IDSとIPSの違いとは?不正侵入を検知・防御する仕組みを解説
サイバー攻撃が巧妙化し、新たな脅威が日々生み出されている昨今、それらの攻撃からコンピュータを守るために、不正アクセスを検知するシステムも進化しています。この記事では、不正侵入検知を目的としたセキュリティツール「IDS」「IPS」について両者の違いやそれぞれの特徴、適したIDSやIPSを選ぶポイントなどをご紹介します。
目次
IDS/IPSとは?
IDSとIPSは名称こそよく似ていて、ネットワークへの不正侵入を防ぐという目的も共通ですが、できることが大きく異なります。ここでは、IDSとIPSの意味や概要、それぞれの違いを見ていきましょう。
IDS(不正侵入検知システム)
IDSとは、「不正侵入検知システム」を指す英文「Intrusion Detection System」の頭文字を取った略称です。ネットワークやサーバを監視し、不正な侵入や侵入が疑われる兆候を検知すると、すぐに管理者へ通知を行います。
IPS(不正侵入防御システム)
IPSとは「不正侵入防御システム」を指す英文「Intrusion Prevention System」の頭文字を取った略称です。IPSは、ネットワークやサーバへの不正な侵入を「検知」し、「防御」する仕組みを備えています。IDSではネットワークやサーバへの不正な侵入を検知し管理者へ通知しますが、IPSは不正侵入を検知、管理者への通知の上、アクセスログの改ざん防止措置や不正パケットの遮断措置を実行するところまでの対応を行います。
上記のように、不正侵入の「検知」のみを行うのがIDS、「検知」に加え「防御」までできるのがIPSで、両者では実行できることが大きく異なります。
IDS/IPSの仕組み
ネットワークを監視して不正侵入やその兆候を検知する仕組みを備えている点は、IDSもIPSも同一です。ではIDSやIPSは、どのような仕組みで不正アクセスの監視と検知を行うのでしょうか。
IDS/IPSの監視方法
IDSとIPSが、監視を行う仕組みには、以下の2つがあります。
1.ネットワーク型
ネットワーク上にIDSやIPSを設置し、ネットワーク上を流れる通信パケットを監視する仕組みで、同じネットワーク上にある複数のサーバを対象とした広範囲の通信を監視することが可能です。この仕組みでは設置したネットワークだけが監視の対象となるため、複数のネットワークを監視する場合には、それぞれにIDS/IPSを設置する必要があります。
2.ホスト型
ホスト型のIDS/IPSは、ネットワークではなく監視対象となるサーバ(ホスト)などに直接システムをインストールし、サーバ内でログやファイルの改ざんを監視する仕組みです。
ホスト型のIDSは不審なアクセスのみならず、サーバ内部での不審なプログラムの動作を検知できます。ホスト型のIPSはサーバ内において不審なアクセスや動作を検知した上でそれらを防御します。
なお、ホスト型はネットワーク型とは異なり、1つのサーバだけを監視対象とします。もし監視したいサーバ機器が複数あれば、それぞれのサーバにインストールすることが必要です。
IDS/IPSの検知方法
IDSやIPSがネットワークへの不正侵入を検知する仕組みについてもみていきましょう。不正を検知する方法には、以下の2つがあります。
1.シグネチャ型(不正検出)
あらかじめ不正な通信に関するパターンを登録し、さまざまな通信からそれらのパターンにマッチングする通信を検知し、不正であると判断する仕組みです。
特徴としては、すでに不正であるとわかっているパターンと同一の通信を不正とみなすため、正しい通信を誤って検知してしまうリスクが少ない点が挙げられます。
2.アノマリ型(異常検出)
こちらはシグネチャ型とは逆で、正常な通信パターンをあらかじめ登録しておきます。その上で、登録された通常のパターンとは異なる通信をすべて検知し不正と判断する仕組みです。
未知の脅威に効果を発揮できるメリットがありますが、許可されていないアクセスはすべて検知してしまうため、誤検知が増えやすい点がデメリットです。このデメリット克服には、自社で新たな通信パターンを増やした際は都度正常な通信パターンに登録しておくことが有効です。
IDS/IPSとファイアウォール、WAFとの違いは?
IDSやIPSに近い仕組みのセキュリティツールとして、「ファイアウォール」や「WAF」もあります。これらはIDS/IPSと、どのような違いがあるのでしょうか。
ファイアウォールとの違い
ファイアウォールとは「防火壁」を意味する名称で、通信の送信元と送信先を監視し、許可されていない通信を制御する仕組みになっています。ファイアウォールでは送信元と送信先の情報(IP、アドレス、ポート番号)だけで制御の対象を決めているため、通信内容の詳細までは確認していません。許可されていない外部ネットワークからの通信を拒否するファイアウォールですが、正当な通信内容と不正な通信内容を区別できない場合があります。
一方でIDS/IPSの場合は、送信元と送信先の情報が正当だとしても、その通信内容に不正があれば検知が可能です(IPSは防御も可能)。
WAFとの違い
WAFは、SQLインジェクション・クロスサイトスクリプティング等のWebアプリケーションの脆弱性を悪用した攻撃からシステムを守ります。Webアプリケーションに特化したセキュリティツールであるWAFに対し、IDS/IPSではDos攻撃(DDos攻撃)等の対策として、ネットワークやサーバなどシステム全般を監視することで、不正アクセスを検知できます(IPSは防御も可能)。
このように、IDS/IPS、ファイアウォール、WAFは「外部インターネットから社内ネットワークへの不正侵入を防ぐシステム」という目的は共通です。ただし、それぞれで監視の対象や防御可能な範囲が異なるものと考えると良いでしょう。
IDS/IPSで検知・防御できる攻撃と想定される被害
IDS/IPSは、具体的にどのような不正侵入に有効なセキュリティツールなのでしょうか。ここではIDS/IPSで検知または防御できる攻撃の種類をご紹介します。
1.DoS攻撃(DDos攻撃)
対象となる外部のウェブサイトやサーバに対し、大量のデータを送り付けることで大きな負荷をかける攻撃です。この攻撃により一時的にウェブサイトへのアクセスができなくなったり、ネットワークの遅延が起こったりします。
IDS/IPSはネットワークを監視しているため、Dos攻撃(DDos攻撃)をすぐに検知し、防御することが可能です。
2.SYNフラッド攻撃
SYNフラッド攻撃は、インターネット上でのDoS攻撃のうちの1つです。この攻撃は、TCP(Transmission Control Protocol)(※)の接続要求通信(SYN)を大量に送り付けることで、サーバダウンやサービスの停止など、一時的にサイトの利用を不能にさせます。
接続元IPを偽装したSYNフラッド攻撃では、正規の通信なのか、サービス妨害攻撃なのか判別が難しいとされており、ファイアウォールでは検知できません。
IDS/IPSであれば通信の中身を精査できるため、不正な通信を検知することが可能です(IPSは防御も可能)。
※TCP(Transmission Control Protocol)…IPと同様にネットワークで標準的に用いられる通信規約(プロトコル)の1つ。
3.バッファオーバーフロー攻撃(BOF)
バッファオーバーフロー攻撃とは、あらかじめ確保してある領域のサイズよりも長いデータを入力することで、確保してある領域からデータをあふれさせ、プログラムの誤作動を起こさせる攻撃です。
バッファオーバーフローが発生する根本的な原因は、主にプログラミング上のミス(バグ)とされています。バッファオーバーフロー攻撃は、プログラミング上発生したバグ(コンピュータの脆弱性)を突く攻撃のことを指し、主にコンピュータ内部への攻撃に利用されます。
IDS/IPSでは、これらを異常と判断することが可能です(IPSは防御も可能です)。
上記3つの攻撃を受けた際に予想される被害
先述した3つはいずれも、特定のサーバやWebサイトに大量のデータを送り付ける攻撃です。この攻撃により、攻撃されたサーバやシステムがダウンしたり、不具合を起こすなどの被害が予想されます。
サーバやシステムがダウンし、回復までに時間を必要とすれば、その間業務を停止しなければなりません。業務停止中は経済活動ができなくなる上に、回復させるのにコストがかかることもあります。そのため、攻撃されると大きな損害が生じる可能性があると言えるでしょう。
このようなサイバー攻撃は、近年増えてきています。以下のグラフは、警察庁の「令和4年におけるサイバー空間をめぐる脅威の情勢等について」による、サイバー攻撃と見られるアクセス数の推移です。
上記グラフは、警察庁のセンサーが検知したサイバー攻撃やその準備行為とみられるアクセス件数の推移を表しています。過去7年間で約4.5倍増えていることから、サイバー攻撃の実行機会やそれを企てる者の増加も推測できます。いつ何時、サイバー攻撃を受けるか分からないため、不正アクセスからコンピュータを守るためにIDSやIPSのようなセキュリティシステムの導入が必要なのです。
IDS/IPS導入時の選び方のポイント
IDS/IPSを導入する際は、自社に合ったツールを選定することが重要です。
ここでは、IDS/IPSの選び方についてご紹介します。
導入形態
自社で監視したい対象や監視の方法をあらかじめ考慮し、ネットワーク型とホスト型のいずれかを選定しましょう。またIDS/IPS、ファイアウォール、WAFのいずれを選ぶかも、対策したい攻撃の種類を踏まえて検討してください。
システム | 対応できる攻撃の例 |
---|---|
ファイア ウォール |
不審なIPアドレスからのアクセス ポートスキャン(攻撃者による攻撃のための事前調査) |
IDS/IPS | DoS攻撃(DDos攻撃) SYNフラッド攻撃 |
WAF | SQLインジェクション (サイト内データベースの不正操作による窃取や破壊) クロスサイトスクリプティング (Webサイトの脆弱性をついた攻撃) |
場合によっては複数のツールの組み合わせが有用になることもあります。
サポート体制
異常が検知された後、直ちに内容(いつ、どこで、何が起きたのか)を確認し、処置方法と合わせてレポートを出してくれるツールを選定しましょう。また誤検知対策のために、通信パターンを適宜チューニングすることも必要となります。そのため、上記に関するサポートが手厚く、導入実績も豊富な製品を選ぶことがおすすめです。
運用コスト
機能や性能も重要ですが、自社に見合った導入費用や運用コストも無視できません。
サポート内容などを考慮しながら、価格や維持管理コストが適正な製品を選びましょう。
社内ネットワークへの不正侵入防止はALSOKにお任せください
ALSOKでは、企業ネットワークを不正アクセスによるサイバー攻撃から守る「ALSOK UTM運用サービス」をご提供しています。
24時間365日、情報警備監視センターがお客様のネットワークを監視。ネットワークに危険や異常が見つかった際は、即時に緊急対応を行います。ネットワーク監視サービスで用いる機器「UTM」は、IDSやIPSの機能(ネットワーク監視と不正検知・防御)をすべて網羅しています。設定や管理のサポート、月次レポートの作成などお客様の環境に合わせてプランをお選びいただけます。
社内ネットワークへの不正侵入防止については、ALSOKにご相談ください。
ALSOKの関連商品
まとめ
セキュリティツールの選択肢は多種多様ですが、それらはいずれも異なる特徴を備えています。企業が最適なセキュリティを選定する際は、どのような脅威に備えたいか、どこまでのサポートを要するか、予算はどのくらいかなど、さまざまな側面から自社に合ったものを検討しなければなりません。
ALSOKでは、さまざまな脅威ごとの情報セキュリティサービスをご提供しています。導入に関するお悩みがあれば、ぜひお気軽にご相談ください。