IDSとIPSの違いとは?

2017年6月5日(月) ノウハウ

皆さんはIDSとIPSをご存知ですか?
IDSとIPSはWebセキュリティを行う上では必要不可欠なシステムです。
今回はそのIDSとIPSについてご紹介します。

IDS(不正侵入検知システム)とは?

IDSはIntrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれます。

インターネットに公開するサービスでは、それに対する通信はファイアウォールでは接続許可の扱いとなるため、正常な通信と異常な通信は区別なくアクセスされることになります。

そこで、IDSを設置することで、通信を監視します。
また、もし異常があれば管理者へ通知することで、異常な通信をブロックするなどの対処をするきっかけ(トリガー)となります。

ネットワーク型とホスト型

IDSには通信の結果の監視方法によって、ネットワーク型とホスト型と2つのタイプに分けられます。
ネットワーク型は、ネットワークを流れる通信パケットを監視します。
ホスト型は、監視対象のサーバに置かれ、通信の結果生成されたサーバ上の受信データやログを監視します。不正侵入検知のほか、ファイルの改ざんにも対応します。

データ収集方法について

IDSのデータ収集方法には2種類あり、「不正検出」と「異常検出」があります。

「不正検出」は事前に登録されているシグネチャという検出ルールとマッチングすることで不正なアクセスを検出する方法です。
「異常検出」はトラフィックや使用したコマンドを確認することで通常とは異なる振る舞いをした場合に異常と判断し、検出します。

IPS(不正侵入防止システム)とは?

IPSはIntrusion Prevention Systemのことで、不正侵入防止システムとも呼ばれます。

IPSはIDSより一歩進んで、異常な通信があれば、管理者へ通知するだけでなく、その通信をブロックするところまで動作します。
したがって、管理者が異常に気づいてから対処するのと異なり、迅速な対処が可能となります。

また、IDSでは本来の通信のコピーを監視して、異常を通知していましたが、IPSでは、異常な通信をブロックする必要があることから、通信経路の間に入ることになるというように、ネットワーク構成上の違いもあります。
なお、IPSの機器が故障した際は、通信を維持することを優先することから、基本動作は全ての通信が許可となります。

また、IDS/IPSだけでは、カバーできる範囲に限りがあるため、全ての攻撃を遮断することはできません。
少なくともファイアウォールと併せて利用されます。

また、IDS/IPSはWebアプリケーションレベルの内容まで見るには限界があるので、そこまでをカバーしようとする場合はWAFを検討する必要があります。

以上のことから、サイバー攻撃に対する防御を考える場合、発生し得る攻撃手法と守るべきシステム構成の関係性、システム運用の状況から、採用する製品を選択していくことになります。

いかがでしたでしょうか?
今回はIDS/IPSについてご紹介させていただきました。悪意のある攻撃や侵入を防ぐための対策法を学んで、取り入れましょう!

Writer:SecurityTIMES編集部