IDS/IPSとは
この記事は約 2 分で読めます
IDS/IPS (Intrusion Detection System / Intrusion Prevention System) とは、ネットワークやシステムへの不正侵入を検知・遮断するセキュリティシステムです。 IDS は不正なアクティビティを検知して管理者に通知し、 IPS はさらに一歩進んで不正な通信を自動的にブロックします。ファイアウォールと組み合わせて多層防御を構築する重要な要素です。 2024 年現在、クラウドベースの IDS/IPS が急速に普及しており、 AWS や Azure のマネージドサービスとして利用できます。
現場での使用例
「 IPS のアラートで、外部 IP から社内 Web サーバーへの SQL インジェクション試行を検知・遮断しました。攻撃元 IP をブロックリストに追加し、 WAF のルールも併せて強化しています。」
IDS と IPS の比較
| 項目 | IDS (検知) | IPS (防御) |
|---|---|---|
| 動作 | 検知して通知 | 検知して自動遮断 |
| 設置位置 | ミラーポート (帯域外) | インライン (経路上) |
| 誤検知の影響 | アラート過多 | 正常通信の遮断 |
| 導入難易度 | 低い | チューニングが必要 |
IDS と IPS の違い
IDS と IPS は混同されがちですが、役割が明確に異なります。 IDS は「検知と通知」に特化しており、不正な通信を発見してもブロックはせず、管理者にアラートを送ります。一方、 IPS は「検知と遮断」を行い、不正な通信をリアルタイムで自動ブロックします。 IDS はネットワークの外側 (ミラーポート) に設置して通信のコピーを監視するのに対し、 IPS はネットワークの経路上 (インライン) に設置して通信を直接制御します。 IPS は誤検知で正常な通信をブロックするリスクがあるため、導入時のチューニングが重要です。多くの組織では IDS で監視を始め、運用が安定してから IPS に移行する段階的なアプローチを採用しています。
検知方式
シグネチャベース検知は既知の攻撃パターンと照合して検出する方式で、高い精度を持ちますが未知の攻撃には対応できません。アノマリベース検知は通常の通信パターンからの逸脱を検出する方式で、ゼロデイ攻撃も検出できますが誤検知が多くなる傾向があります。侵入検知システムの書籍 (Amazon)で詳しく学べます。
パスワードセキュリティとの関連
IDS/IPS はブルートフォース攻撃やクレデンシャルスタッフィングの検知にも活用されます。短時間に大量のログイン試行を検出してブロックすることで、パスワードの総当たり攻撃を防ぎます。サービスごとに固有の強力なパスワードを設定し、 IDS/IPS による防御と組み合わせることで、アカウントの安全性が大幅に向上します。セキュリティ運用の書籍 (Amazon)も参考になります。
この記事は役に立ちましたか?