IDS・IPSとは?機能やメリット・デメリットを分かりやすく解説
Check!
- IDS・IPSとは、ネットワークへの不正アクセスを検知・防御するシステムである
- IDS・IPSだけでは防げない攻撃も存在するため、他システムとの連携も視野に入れる
- 企業の目的やネットワーク規模に合わせて、検知・監視方法のレベルを選ぶ
IDS・IPSとは、ネットワークやサーバーへの不正アクセスなどを検知・防御するセキュリティシステムです。この記事では、IDS・IPSの仕組みや導入のメリット・デメリット、IDS・IPS・ファイアウォール・WAF・UTMの機能の違いを分かりやすく解説しています。
目次
開く
閉じる
開く
閉じる
IDS・IPSとは
IDS・IPSとは、ネットワークを介してサーバーに侵入する不正アクセスを検知、または防御するシステムです。OSやWebサーバーの脆弱性を突いて外部から侵入してくる不正な攻撃やアクセスに対して有効であり、システム障害を未然に防いでくれます。
近年は、世界中のネットワーク網を通じて媒介される、不正なデータやアクセスの脅威が増加しています。これらの攻撃を受けてシステムに障害が発生すると、業務が停滞して多くの利用者が影響を受けます。その結果、企業の信用や信頼の低下に繋がってしまいます。
IDS・IPSは、外部からの悪意ある脅威・攻撃を防御して、システムの安定稼働を継続させる機能を持ちます。そんな2つのシステムについて、違いや必要とされる理由を解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS(不正侵入検知システム)とは
IDS(Intrusion Detection System)は、「不正侵入検知システム」と呼ばれ、リアルタイムでネットワーク状況を監視し、外部からの不正アクセスを検知して通知するシステムです。ネットワーク状況の監視方法は、「ネットワーク型」と「ホスト型」に分類されます。
ネットワーク型は、ネット上に流れるデータ通信を監視し、不正を検知した段階で異変を管理者に伝えるのが特徴です。外部からの不正アクセス監視を強化する場合は、ルーターとファイアウォールの間に設置し、内部不正の対応では内部トラフィックを主に監視します。
ホスト型は、監視対象となるサーバーにインストールし、決められたデータファイルのログや改ざんの有無などを監視します。OSと連携して不正アクセスを検知するため、接続されているPCなどの数に応じてインストールする必要があり、運用がやや煩雑となります。
IPS(不正侵入防御システム)とは
IPS(Intrusion Prevention System)は、「不正侵入防御システム」と呼ばれており、ネットワークから侵入してきた不正アクセスを検知した場合に、ブロックや遮断によって防御処置を行うことが特徴です。
IPSも、IDSと同じようにネットワーク状況を監視する方法に「ネットワーク型」と「ホスト型」の2種類が存在します。また、監視方法に関する基本的な機能や特徴は、IDSとほぼ同じとなっています。
IDS・IPSの違い
IDSとIPSは、ネットワーク上のデータを監視して、不正アクセスを検知するという機能の点では同じです。そして、IDSはコンピューターのネットワークに対して、外部からの不正アクセスを検知した時点で、管理者に通知する機能を主とします。
一方、IPSは不正アクセスを検知した段階で、必要に応じて通信を遮断するなどの防御機能を有している点が大きな違いです。なお、IPSは通信を遮断する機能を起動させるために、通信経路の間にシステムをインストールする必要があります。
また、Webアプリケーションの脆弱性を突いた、不正アクセスの防御に特化したWAF(Web Application Firewall)などと、IDS・IPSを連携させることにより、さらにセキュリティを強化することができ、利便性を向上させられます。
IDS・IPSが必要とされる理由
近年ではネットワークを介して、サーバーなどに対する破壊行為やデータの窃取、改ざんなどの不正アクセスを行うサイバー攻撃が増加しています。
サイバー攻撃を受けると、システムに障害が発生して業務が停止するだけでなく、企業の信用・信頼が低下して顧客離れが発生してしまうなど、その影響度は計り知れません。
中でも、大きな攻撃の1つであるDoS攻撃(Denial of Service attack)では、1台のパソコンを使用して、ターゲットのサーバーに大量のデータを送りつけ、サーバーの負荷を増幅させて障害を発生させます。
また、DDoS攻撃(Distributed Denial of Service attack)では、複数のパソコンを配下に置き、そこからさらに大量のデータを送りつけます。その結果、サーバーがダウンしてウェブサイトが閲覧できなくなったり、通信の遅延が発生したりします。
そして、バッファーオーバーフロー攻撃は、コンピューター内部に大量のデータを送り付け、確保しているメモリ領域を越すことで障害を引き起こします。
このような、悪意ある攻撃から自社のコンピューター・サーバーを防御するための対策として、IDS・IPSを導入し、障害を未然に防ぎながら企業の信用を守ることが非常に重要です。
IDS・IPSとファイアウォール・WAF・UTM機能の違い
サイバー攻撃を防御するシステムとして、IDS・IPSのほかに、ファイアウォールやWAF・UTMがあります。ここからは、それぞれの機能の違いなどを解説します。
| セキュリティの種類 | 機能 |
|---|---|
| IDS・IPS | 通信データの異常を監視し、通知または遮断する |
| ファイアウォール | 送信元や送信先などの正常・異常を判断する |
| WAF | Webアプリケーション自体に内在する脆弱性をつく攻撃から保護する |
| UTM | マルウェア検知や迷惑メール対策などの機能を搭載し、統合的に脅威から保護する |
ファイアウォールとは
ファイアウォールは、不正アクセスに対する「防火壁」のような役割があり、壁の内部にあるネットワークを守る機能です。外部と内部ネットワークの間にインストールされ、主にインターネットを経由して入ってくるサイバー攻撃などから、ネットワークを防御します。
ファイアウォールは、通信データ内のIPアドレスやポートを監視し、送信元や送信先などの正常・異常を判断する機能があります。ただ、通信の内容までは精査しないため、OSやWebサーバーなどの、脆弱性を突いたサイバー攻撃を防ぐことは難しいとされています。
対して、IDS・IPSは通信内容まで監視するため、ファイアウォールを通過して入ってきた不正なアクセス通信の内容も見抜き、遮断も可能です。よって、ファイアウォールとIDS・IPSを併用することにより、さらに高精度のセキュリティ対策が可能となります。
WAFとは
WAF(Web Application Firewall)は、Webアプリケーション自体の脆弱性を突くサイバー攻撃を検出し、防御することに特化したシステムです。WAFは、Webアプリケーション内に導入するのではなく、ネットワークやWebアプリケーションの周りにインストールします。
WAFは、CMS(Contents Management System)などを使い、個別に開発されたWebアプリに内在する脆弱性を保護する点がメリットです。インターネットバンキングやネットショッピングなど、幅広いWebアプリのセキュリティ対策に利用されています。
一方、WAFは導入するWebサーバー数に比例して導入や運用コストがかかり、費用が高額になりやすい点がデメリットとされています。ただし、最近ではクラウド型のWAFも提供されており、コストを抑えて導入できるものも登場しています。
UTMとは
UTM(Unified Threat Management)は、コンピューターウイルスやハッキングなどの攻撃から、コンピューターネットワークを包括的に保護するシステムです。「統合脅威管理」や「統合型脅威管理」とも呼ばれ、さまざまなセキュリティ機能を搭載しています。
例えば、IDS・IPSをはじめとして、ファイアウォール・アンチスパム・アンチウイルス・Webフィルタリングといった機能を集約し、マルウェア検知や迷惑メールなどにも対応しています。
従来であれば、ウイルスの種類や不正アクセスなどの脅威に合わせてセキュリティ対策をする必要がありましたが、個別の導入にはコストと手間がかかります。その点、UTMを利用すれば、セキュリティ機能の統合によって一括管理できるようになります。
ただし、その分コスト面では一気に負担が大きくなるため、自社が求めるセキュリティの規模と費用についても、しっかりと比較検討する必要があります。
セキュリティ対策には連携がおすすめ
IDS・IPSシステムとファイアウォール、WAF・UTMのそれぞれの機能の違いを説明しましたが、どのシステムも外部のネットワークを経由して、入ってくる不正アクセスやサイバー攻撃からシステムを防御する、という機能を搭載している点は共通しています。
しかし、その防御のための監視対象や目的・防御範囲・インストールする場所などが、それぞれ異なり、得意・不得意もあります。そこで、これらのシステムを組み合わせて連携させることにより、一層強固で万全なセキュリティ対策を構築することが可能になります。
その結果、悪意ある外部からのアクセスや攻撃から、自社システムを保護することができます。逆に、何かが欠けてもシステム保護やセキュリティの面で穴ができてしまうため、これらの組み合わせを充分理解・確認して、強固なセキュリティ対策を立てましょう。
IDS・IPSの仕組み
ここからは、IDS・IPSの仕組みを少し掘り下げて、詳細を解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPSの仕組み
IDS・IPSにおける検知方法の種類
IDS・IPSにおける、不正アクセスの検知方法にはシグネチャ型とアノマリ型の2つの種類があります。ここでは、それぞれの種類について解説します。
シグネチャ型
シグネチャ(Signature)型とは、不正検出型とも呼ばれ、データベース上に不正アクセスのパターンを登録・定義しておき、このパターンに一致する通信データを不正アクセスとして検知する方法です。
シグネチャ型のメリットは、これまでに発生や経験した不正アクセスの攻撃を確実にブロックできる点です。システムの脅威となるデータを検知して高い防御率を実現し、誤検知の発生も少ないとされています。
ただ、シグネチャ型は、登録・定義されているパターンや値のみを検知して対応するため、それ以外の新たな未知の脅威に対しては、防御率が低くなってしまう点がデメリットとなっています。
アノマリ型
アノマリ(anomaly)型とは、正常検知型とも呼ばれ、データベース上に正常なアクセスのパターンを登録・定義しておき、このパターンから外れた通信データを不正アクセスとみなして検知する方法です。
例えば、通信データのプロトコルやトラフィック量が登録している値と相違するケースは、不正アクセスと判定します。そのため、新たな不正や未知の脅威を検知しやすい点がメリットになっています。
ただし、正常パターンの定義にミスがあると、正しいデータでも誤検知することになり、業務に支障が出てしまうため、注意が必要です。また、新しい通信が増える際には、正常値の追加定義を必要とし、管理や運用に手間がかかる点がデメリットとされています。
IDS・IPSにおける監視方法の種類
IDS・IPSの監視方法には、ネットワーク型とホスト型の2種類があります。ここからは、それぞれの特徴やメリット・デメリットなどを解説します。
ネットワーク型
ネットワーク型のIDS・IPSは、ネットワーク上に設置し、ネットワークを通る通信パケットを収集して、データやプロトコルヘッダなど、パケットの中身を解析して正常かどうかを監視する方法です。
ネットワーク型は、ファイアウォールとネットワーク間に設置することで、複数のユーザーを監視しながら、リアルタイムでの攻撃検出ができる点が大きなメリットです。
しかし、監視対象になるのは、IDS・IPSを設置したネットワークのみとなっており、社内ネットワークやファイアウォールの外側、公開サーバーなど、追加で監視したいネットワークには、別途設置する必要があります。
また、ネットワークの通信をすべて確認するため、多くのリソースが求められます。さらに、監視対象の情報も一定期間保存するため、ファシリティを多く占有する点がデメリットといえます。
ホスト型
ホスト型は、監視対象となるサーバー上に、監視システムを直接インストールして監視する方法です。コンピュータへの通信履歴や、ファイルへのアクセス状況などを監視するのが特徴です。
また、不正侵入を監視するほか、サーバー内の不審な動きやファイルの改ざんなどの監視も行います。さらに、OSの監視機能と連携して不正侵入の検出が可能な点がメリットです。
ただし、インストールされたサーバー上のみに対応して監視するため、保護したいサーバーが複数ある場合は、それぞれにインストールする必要があるため注意が必要です。
IDS・IPSで防ぐことのできる攻撃の種類
外部からの悪意ある攻撃として「マルウェア」があります。IDS・IPSの導入で、ワームやトロイの木馬などで知られたマルウェア・ソフトを検知し、社内システムなどへの感染を未然に防ぐことができます。
また、コンピューター内部に入り込み、メモリ領域を越えたデータを発生させたり、不正コードで障害を起こしたりする「バッファーオーバーフロー」や、外部のサーバーに負荷をかけるために大量のデータを送りつける「DoS・DDoS攻撃」などを検知します。
そして、外部のサーバーに大量の接続要求通信(SYN)を送り付け、その他の正規の接続要求を受け付けできないようにする「SYNフラッド攻撃」も検知し、正常稼働を助けます。
なお、「バックドア」と呼ばれる、ID・パスワード認証を回避し、管理者から見えない場所から不正なアクセスを行う攻撃もあります。こういった、非常に悪質な攻撃からも、IDS・IPS導入によって防御を固めることができます。
| 攻撃の種類 | 内容 |
|---|---|
| マルウェア感染 | ワームやトロイの木馬といった、コンピューターに被害を与える悪意あるソフトへの感染 |
| バッファーオーバーフロー | コンピューター内部に入り、メモリ領域を越えたデータの発生や不正コードによる障害を引き起こす |
| DoS攻撃・DDoS攻撃 | 外部のサーバーに、負荷をかけるために大量のデータを送りつける |
| SYNフラッド攻撃 | サーバーに、大量の接続要求通信(SYN)を送付し、正規のSYNを受け付けられないようにしてサーバーのダウンを狙う |
| バックドア | IDやパスワードなどの認証をせず、不正な経路から侵入する |
IDS・IPSで防ぐことのできない攻撃の種類
IDS・IPSを導入したとしても、万全のセキュリティ対策が完了とはなりません。なぜなら、IDS・IPSでも防御できない攻撃もあるからです。ここでは、そのうちの3つを紹介します。
攻撃の1つめは、SQL(Structured Query Language)インジェクションです。SQLインジェクション攻撃は、サーバーに悪意あるSQL文を送信し、データベース内の情報を破壊する不正操作を行います。
2つめの、XSS(クロスサイトスクリプティング)は、Web上のアプリに悪意あるスクリプトを埋め込み、個人情報やCookie情報を取得して悪用します。
3つめの、OSコマンド・インジェクションは、脆弱性を持つアプリケーションを通じて、サーバーなどに不正なOSコマンドを送信します。OSに対する誤った命令を行ってしまうことで、被害を発生させる攻撃です。
| 攻撃の種類 | 内容 |
|---|---|
| SQLインジェクション | 悪意あるSQL文を送信し、データベース内の情報を破壊する不正操作を行う |
| XSS(クロスサイトスクリプティング) | Web上のアプリに不正スクリプトを埋め込み、個人情報などを取得し悪用する |
| OSコマンドインジェクション | サーバーに不正なOSコマンドを送信して、OSに対して誤った命令を実行させる |
IDS・IPS導入のメリット
ここからは、IDS・IPSを導入することによる3つのメリットを解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPS導入のメリット
不正アクセスをリアルタイムで検知・防御
IDS・IPSのメリットとしては、リアルタイムで不正アクセスなどの異常を検知できる点にあります。異常を検知すると、すぐに管理者に連絡をしたり、システムを遮断したりするなどの対処を行います。
このように、問題が発生した場合に、速やかに対応できる点が強みとなっています。そのため、記録されているアクセスログを後になって解析して、初めて不正アクセスがあった事実に気がつく、といった状況を防ぐことができます。
従来のシステムが見逃す攻撃を検知
不正アクセスを防ぐセキュリティシステムとしては、以前からファイアウォールがありますが、IDS・IPSでは、ファイアウォールでは防ぎきれなかった攻撃を検知して、対応できる点がメリットとなっています。
ファイアウォールは、ネットワークから送付されるパケット内の送信元のIPアドレスやポート番号などの情報を読み取り、接続可否を判定します。
対してIDS・IPSでは、データの通信内容を読み取り、あらかじめ登録された攻撃パターンと比較しながら、正常・異常を判断します。そのため、従来のシステムが見逃してしまう攻撃についても、検知・対処をすることができます。
システム障害を未然に防ぐ
IDS・IPSは、不正なマルウェア感染やDoS/DDoS攻撃、バッファーオーバーフロー、SYNフラッド攻撃といった、OSやWebサーバーの脆弱性を突いた攻撃や、負荷を掛ける攻撃への対応としても有効です。そのため、システム障害を未然に防ぐことが可能となります。
いざシステム障害が起きてしまうと、業務が停止して利用者などに迷惑がかかり、会社の信用低下などに繋がってしまい、時には社会問題にもなりかねません。
よって、IDS・IPSのシステム障害を未然に防ぐ機能が、企業の業務遂行・システム運用の面で非常に大きなメリットとなります。
IDS・IPS導入のデメリット
ここからは有用なメリットだけでなく、IDS・IPSによる誤検知や、防げない攻撃、コスト面などの3つのデメリットを解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPS導入のデメリット
誤検知が発生する恐れがある
IDS・IPSのデメリットとして、デ―タの誤検知の問題があります。通信データの種類によっては、正常な通信データにもかかわらず、不正なアクセスや悪意ある攻撃とみなしてブロックしてしまうケースが発生します。
IDS・IPSでは、事前に設定された攻撃パターンをベースに、アクセスの通信可否を判定します。この設定する攻撃パターンの情報を、頻繁にリアルタイムで更新しないと、正常・異常データの誤検知が発生してしまいます。
このような誤検知の発生を防ぐためにも、攻撃パターンの更新・設定を頻繁に行うなど、日常の管理・運用が重要になります。
IDS・IPSだけでは防げない攻撃もある
IDS・IPSでは、防御できない攻撃がある点もデメリットです。Web上の掲示板などのアプリケーションに不正なスクリプトを埋め込み、個人情報などを取得して悪用するXSS(クロスサイトスクリプティング)などは、基本的に防御できないとされています。
また、サーバーに悪意あるSQL文を送信し、データベース内の情報を破壊するSQLインジェクション攻撃、不正なOSコマンドを送信して、誤った命令を実行させるOSコマンド・インジェクションなども、IDS・IPSでは防ぐのが難しいとされています。
コストがかかる
IDS・IPSの導入に関しては、導入費用や維持費がかかる点もデメリットとされています。また、使用料に関しても、提供する会社によって差があります。例として、A社では初期費用20,000円、月額基本料金20,000円から、と設定されています。
対してB社では、月額が最小価格45,000円から最大154,000円となっており、C社では、初期導入費用が100,000円、月額費用が45,000円から154,000円となっています。なお、多くの会社が費用に関しては公開しておらず、「問い合わせ」対応となっています。
IDS・IPSは、製品によって防御できる範囲やセキュリティ・レベルが違っており、それに応じて費用や価格帯が異なっています。そのため、自社のシステムの規模に見合ったセキュリティを搭載したシステム・レベルの製品を選択することが重要になります。
IDS・IPSの導入がおすすめな企業
セキュリティ対策を強化したい企業には、IDS・IPSの導入が有効です。中でも、特に以下のような企業はIDS・IPSの導入をおすすめします。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPSの導入がおすすめな企業
ノンストップ稼働が求められる企業
機械やシステムを一度も停止することなく、連続して稼働し続けることが求められる企業では、外部からの攻撃によるサービスの中断は大きな損失に繋がります。
IDS・IPSなら、万が一サービスの停止を狙う攻撃を受けても、即座に検知・防御してくれるため、サービスを中断することなく提供できるでしょう。
なお、ノンストップ稼働では誤検知によるシステムの停止も起こしてはなりません。そのため、防御処置までは担わないIDSの方が適しているといえます。
重要な機密情報を取り扱う企業
個人情報などの機密情報を多く取り扱う企業にも、IDS・IPSの導入がおすすめです。このような企業において、情報漏洩は会社の信用と事業の継続に深刻な影響を与えます。
外部からの攻撃による情報漏洩を防ぐために、ネットワークへの不正侵入をリアルタイムに検知し、防御することが必要です。こちらは、不正なトラフィックに対して自動で遮断するIPSの方が適しているといえます。
IDS・IPS製品の選定ポイント
ここからは、IDS・IPS製品の選定ポイントについて、4点解説します。
\気になる項目をクリックで詳細へジャンプ/
IDS・IPS製品の選定ポイント
導入形態や種類で選ぶ
IDS・IPSの導入に際しては、企業のセキュリティの目的や範囲・ネットワークの規模に合わせて、製品を選ぶことが重要です。なお、IDS・IPSを導入する形態は、監視する対象によってネットワーク型とホスト型に分けられます。
特定のネットワーク上の通信データの内容を監視したい場合には、ネットワーク型が適しています。一方、サーバーの中まで高い精度で異常の検知をしたい場合には、ホスト型がおすすめです。
また、自社内でIDS・IPSの導入や、設定・ネットワークの構築などが難しい場合には、クラウドサービスがおすすめです。クラウドで提供されるIDS・IPSを利用する場合は、運用・保守などを自社で行う必要がないため、人材確保やコスト面でも有利に利用できます。
動作の軽さで選ぶ
IDS・IPS製品を選ぶ際には、稼働時の動作の軽さ・重さの確認も大事です。一般的にセキュリティ関連の製品は、処理負荷が大きいため、システム全体の処理速度を遅くしてしまう傾向があります。
処理速度が落ちてしまうと、ほかの業務の処理に支障が出てしまったり、ユーザーへの応答時間が長くなったりします。その結果、システム全体の生産性が落ちてしまうこともあるため、注意が必要です。
サポート体制で選ぶ
IDS・IPS製品を選択する場合には、サポート体制に注目することも重要なポイントになります。導入時や、システムに不具合が生じた場合には、迅速に対応してくれるサポート体制が求められます。
また、システムに関する質問に対するサポートやトラブル発生時の対応など、手厚いサポート体制があるかどうかも、選定ポイントとして確認しましょう。
費用対効果で選ぶ
IDS・IPS製品は安価ではないため、導入する会社のシステム規模に見合った機能や、セキュリティレベルを備えた製品を選ぶ必要があります。また、初期・運用コストを踏まえて、費用対効果を充分に考慮して検討することが重要になります。
例えば、ホスト型を導入して個別に機器を防御するよりも、ネットワーク型で全体を防御する方が初期・運用コストは抑えられます。
さらに、コストを抑えるためにクラウド型のサービスを利用することも有効です。このように、いずれの場合も費用対効果を基にした製品選びが重要となります。
まとめ
IDS・IPSは、ネットワークを介して入ってくる不正アクセスをリアルタイムで検知・防御します。さらに、従来のシステムが見逃すサイバー攻撃を検知して、システム障害を未然に防ぐことができる点が大きなメリットとなっています。
一方、誤検知が発生する恐れがあることや、IDS・IPSだけでは防げない攻撃が存在する、全体にコストがかかるなど、デメリットも存在します。また、IDS・IPSはセキュリティの防御範囲や対応できる攻撃の種類にも違いがあります。
今後、IDS・IPSを導入する際には、本記事を参考にしながら、自社の規模に合ったシステムや費用対効果を考慮しつつ、適切な製品選びを行ってください。
この記事に興味を持った方におすすめ
あなたへのおすすめ記事
