IDS/IPSはどちらも境界型セキュリティ対策の用語で、IDSが不正侵入検知システム、IPSは不正侵入防止システムのことです。
この記事では、IDS/IPSの仕組み、種類、そしてよく混同されがちなファイアーウォール、WAFとの違いについて、初心者の方にもわかりやすく解説します。
IDS/IPSとは?
IDS、IPSとは、どちらもネットワークの境界を守るセキュリティ用語です。
IDSとは?
IDSとは、「Intrusion Detection System」の略称で、不正侵入検知システムのことです。
社内のネットワークやシステムへの外部からの不正なアクセスを検知し、管理者に通知する仕組みです。
IPSとは?
IPSとは、「Intrusion Prevention System」の略称で、不正侵入防止システムのことです。
「防止」という名の通り、IPSは、不正侵入を検知した際、アクセスログの改ざん防止や不正パケットの遮断を実行するなどの対策を行うことで、不正なアクセスを防御・遮断します。
IDSとIPSの違いとは?
IDSとIPSの違いは、一言で言うと「検知までがIDS、対処までするのがIPS」ということです。
IDSで不正侵入を検知した場合、管理者に通知しますが、そこから管理者が対応するまでには時間がかかってしまうため、その間に社内の重要なシステムにアクセスされてしまうというリスクがあります。
そこでIDSの進化系として生まれたのがIPSです。IPSは、不正侵入を検知するだけでなく、その侵入を防止するための一次的な対応まで自動で行います。
IDS/IPSとファイアーウォール、WAFとの違いは?
境界型防御というと、ファイアーウォールが一般的ですが、このIDS/IPSと何が違うのでしょうか?
一言で言うと、守る領域が違います。
ファイアーウォールはネットワーク層、IDS/IPSはOSやミドルウェア層、そしてWAF(Web Application Firewall)はアプリケーション層をそれぞれ守ります。
よって、どれか一つを入れればいいというわけではなく、組み合わせてそれぞれの領域を守る必要があります。最近は、これらの境界型セキュリティをまとめて一つのサービスとして提供するUTMが一般的になってきています。
WAF、UTMについてはこちらの記事で詳しく解説しているので、ぜひ合わせて読んでみてください。
IDS/IPSの種類は?
①ネットワーク型
一つ目が、ネットワーク型です。ネットワーク型は、監視対象のネットワーク上に機器を設置するタイプで、ネットワークに流れるデータ(パケット)を監視します。
②ホスト型
二つ目が、ホスト型です。ホスト型は、監視対象のサーバーなどにインストールするタイプで、サーバー上の受信データや通信ログを監視します。なお、監視したいサーバーが複数ある場合は、それぞれにIDS/IPSをインストールする必要があります。
IDS/IPSの検知方法とは?
①シグネチャ型
一つ目が、シグネチャ型です。シグネチャ型は、簡単に言うと「ブラックリスト形式」です。
予め異常なアクセスのパターンを登録しておき、通信の内容がそのパターンと一致した際に不正と判断します。シグネチャ型は、誤検知が少ないというメリットがある一方、ブラックリストに載っていない未知の不正侵入については検知できないというデメリットもあります。
②アノマリ型
二つ目が、アノマリ型です。アノマリ型は、簡単に言うと「ホワイリスト形式」です。
①のシグネチャ型とは逆で、通常の通信のパターンを登録しておき、ここから大きく外れる通信内容を不正と判断します。アノマリ型は、未知の侵入方法に対してもある程度対応出来る代わりに、誤検知が多いのがデメリットです。
近年サイバー攻撃は手法が高度・多様化しているので、最近のIDS/IPSはこのアノマリ型を採用しているものが多いです。
おわりに
いかがだったでしょうか。IDS/IPSは、境界型セキュリティにおいて必須と言えるセキュリティ対策になります。仕組み、違いをしっかり理解しておきましょう
コメント