IDS vs IPS - Intrusion Detection and Preventionとは
About 2 min read
IDS/IPS (Intrusion Detection System / Intrusion Prevention System) とは、 ネットワークやシステムへの不正侵入を検知・遮断するセキュリティシステムです。 IDS は不正なアクティビティを検知して管理者に通知し、IPS はさらに一歩進んで 不正な通信を自動的にブロックします。ファイアウォールと組み合わせて 多層防御を構築する重要な要素です。2024 年現在、クラウドベースの IDS/IPS が 急速に普及しており、AWS や Azure のマネージドサービスとして利用できます。
現場での使用例
「IPS のアラートで、外部 IP から社内 Web サーバーへの SQL インジェクション試行を 検知・遮断しました。攻撃元 IP をブロックリストに追加し、WAF のルールも 併せて強化しています。」
IDS と IPS の比較
| 項目 | IDS (検知) | IPS (防御) |
|---|---|---|
| 動作 | 検知して通知 | 検知して自動遮断 |
| 設置位置 | ミラーポート (帯域外) | インライン (経路上) |
| 誤検知の影響 | アラート過多 | 正常通信の遮断 |
| 導入難易度 | 低い | チューニングが必要 |
IDS と IPS の違い
IDS と IPS は混同されがちですが、役割が明確に異なります。IDS は「検知と通知」に 特化しており、不正な通信を発見してもブロックはせず、管理者にアラートを送ります。 一方、IPS は「検知と遮断」を行い、不正な通信をリアルタイムで自動ブロックします。 IDS はネットワークの外側 (ミラーポート) に設置して通信のコピーを監視するのに対し、 IPS はネットワークの経路上 (インライン) に設置して通信を直接制御します。 IPS は誤検知で正常な通信をブロックするリスクがあるため、導入時のチューニングが 重要です。多くの組織では IDS で監視を始め、運用が安定してから IPS に移行する 段階的なアプローチを採用しています。
検知方式
シグネチャベース検知は既知の攻撃パターンと照合して検出する方式で、 高い精度を持ちますが未知の攻撃には対応できません。アノマリベース検知は 通常の通信パターンからの逸脱を検出する方式で、ゼロデイ攻撃も検出できますが 誤検知が多くなる傾向があります。intrusion detection books on Amazonで詳しく学べます。
パスワードセキュリティとの関連
IDS/IPS はブルートフォース攻撃や クレデンシャルスタッフィングの検知にも活用されます。短時間に大量のログイン試行を 検出してブロックすることで、パスワードの総当たり攻撃を防ぎます。 パスつく.com で生成した強力なパスワードと IDS/IPS による防御を 組み合わせることで、アカウントの安全性が大幅に向上します。security operations books (Amazon)も参考になります。