強いですが、新しい攻撃(ゼロデイ攻撃)には弱点があります。
② アノマリ(Anomaly)ベース検知
正常な通信パターンから逸脱した挙動を検知する手法です。 未知の攻撃を検出できる反面、誤検知(false positive)が多くなる傾向があります。
③ ハイブリッド検知
上記2つを組み合わせ、既知と未知の両方の攻撃を検知できるようにしたものです。 現在の多くの商用IPSはこの方式を採用しています。
3. IDS / IPS の設置位置
導入効果を最大化するには、ネットワーク内での設置位置が重要です。
- IDS:ミラーポート(SPANポート)やタップ(TAP)からトラフィックを受け取り監視
- IPS:通信経路上(ファイアウォールの前後など)にインライン設置し、攻撃を遮断
例)[インターネット] ─ [FW] ─ [IPS] ─ [社内LAN] └─(ミラー)─ [IDS]
4. IDS / IPS が検知・防御する主な攻撃例
- ポートスキャン・サービススキャン
- DDoS攻撃(分散型サービス妨害)
- SQLインジェクション
- XSS(クロスサイトスクリプティング)
- マルウェア感染通信
- ブルートフォース攻撃(総当たり認証攻撃)
これらはファイアウォールでは防ぎきれない「アプリケーション層の攻撃」も対象とする点が特徴です。
5. 導入・運用時のポイント
① シグネチャの更新を自動化する
攻撃手法は日々進化しています。ベンダー提供の最新シグネチャを自動で更新し、常に最新状態を維持しましょう。
② 誤検知・過検知をチューニングする
特定の正規通信が「攻撃」と誤認される場合、除外ルール(ホワイトリスト)を設定して調整します。
③ ログ分析・アラート連携を行う
SIEM(Security Information and Event Management)と連携することで、検知結果を集約・分析し、迅速な対応が可能になります。
④ IPS はネットワーク構成に注意
IPSはトラフィック経路上に設置されるため、障害時の影響範囲が大きいです。 バイパス構成やフェイルオープン機能を活用して可用性を確保しましょう。
6. IDS / IPS の導入形態
| 導入形態 | 概要 | 特徴 |
|---|---|---|
| オンプレミス型 | 企業内ネットワークに設置 | 高い制御性・カスタマイズ性 |
| クラウド型 | SaaS / FWaaS として提供 | 管理が容易・拡張性が高い |
| ホスト型 | サーバーやエンドポイントに直接導入 | 内部攻撃の検出に有効 |
7. まとめ
- IDS:不正を「検知」して可視化するシステム
- IPS:不正を「遮断」して防御するシステム
- 両者を組み合わせることで、検知から防御まで包括的な対策が可能
- 誤検知の調整・シグネチャ更新・ログ管理が運用の鍵
IDS / IPS はファイアウォールやアンチウイルスと並ぶ重要なセキュリティレイヤーです。 設置位置・設定・チューニングを正しく理解し、運用体制を整えることが安全なネットワーク運用の第一歩です。