IDS・IPSとは？違いや対応可能なサイバー攻撃などを解説

IDS（Intrusion Detection System）とは「不正侵入検知システム」です。玄関に設置した通報機能付きの監視カメラのようなもので、ネットワークに不正にアクセスする人がいないか、常に出入りをチェックしています。

また、危険な兆候を感知した場合、管理者に通知して対応を促す仕組みとなっており、リアルタイムで通知が来るため、被害が拡大しないうちに対処することができます。

IPS（Intrusion Prevention System）とは「不正侵入防止システム」です。ネットワーク上からのアクセスを監視した上で、不正なアクセスか否かを判断し、不審な動作があれば侵入をブロックします。IDSが監視カメラだとすれば、IPSは監視カメラを設置した上で、警備員を巡回させて警備しているイメージです。

不正なアクセスを見つけたら、管理者の指示を待たずにシステムが対処します。異常を見つけてから対処までスピーディーに対応できる点がIDSのメリットです。

IDSとIPSの最大の違いはその対応範囲です。IDSがカバーできる領域は、第三者による不正な侵入の発見と通知までです。攻撃からシステムを防御することはできません。一方、IPSは不正アクセスを見分けた上で、その攻撃からシステムを守ります。

IDSとIPSには、3つの監視方法があります。それぞれについて解説します。

ネットワーク型

ネットワーク型のIDS・IPSは、設置したネットワークを通る通信パケット全体を対象として、内部を通るデータを監視します。ゲートウェイ付近に設置すれば、全体を広く管理することができるでしょう。

ホスト型

ホスト型は、監視したいサーバに直接IDS・IPSを設置してホストごとに不正侵入を検知します。これにより、サーバのトラブルも早期に検知し、対策を実行することができます。ただし、ホストごとに細かな設定をしなくてはなりません。

クラウド型

クラウド型は、クラウドサービスでIDS・IPSを利用できる仕組みです。ネットワーク設定などの必要がないため導入がスムーズで、細かな設定などもベンダーに任せられるのがメリットです。注意点としては、ベンダーへ任せることが多くなるため、セキュリティの状況を自社で把握しきれなくなる場合があることなどが挙げられます。

IDS・IPSの検知方法は大きく分けて2つあります。それぞれについて解説します。

シグネチャ型

シグネチャ型は、脆弱性をつく攻撃や不正なアクセスのうち、既知のものをシグネチャとしてデータベース化して、パターンが合致するものを検知します。登録したパターンに合っていれば確実に対応できますが、新しい攻撃には対処できません。

アノマリ型

アノマリ型は、正常な通信のパターンをあらかじめ登録しておき、未登録の動作をした通信をすべて異常として検知します。新しい攻撃にも対応できる一方、不正なアクセス以外にも反応してしまう間違いが多い点に注意が必要です。

サイバー攻撃の種類は多岐にわたります。一般的に提供されているIDS・IPSはさまざまな攻撃に対応しています。代表的な攻撃をひとつずつ見ていきましょう。

DoS攻撃・DDoS攻撃

DoS攻撃・DDoS攻撃は、攻撃対象のWebサイトやサーバにアクセスを集中させる攻撃です。DoS攻撃・DDoS攻撃を受けると、Webサイトの読み込みが遅くなったり、サーバがダウンしたりする被害が発生ます。

SYNフラッド攻撃

SYNフラッド攻撃はDoS攻撃・DDoS攻撃の一種です。インターネットの標準的なプロトコルであるTCPの仕組みを悪用して大量のデータを送り付け、Webサーバをパンクに追い込みます。

マルウェア

マルウェアは悪意のあるプログラムやソフトウェアの総称です。メールの添付ファイルや本文に記載されているURLからの遷移、フリーのソフトウェア、アプリなどを通じてコンピューターに侵入します。コンピューターやそのデータを破壊したり、ほかのコンピューターに感染を広げたりします。

バッファオーバーフロー攻撃

バッファオーバーフロー攻撃はコンピューターの処理能力を超えたデータを送り付ける攻撃です。データがバッファに保管しきれない「バッファオーバーフロー」と呼ばれる状態を引き起こします。その結果、誤作動や情報の漏洩が発生してしまいます。

バックドア

バックドアは不正侵入の一種で、管理者に気づかれないよう、コンピューターに不正侵入するための「裏口」を作る手口です。バックドアができてしまうと、攻撃者は遠隔操作で多様な攻撃を仕掛けることができるようになってしまいます。

一般的に提供されているIDS・IPSでは対応できないサイバー攻撃には、「SQLインジェクション」「クロスサイトスクリプティング」「OSコマンドインジェクション」があります。
なお、クラウド環境を管理するために必要な機能を備え、複数のセキュリティ課題に対応する「」が提供するIDS・IPSなら、これらの攻撃にも対応が可能です。
ここでは、IDS・IPSでは対応できないサイバー攻撃について解説します。

SQLインジェクション

SQLインジェクションはアプリケーションのセキュリティホールをつく攻撃です。アプリケーションの脆弱性を標的とした第三者が不当にデータベースにアクセスし、本来の意図と異なるSQL文を挿入してデータの改ざんや消去、抜き取りなどを図ります。

クロスサイトスクリプティング

クロスサイトスクリプティングは脆弱性のあるアプリケーション上で不正なスクリプトを実行し、情報を奪う攻撃です。Webサイトへの攻撃の場合、脆弱性を利用してHTMLに悪質なコードを埋め込み、個人情報を抜き取ります。

OSコマンドインジェクション

OSコマンドインジェクションもアプリケーションの脆弱性を狙った攻撃です。アプリケーションを通じて不正なOSコマンドを送信し、サーバに想定していない動作をさせ、対象に不正アクセスを行います。サーバ内のファイルの閲覧や改ざん、漏洩などが目的です。

IDS・IPSは不正アクセスの検知・遮断に有効ですが、サイバー攻撃のすべてに対応できるわけではありません。最後にIDS・IPSとほかのセキュリティツールとの違いを解説します。

ファイアウォール

ファイアウォールは、外部からのアクセスを許可するか否かを判断する仕組みです。通信の内容まで監視するIDS・IPSに対して、ファイアウォールは送信元や宛先を監視して通信の可否を判断するため、通信の内容までは監視していません。

WAF

WAF（Web Application Firewall）はWebアプリケーションの脆弱性対策に特化したファイアウォールの一種です。IDS・IPSはサーバやネットワーク全般を保護する対象としている点が大きく異なります。

UTM

UTM（Unified Threat Management）とは「統合脅威管理」あるいは「統合型脅威管理」と呼ばれるセキュリティのソリューションです。製品によって異なりますが、多くの場合、マルウェア検知や迷惑メール対策、ファイアウォールなどのさまざまな機能が統合されています。ただし、IDS・IPSに比べて導入コストが高く、ネットワーク負荷が大きい傾向にあります。