IDS/IPSとは
本文约需 2 分钟阅读
IDS/IPS (Intrusion Detection System / Intrusion Prevention System) とは、 ネットワークやシステムへの不正侵入を検知・遮断するセキュリティシステムです。 IDS は不正なアクティビティを検知して管理者に通知し、IPS はさらに一歩進んで 不正な通信を自動的にブロックします。ファイアウォールと組み合わせて 多層防御を構築する重要な要素です。2024 年現在、クラウドベースの IDS/IPS が 急速に普及しており、AWS や Azure のマネージドサービスとして利用できます。
現場での使用例
「IPS のアラートで、外部 IP から社内 Web サーバーへの SQL インジェクション試行を 検知・遮断しました。攻撃元 IP をブロックリストに追加し、WAF のルールも 併せて強化しています。」
IDS と IPS の比較
| 項目 | IDS (検知) | IPS (防御) |
|---|---|---|
| 動作 | 検知して通知 | 検知して自動遮断 |
| 設置位置 | ミラーポート (帯域外) | インライン (経路上) |
| 誤検知の影響 | アラート過多 | 正常通信の遮断 |
| 導入難易度 | 低い | チューニングが必要 |
IDS と IPS の違い
IDS と IPS は混同されがちですが、役割が明確に異なります。IDS は「検知と通知」に 特化しており、不正な通信を発見してもブロックはせず、管理者にアラートを送ります。 一方、IPS は「検知と遮断」を行い、不正な通信をリアルタイムで自動ブロックします。 IDS はネットワークの外側 (ミラーポート) に設置して通信のコピーを監視するのに対し、 IPS はネットワークの経路上 (インライン) に設置して通信を直接制御します。 IPS は誤検知で正常な通信をブロックするリスクがあるため、導入時のチューニングが 重要です。多くの組織では IDS で監視を始め、運用が安定してから IPS に移行する 段階的なアプローチを採用しています。
検知方式
シグネチャベース検知は既知の攻撃パターンと照合して検出する方式で、 高い精度を持ちますが未知の攻撃には対応できません。アノマリベース検知は 通常の通信パターンからの逸脱を検出する方式で、ゼロデイ攻撃も検出できますが 誤検知が多くなる傾向があります。侵入検知システムの書籍 (Amazon)で詳しく学べます。
パスワードセキュリティとの関連
IDS/IPS はブルートフォース攻撃や クレデンシャルスタッフィングの検知にも活用されます。短時間に大量のログイン試行を 検出してブロックすることで、パスワードの総当たり攻撃を防ぎます。 パスつく.com で生成した強力なパスワードと IDS/IPS による防御を 組み合わせることで、アカウントの安全性が大幅に向上します。セキュリティ運用の書籍 (Amazon)も参考になります。