IDS・IPSとは？

IDSとは

IDSは、Intrusion Detection Systemの略で、不正侵入検知システムのことを指します。外部と社内ネットワーク間の通信の監視を行い、不正アクセスなどの悪意ある通信を検知した場合は、セキュリティ管理者に通知します。

IPSとは

IPSは、Intrusion Prevention Systemの略で、不正侵入防御システムのことを指します。IDSと同様に悪意ある通信を検知した場合にはセキュリティ管理者へ通知を行うほか、通信の遮断を自動で実施する機能を持ちます。

IDSとIPSの違い

IDSとIPSでは、悪意ある通信を検知したあとの対応が異なります。IDSは悪意ある通信を検知後、通知を行うだけですが、IPSは通知した後にアクセスの自動遮断ができます。また、IDSを導入した場合、通知を受け取ったセキュリティ管理者が内容を確認して遮断などの対応を行うという運用が必要になりますが、IPSではそのような運用の手間なく、悪意ある通信を遮断することができます。

IDS・IPSの種類

IDS・IPSには、監視対象が異なる「ネットワーク型」と「ホスト型」があります。

• ネットワーク型

  ネットワーク上に配置し、ネットワークを流れる通信を監視・解析し異常を検知します。
  ＜ネットワーク型のメリット＞
  既存のサーバーへの変更が必要ないため、導入が容易です。

• ホスト型

  監視したいサーバーにインストールし、外部との通信の結果発生するサーバー内のデータを監視します。ログの改ざんや不正アクセスなど、サーバー内でのさまざまな異常を検知します。
  ＜ホスト型のメリット＞
  外部との通信の結果発生するデータを監視するため、暗号化された通信による攻撃も検知することができます。

IDS・IPSによる検知の仕組み

IDS・IPSで悪意ある通信を検知する方法には、「アノマリ型」と「シグネチャ型」の2種類があります。

• アノマリ型

  アノマリ（anomaly）は、通常の状態から逸脱した状態、異常な状態であることを指します。アノマリ型の検知では、トラフィックの状況などから、通常の通信にはない動きがあった場合に異常と判断し、検知します。
  ＜アノマリ型検知のメリット＞
  通常とは異なる通信を「異常」と判断するため、未知の脅威にも対応することができます。

• シグネチャ型

  シグネチャ（signature）は、一般的には「署名」の意味合いを持ちますが、セキュリティの分野では既存のサイバー攻撃を検知するためのパターンを指します。シグネチャ型の検知では、パターンに一致する通信があった場合は「異常」と検知します。
  ＜シグネチャ型検知のメリット＞
  パターンがある既知の攻撃を正確に検知することができます。

IDS・IPSとFirewallの違い

IDS・IPSとFirewallには、不正通信へのセキュリティ対策という共通点がありますが、役割が異なります。
Firewallでは外部からの通信をブロックし、内部から外部への通信とその戻りの通信のみ許可しますが、許可した通信に異常があるかどうかまでの確認は行うことはできません。IDS・IPSも導入して併用することで、異常な通信を検知し、セキュリティを強化することができます。