( 1 ) IDS/IPSとは?
まず、IDSとは「Intrusion Detection System」の略で、日本語では不正侵入検知システムと呼ばれており、不正な通信をルールに則って検知し、管理者に通知します。ただし、IDSはそれ以上のことは行わず、あくまで検知することを目的としています。
次に、IPSとは「Intrusion Prevention System」の略で、日本語では不正侵入防御システムと呼ばれ、こちらは不正な通信の検知のみならず、ブロックするところまで行います。ただし適切に設定されていないと、正常な通信も不正であると見なし、ブロックしてしまうこともあります。場合によっては、事業活動の妨げになってしまう可能性があるため、設定の調整を定期的に行うことが必要です。
( 2 ) IDS/IPSの種類
IDS/IPSには、主に以下の2種類があります。
ホスト型(HIDS/HIPS)
監視対象となるサーバにおいて、不審な動きやファイルの改ざんなどを検知します。サーバごとに設置するため、導入および運用コストは高くなります。
ネットワーク型(NIDS/NIPS)
ゲートウェイ(インターネットの出入口)付近に設置し、ネットワーク上を流れる通信の内容を監視することで、社内ネットワークを保護します。ホスト型より導入の負担は少なくて済みます。
( 3 ) さまざまなセキュリティ対策ツールとの違い
IDS/IPSは、ファイアウォール(※1)とあわせて使われることが一般的です。ファイアウォールが文字通り防火壁なら、IDSとIPSは監視カメラの役割を果たします。近年ではサイバー攻撃が巧妙化しているため、壁だけでは防ぎきれないものもあります。外部からの未知の通信を拒否するのがファイアウォールですが、中には正当な通信と見せかけて侵入を試みる攻撃もあります。このような不審な動きを監視するのがIDS/IPSです。通信の中身までチェックして異常検知などを行います。
これらを個別に設定するのは負担がかかるため、近年はIDS/IPS、ファイアウォールなどの機能を一元化したUTM(※2)を導入してセキュリティ強化を図る企業が増えています。また、Webアプリケーションの脆弱性をついた攻撃には、WAF(※3)が効果的です。
これらの違いをひと言でいえば、守備範囲が異なるということになります。ファイアウォールがネットワークに対する防御なら、IDS/IPSはOSやミドルウェア(アプリケーションとOSの中間層)で効果を発揮し、WAFはWebアプリケーションのレベルまでカバーします。
※1
ファイアウォール:「Firewall」は「防火壁」の意味。インターネットを経由して侵入してくる不正なアクセスから社内のネットワークを守る仕組み。
※2 UTM:「Unified Threat
Management」の略で、日本語では「統合脅威管理」。統合的なセキュリティ対策を実施すること、あるいはそれを実現するためのセキュリティシステムを指す。
※3 WAF:「Web Application
Firewall」の略。Webアプリケーションに対する不正な攻撃を防ぐセキュリティ対策機器。
