IDS・IPSとは?違い・仕組み・種類とファイアウォール/WAFとの使い分けを解説
IDS・IPSとは、ネットワークを流れる通信の中身を監視し、攻撃の兆候を見つける仕組みです。IDS(不正侵入検知システム)が「見つけて知らせる」ところまでを担い、IPS(不正侵入防御システム)は「見つけて自動で遮断する」ところまで踏み込む役割です。この記事では、両者の違い、シグネチャ型とアノマリ型という検知の仕組み、ネットワーク型とホスト型の種類、ファイアウォール・WAF・UTMとの守備範囲の違い、そしてクラウド時代に自社が導入すべきかの判断基準までを整理します。名前が似ていて混同しやすい2つを、役割の違いから切り分けていきます。
目次
まとめ|IDS・IPSは侵入を検知・自動遮断する二段目の防御
IDSとIPSの差は、攻撃を見つけた後の動きにあります。IDSは検知して管理者に警告するまで、IPSは検知した通信をその場で自動遮断するまでを担当します。どちらもファイアウォールをすり抜けた通信の「振る舞い」を見張る、境界の内側を守る二段目の網です。通信の宛名(IPアドレス・ポート)で通す・通さないを判定するファイアウォールとは、見ている対象が異なります。
導入時にまず決めるのは、自前で構築するか、UTMの一機能として使うか、監視まで含めて外部のマネージド監視サービスに任せるかの3択です。誤検知(正常な通信を攻撃と誤認)への対応や日々のシグネチャ更新は運用の負担になり、機器を置くだけでは守りきれません。自社システムのどこに何を組み込むかで迷う場合は、Webシステム開発で設計段階から相談を受け付けています。
IDSとIPSの基本|検知だけか自動で遮断まで担うかの役割の差
IDSとIPSは、頭文字の「D(Detection=検知)」と「P(Prevention=防御)」がそのまま役割の差を表します。監視して兆候をつかむところは共通で、その後に自動で手を下すかどうかが分かれ目です。
IDS(不正侵入検知システム)が担う検知と警告どまりの基本動作
IDSは、通信やサーバーのログを監視し、攻撃と疑わしいパターンを見つけると管理者へアラートを上げます。役割は検知と通知までで、通信そのものは止めません。止めないことは弱点にも見えますが、正常な通信を誤って遮断して業務を止めるリスクがない利点でもあります。まず通信を観測し、どんな攻撃が来ているかを把握したい段階や、既存の通信経路に影響を与えたくない環境での採用が中心です。検知したアラートを人が確認し、対処を判断する運用が前提になります。
IPS(不正侵入防御システム)が担う自動遮断までの一連の動作
IPSは、IDSの検知機能に「その場で遮断する」動作を加えたものです。攻撃と判定した通信を通過させず、リアルタイムで破棄します。通信経路の上に置き(インライン構成)、すべての通信を通り道で検査するため、攻撃を人の対応を待たずに止められます。半面、誤検知が起きると正常な通信まで遮断してしまい、サービス停止につながる点に注意が必要です。検知ルールの精度と、遮断対象をどこまで自動化するかの調整が、IPS運用の勘所になります。
IDSとIPSの違いと、誤検知リスクからみた使い分けの判断基準
両者の違いは下表の通りです。判断の軸はシンプルで、「攻撃を自動で止めたいか」と「誤検知で通信が止まるリスクをどこまで許容できるか」の2点で決まります。可用性が最優先の基幹システムでは、いきなり全自動遮断のIPSにせず、IDSで一定期間ログを観測して誤検知の傾向をつかんでからIPSへ移行する、段階的な進め方が現実的です。
| 観点 | IDS(検知) | IPS(防御) |
|---|---|---|
| 攻撃への動作 | 検知して警告 | 検知して自動遮断 |
| 通信経路上の位置 | 通信を複製し監視 | 通信経路上(インライン) |
| 誤検知の影響 | アラートの空振り | 正常通信も遮断 |
| 向く場面 | 観測・影響回避重視 | 自動遮断を優先 |
実務では、IPSが検知した通信をすべて自動遮断するのではなく、確度の高いものだけ遮断し、判断が難しいものは警告にとどめる、という中間設定を取る運用が多く見られます。
IDS・IPSの検知方式と設置形態|シグネチャ型とネットワーク型
IDS・IPSを理解するうえで外せないのが、「どうやって攻撃を見分けるか(検知方式)」と「どこに置くか(設置形態)」の2つの軸です。この2軸の組み合わせで、得意な攻撃と守れる範囲が変わります。
シグネチャ型とアノマリ型の2つの検知方式の違いと得意とする攻撃
検知方式は大きく2つに分かれます。シグネチャ型(不正検出型)は、既知の攻撃パターンを登録した「シグネチャ」と通信を照合し、一致すれば攻撃と判定する方式です。アンチウイルスのパターンファイルと同じ考え方で、既知の攻撃に強く誤検知が少ない半面、シグネチャが未登録の新種の攻撃は見逃します。アノマリ型(異常検出型)は、平常時の通信を「正常」の基準として学習し、そこから外れた振る舞いを異常として検知する方式です。未知の攻撃や内部の不審な挙動をとらえられる一方、正常の幅の設定が甘いと誤検知が増えます。多くの製品は両方を組み合わせ、既知はシグネチャで確実に、未知はアノマリで補う構成をとります。
ネットワーク型(NIDS/NIPS)とホスト型(HIDS/HIPS)の設置場所
設置形態も2つに分かれます。ネットワーク型(NIDS/NIPS)は、ネットワークの要所に設置し、そこを流れる通信全体を監視します。1か所で複数のサーバーやPCをまとめて見張れる反面、暗号化された通信の中身は原則読めません。ホスト型(HIDS/HIPS)は、守りたいサーバーやPCの1台ごとに導入し、そのマシンのログ・ファイル改ざん・プロセスを監視します。端末単位で細かく見られ、暗号化通信も復号後の挙動を追えますが、台数分の導入・運用が要ります。境界の通信全体はネットワーク型、重要サーバー単体はホスト型、というように、守る対象に応じて併用するのが基本の考え方です。
IDS・IPSで防げる攻撃と、WAFに任せるべき防げない攻撃
IDS・IPSが得意とするのは、通信の振る舞いから見抜ける攻撃です。ポートスキャンやDoS/DDoS攻撃、既知の脆弱性を突く通信、バッファオーバーフローの兆候といった、ネットワーク層〜トランスポート層の異常をとらえます。一方で苦手な領域も明確です。SQLインジェクションやクロスサイトスクリプティングのように、正規のWebリクエスト(HTTPS)に紛れて届くWebアプリケーションへの攻撃は、Webアプリの文脈を解さないIDS・IPSでは判定が難しく、WAFの守備範囲になります。暗号化された通信の中身も、ネットワーク型では原則見えません。「何を防ぎ、何を他の製品に任せるか」を分けて設計することが、過信による穴を防ぎます。
IDS・IPSとファイアウォール・WAF・UTMの違いと多層防御での位置
IDS・IPSは単独で完結する製品ではなく、ファイアウォールやWAFと役割を分担して初めて機能します。それぞれが守る層と目的の違いを押さえると、自社に何が足りていないかが見えてきます。
ファイアウォールとの違い|通信の宛名判定と中身の振る舞いの検知
ファイアウォールは、通信の送信元・宛先・ポート番号という「宛名」を見て、ルールに従い通す・遮断するを判定します。宛名が許可ルールに合っていれば、その中身が攻撃でも通してしまいます。IDS・IPSは、そのファイアウォールを通過した通信の「中身の振る舞い」を検査し、攻撃の兆候を見つけ出す役割です。ファイアウォールが境界の第一関門、IDS・IPSがその内側で振る舞いを見張る二段目、という関係になります。両者の詳しい仕組みはファイアウォールとは?仕組み・種類とWAF・UTMとの違い、企業の選び方で整理しています。
WAFとの違い|ネットワーク層の防御とWebアプリ層の防御の分担
WAF(Web Application Firewall)は、Webアプリケーションへの攻撃に特化した防御です。IDS・IPSが主にネットワーク層〜トランスポート層の通信を監視するのに対し、WAFはHTTPリクエストの中身を解析し、SQLインジェクションやクロスサイトスクリプティングといったアプリ層の攻撃を防ぎます。守る層が違うため両者は競合せず、Webサービスを公開する構成では、ネットワーク層をIDS・IPS、アプリ層をWAFが担う分担が基本です。「IDS・IPSがあればWAFは不要」という判断は、アプリ層の攻撃に無防備な穴を残します。
UTMとの違い|統合機器の一機能としてのIDS・IPSの位置づけ
UTM(統合脅威管理)は、ファイアウォール・アンチウイルス・Webフィルタリング・IPSなど複数の機能を1台に統合した機器です。つまりIDS・IPSは、UTMを構成する一機能として組み込まれている場合があります。中小規模の拠点では、専用のIDS・IPS機器を単体で導入するより、UTMの中のIPS機能を使うほうが機器と運用を1台にまとめられて合理的です。UTMの機能構成と選び方はUTMとは?統合脅威管理の機能とファイアウォールとの違い、企業の選び方で解説しています。各製品の守備範囲を整理すると次の通りです。
| 製品 | 主に守る層 | 判定の対象 |
|---|---|---|
| ファイアウォール | ネットワーク層 | IP・ポート・通信状態 |
| IDS・IPS | ネットワーク〜TP層 | 攻撃の兆候・振る舞い |
| WAF | Webアプリ層 | HTTPリクエストの中身 |
| UTM | 複数層を統合 | 上記機能を1台で |
IDS・IPSの導入判断|自前構築・UTM統合・監視サービスの選び方
ここからはカタログではなく判断の話です。クラウド移行が進んだ現在、IDS・IPSを自社で持つべきか、持つならどの形にするかを、条件付きで言い切ります。
クラウド時代にIDS・IPSは不要か、マネージド機能との関係
「クラウドに移したからIDS・IPSは要らない」という見方には、条件付きで答えられます。AWSやAzureなどのクラウドには、GuardDutyのような脅威検知やネットワークファイアウォールのマネージド機能が用意され、従来のIDS・IPSに近い監視をサービスとして利用可能です。自社でシステムをクラウドに構築するなら、専用機器を持ち込むより、これらのマネージド機能を組み合わせるほうが運用は軽くなります。一方、オンプレミスの社内ネットワークや、クラウドのマネージド機能で拾いきれない内部通信の監視には、依然としてIDS・IPSの役割が残ります。「不要になった」のではなく「実装の形がマネージドサービスへ置き換わりつつある」と捉えるのが正確です。判断軸は、守る対象がオンプレかクラウドか、そして監視を自社で回せるかどうかにあります。
自前構築・UTM統合・マネージド監視を規模で分ける選定の基準
導入形態は3つに整理でき、規模と体制で選び分けます。拠点が少なく情シスの人手が限られる中小規模なら、UTMのIPS機能で足りることが多く、専用機を別建てにするのは過剰投資です。検証環境や自社で技術を持つチームなら、OSSのIDS・IPSを自前構築する選択もあります。オープンソースのSuricataは、IDS・IPS・ネットワーク監視を1つで担うエンジンで、導入手順はSuricataとは何か:IDS/IPS/NSMエンジンの機能と概念で扱っています。ただし自前構築はシグネチャ更新と誤検知チューニングを自社で背負う前提です。24時間の監視まで含めて任せたいなら、マネージド監視サービス(MSS/SOC)に外注するのが、人手をかけずに検知後の対応まで回す現実解になります。IDS・IPSは「置いて終わり」ではなく、アラートを見て対処する運用があって初めて効く仕組みです。自社システムのどこに組み込み、誰が運用するかまで含めた設計は、Webシステム開発で構築段階から対応しています。
よくある質問
IDS・IPSの検討でよく挙がる質問に回答します。
IDSとIPSの違いは何ですか?
攻撃を検知した後の動作が違います。IDS(不正侵入検知システム)は攻撃の兆候を検知して管理者に警告するまでを担い、通信そのものは止めません。IPS(不正侵入防御システム)は検知した通信をその場で自動的に遮断します。誤検知で正常な通信が止まるリスクを避けたい場合はIDS、攻撃を人の対応を待たず自動で止めたい場合はIPSが向きます。
IDS・IPSとファイアウォールの違いは何ですか?
見ている対象が違います。ファイアウォールは通信の送信元・宛先・ポート番号といった宛名を見て通す・遮断するを判定する仕組みです。IDS・IPSは、その宛名判定を通過した通信の中身の振る舞いを検査し、攻撃の兆候を見つけます。ファイアウォールが境界の第一関門、IDS・IPSがその内側を見張る二段目という関係で、両者は併用します。
IDS・IPSとWAFはどちらを導入すべきですか?
守る層が違うため、どちらか一方ではなく役割で選びます。IDS・IPSはネットワーク層〜トランスポート層の通信を監視し、WAFはWebアプリケーションへの攻撃(SQLインジェクションなど)をHTTP通信の中身から防ぎます。Webサービスを公開するなら、アプリ層を守るWAFが優先度が高く、ネットワーク層の監視をIDS・IPSが補完する形が基本です。
IDS・IPSで防げない攻撃にはどんなものがありますか?
正規のWebリクエストに紛れて届くアプリ層の攻撃(SQLインジェクション、クロスサイトスクリプティングなど)は苦手で、WAFの守備範囲です。暗号化された通信の中身も、ネットワーク型では原則見えません。メールの添付ファイル経由のマルウェアなど、通信の振る舞いに現れにくい攻撃も、IDS・IPS単独では防ぎきれません。用途の異なる製品と多層で組み合わせる前提になります。
クラウド環境でもIDS・IPSは必要ですか?
形を変えて必要です。AWSやAzureにはGuardDutyやマネージドのネットワークファイアウォールなど、IDS・IPSに近い脅威検知機能があり、クラウド上ではこれらを組み合わせて代替する構成が中心です。ただしオンプレミスの社内ネットワークや、マネージド機能で拾いきれない内部通信の監視では、従来型のIDS・IPSの役割が残ります。守る対象がどこにあるかで選び方が変わります。
関連記事
- ファイアウォールとは?仕組み・種類とWAF・UTMとの違い、企業の選び方:IDS・IPSの前段で通信を許可・遮断する境界防御の仕組みを解説しています。
- UTMとは?統合脅威管理の機能とファイアウォールとの違い、企業の選び方:IDS・IPSを一機能として統合するUTMの選び方を整理しています。
- VPNとは?仕組み・種類・メリットとデメリット、企業導入の判断基準:社外から社内へ安全に接続する経路の確保を、ネットワークセキュリティの基礎として解説しています。
- Suricataとは何か:IDS/IPS/NSMエンジンの機能と概念:IDS・IPSをオープンソースで自前構築する場合の代表的なエンジンを技術面から解説しています。
- DDoS攻撃とは?仕組み・種類とDoS攻撃との違い、企業が取るべき対策を解説:IDS・IPSでの検知だけでは止めきれない大量通信型の攻撃の仕組みと対策を解説しています。