企業や組織にとってITセキュリティの確保は、重要な経営課題の一つです。マルウェアやランサムウェアへの感染により事業活動が停止する事例が増えており、危機感は募るばかりです。
新たな攻撃手法が次々と生み出されているというサイバー攻撃の特性上、マルウェアへの感染やネットワークへの侵入を完全に防止することは非常に難しいです。近年では、企業のネットワークという境界への侵入は防ぎ難く、情報資産へのアクセス全てを信頼しないゼロトラストという考え方が普及するに至っています。
このゼロトラストを実現する仕組みとして挙げられるのがIDSとIPSです。企業や組織のネットワークにサイバー攻撃が行われて侵入されても、IDSやIPSで検知して可及的速やかに対処することで被害の拡大を防ぐことが可能です。

本記事では、セキュリティ対策「IDS」と「IPS」について、機能と役割、混同しやすい2つの違いについて詳しく説明いたします。IDS、IPSによる情報セキュリティ対策の強化の検討にご活用ください。

IDSとは

IDSはIntrusion Detection Systemの略で不正侵入検知システムと訳されます。
IDSの主な機能は、企業や組織のネットワーク上の通信を監視することです。不正、不審な通信を見つけた（検知）際には速やかに担当者に連絡（通知）を行います。担当者はIDSからの連絡を受けたことで問題の発生を認識し、しかるべき対処を行い被害の拡大を防ぐことができます。
企業や組織内のネットワークを常に監視し、不正な侵入がされている場合には、担当者に連絡をすることで対処のトリガーとなる役割を果たします。

IPSとは

IPSはIntrusion Prevention Systemの略で不正侵入防止システムと訳されます。
IPSの主な機能も、企業や組織のネットワーク上の通信を監視することです。不正、不審な通信を見つけた（検知）際には、直ちに通信を遮断する機能も持ち合わせています。企業や組織内のネットワーク上の監視を行い、不正な侵入が発見された場合には通信を遮断することで被害の拡大を自動的に防ぐ役割を持っています。
問題の検知後、すぐに通信の遮断を行うため被害拡大は防ぎやすいですが、業務への影響も大きいという特徴を持ちます。

IDSとIPSの違い

IDSとIPSの違いには、下記の二点があげられます。

IDSは検知と通知、IPSは検知と防止を機能とする

IDSは不正な侵入などの検知を行い、それを担当者に通知するところまでが機能として提供されており、実際の対処は担当者が行います。一方のIPSは不正な侵入などを検知した際には、即時にネットワークを遮断する対処まで実施します。
IDSの場合は、担当者により柔軟な対応を行うことが可能です。一方のIPSは不正な侵入を検知してから対処するまでのスピードがより速いため、被害拡大を防ぎやすいです。しかしながら、即時に業務の停止にもつながるため影響は大きいです。
これらの柔軟性と対応速度はトレードオフの関係にあるため、導入する場合にはどちらを優先するか検討が必要です。

ネットワーク上での配置の違い

IDS、IPSにはネットワーク上での配置の違いもあります。
IDSは通信をコピーして監視するため、ネットワーク内のどこかに配置してあれば利用することができます。一方、IPSは問題発生時に通信の遮断を行うため、遮断したい通信経路上にある必要があります。

IDSとIPSを導入するべきおすすめ企業

近年では、あらゆる企業でコンピュータとネットワークを利用しています。PCとインターネットから隔絶された環境というのは探す方が難しいのではないでしょうか。
しかし、このコンピュータとネットワークを接続した環境には、常に外部からサイバー攻撃を受けるリスクが存在しています。そういった意味合いでは、全ての企業がIDS/IPSなどを用いて外部からの侵入に備えるべきです。
その中でも特にIDS/IPSの導入により外部からの侵入に備えることをおすすめする企業の特徴には、下記が挙げられます。これらの条件に該当する企業は少なくないでしょう。

• 個人情報などの重要性の高いデータを扱う企業
• システムの停止などによる被害が大きく、稼働停止を避けたい企業
• 情報セキュリティ強化を行っている企業

IDSとIPSの監視方法

IDS、IPSは大きく3つの監視方法があります。

ネットワーク型

ネットワークの上流に専用の機器を取り付け、ネットワーク上を流れる通信全てを監視する方式です。
ネットワーク全体を監視対象とできるメリットがあります。一方で、ホストごとの設定などには不向きな一面もあります。

ホスト型

サーバー（ホスト）にソフトウェアをインストールして機能を実現する形式です。
利用するサーバーごとにインストールする必要があります。対象が多い場合には、運用コストがかかるデメリットがあります。

クラウド型

IDS/IPSの機能をクラウドサービスとして提供する形式です。
機器の設置やソフトウェアのインストールなどネットワーク設定の変更を伴わずに導入出来るメリットがあります。一方で、クラウドベンダーへの依存が生まれてしまうデメリットもあります。

IDSとIPSの検知方法

IDS、IPSにおける不正な通信や侵入の検出方法には、大きく２種類が存在します。

アノマリ型（不正検出）

通常と違う動き（不正）を検出する方式です。トラフィックやコマンドを参照して、通常の挙動との比較を行います。シグネチャ形式のような更新は発生しませんが、誤検出も多いという問題があります。

シグネチャ型（異常検出）

事前に攻撃パターンをシグネチャとして登録し、通信データとシグネチャをマッチングして一致した場合に異常として検出する方式です。新たなシグネチャが発生した場合には、登録が必要となります。

IDS、IPSを導入するメリット

IDS、IPSの導入メリットを紹介します。
共通した大きなメリットは、外部からの侵入があるかもしれないというリスクに備え、侵入があった場合への対処ができるセキュリティ対策となることです。情報セキュリティにおけるゼロトラストの考え方の実現の一つの形といえます。

IDS導入のメリット

IDSを導入することにより、外部からの侵入にいち早く反応し、被害の拡大に向けて対処が行えることがメリットです。外部からの侵入に対し通知のみを行い、対処は通知を受けた担当者が実施するため、柔軟な対応が可能な点もメリットとなります。

IPS導入のメリット

IPSを導入することにより、外部からの侵入に対し、即時にネットワークを遮断してさらなる被害を食い止めることができる点がメリットです。自動的に遮断を行うため、対処のための運用コスト削減にもつながります。

IDSとIPSが検知・防止できる攻撃種類

IDSやIPSをセキュリティ対策として導入する場合、注意が必要なのは全てのサイバー攻撃を検知・防止できるわけではないということです。IDS/IPSで検知・防止できる攻撃には下記が挙げられます。

エクスプロイト攻撃

OSやWebサーバーなどのソフトウェアの脆弱性をついたスクリプトにより、本来アクセスが禁止されているファイルへのアクセスなどを行う攻撃です。

Synフラッド攻撃

「SYNパケット」を大量に送付することにより、サーバーダウンや負荷向上によるシステム停止を狙った攻撃です。

バッファオーバーフロー攻撃

Webサーバーの許容量を超えたデータを送付することで、誤作動やシステムダウン、悪意のあるプログラムの実行などを狙う攻撃です。

Dos攻撃

Webサーバーに大量のアクセスを行い、データを送り付け、サーバーをダウンさせる攻撃です。その延長線上の攻撃としてDDoS攻撃もあります。

マルウェア感染

各種の悪意あるソフトウェアに感染することで、外部へのデータ流出、データを盾にとった脅迫などを行う攻撃です。
⇒マルウェア対策の課題を解決！方法やポイント・注意点まで解説

IDSとIPSが検知・防止できない攻撃種類

IDS/IPSで検知・防止できないサイバー攻撃には下記が挙げられます。ネットワークへの侵入ではなく、Webサイトなどを経由して攻撃するためIDSやIPSでの検知ができないものです。

SQLインジェクション

Webサイトへの入力として悪意のあるSQL（データベース操作言語）を送り、予期しないデータベースへの操作をさせる攻撃です。

クロスサイトスクリプティング

Webサイトの改ざんなどにより悪意のあるWebサイトへ誘導し、マルウェア感染などを起こす攻撃です。

OSコマンドインジェクション

Webサイトなどへの入力として悪意のあるOSコマンドを送り、予期せぬOS操作をさせる攻撃です。

Webアプリケーションへの攻撃

Webアプリケーションの脆弱性を突いた各種の攻撃です。

他のセキュリティツールとの違い

IDSやIPSとともに話題に挙がるセキュリティツールとして、WAF、ファイアウォール、UTMがあります。本項では、IDSやIPSとの違いについて説明します。
これらの他のセキュリティツールはIDSやIPSを導入していれば不要というものではないことに注意が必要です。IDSやIPSと組み合わせて利用し、広い範囲でセキュリティへの対処を行うことが求められます。

WAF

WAFはWeb Application Firewallを略したもので、Webアプリケーション、Webサイトへの攻撃を防ぐセキュリティ対策です。Webアプリケーションへの通信をチェックしている点がIDS、IPSは異なります。
⇒Webサイト・サービス運営で欠かせないセキュリティ対策WAFとは

ファイアウォール

外部のネットワークと内部のネットワークの間に設置し、不正なアクセスや侵入を防ぐセキュリティ対策です。
IDS、IPSとの違いは、通信のチェック内容です。ファイアウォールはアクセスしてきた通信元、通信の宛先などのチェックを行っていますが、通信の内容は対象外です。IDSやIPSは通信内容をチェックしています。

UTM

UTMはUnified Threat Managementの略で、統合脅威対策と訳されます。
製品によって異なりますが、IPS・IDS、ファイアウォール、ウイルス対策ソフトなどのセキュリティ対策を集約したセキュリティ製品です（WAFは含まれないことが多いです）。１つで様々なセキュリティ対策を備えていますが、コストが高くなることや、ネットワーク負荷が高まるといった問題もあります。
⇒UTMとは？機能やメリットなど世界一わかりやすく解説

他にももっとセキュリティ対策を知りたい方は、ぜひこちらのセキュリティ大全資料もご覧ください。

IDSとIPSを導入する際のポイント

IDSやIPSを選定、導入する際に注意しておきたいポイントを紹介します。

運用の手間と見合った監視方法

IDSやIPSは導入後、稼働期間となりセキュリティ対策としての効果を発揮します。ただし、稼働が正常に行われるよう運用業務が発生します。
運用業務の負荷が高い製品の場合、メリットと釣り合わなくなってしまうため注意が必要です。

導入目的にあった検知方式

どんな攻撃からネットワークを守りたいのかを明確にして、IDS・IPSにより対策できるかどうかを確認しておきましょう。他のセキュリティ対策と組み合わせて、漏れなく守ることも考慮する必要があります。

サポート体制

IDS、IPSについては、問題が起きた際には攻撃を受けている状態というケースが多いですが、万が一にも侵入者の攻撃以外のトラブルは避けておきたいところです。
手厚く、素早いサポートが得られることも製品選定のポイントとなります。

まとめ

IDS・IPSは企業や組織のネットワークへの不正な侵入を検知し、通知・ネットワークの遮断などの対処を行うセキュリティ製品です。ゼロトラストの考え方に沿ったセキュリティを実現する対策といえます。
IDS・IPSと他のセキュリティ対策を組み合わせて、自社のセキュリティ対策を強固なものにしましょう。
それでも防ぐことができない情報漏洩には、SMSデータテックが提供するダークウェブの脅威から会社を守る情報漏洩監視ツール「ダークウェブアイ」をおすすめします。セキュリティ担当者が見落としがちな「他社」が原因による「自社」の情報漏洩…。100％防ぐことは不可能ですが、情報漏洩した際にすぐに発見し、迅速な対策を打てば、漏洩によるリスクを最小化することはできます。
IDS・IPSなどのセキュリティ対策はやりきったがダークウェブ対策はまだ行っていない、他の企業よりも高いセキュリティレベルを保持したいセキュリティ担当者様は、下記のボタンよりぜひお気軽にお問い合わせください。