あらゆる業務がコンピュータを介して進められる現代の企業では、通信の安全、ネットワークのセキュリティは、もっとも重要な企業テーマの1つです。しかし、多くの企業ではセキュリティ専任の担当者を置けず、Web担当者にその役割を期待するケースが少なくありません。本記事では、そんな担当者にむけて、IDSとIPSの基本、他のセキュリティ機器との違いをわかりやすく解説します。ぜひ参考にしてみてください。
IDS / IPSとは?仕組みと違いについて解説
IDS と IPSは、どちらもネット通信のセキュリティシステムです。IDSは 「検知と通報」のみで、IPSは「検知と通報」に加え、「防御」も行うという違いがあります。
不正侵入を検知するIDS
IDSは、Intrusion Detection Systemの略で「不正侵入検知システム」という意味です。ネットワークを通じてコンピュータに出入りするデータを監視して、不正侵入があれば管理者に通報します。検知と通報までが仕事で、不正侵入をブロック(防御)することはできません。
不正侵入を防御するIPS
IPSは、Intrusion Prevention Systemの略で、「侵入防止システム」という意味です。IPSは不正や異常を検知するだけでなく、その通信をブロックする機能があります。IDSは不正を検知しても対応が遅れる可能性がありますが、IPSは検知と同時に疑わしいアクセスを自動的に遮断します。
IDS / IPSの種類
IDS と IPSにはどちらも「ホスト型」と「ネットワーク型」の2種類があります。
ホスト型
ホスト型のIDS/IPSは、PCにインストールして不正の検知や防御を行うソフトウェアです。複数のPCがある場合は、1台ずつインストールする必要があります。
ネットワーク型
ネットワーク型のIDS/IPSは、個々のPCに入る前の社内ネットワークを流れる通信パケットを監視します。個々のPCにソフトをインストールする必要がありません。端末台数が多い場合も、一括して監視・防御できます。
IDS / IPSで検知・防御できる攻撃の種類
サイバー攻撃には多くの種類があり、IDS / IPSで検知・防御できるものとできないものがあります。
防御可能な攻撃
IDS / IPSで検知・防御が可能な攻撃には、DDoS攻撃、SYNフラッド攻撃、ワームなどがあります。
DoS攻撃/DDoS攻撃
DoS攻撃とは、標的とするWebサイトやサーバーに対して、過剰なアクセスや大量のデータを送付するサイバー攻撃です。これを複数のコンピュータを用いて行うのをDDoS攻撃と言います。DoS/DDoS攻撃受けると、サーバーに大きな負荷がかかり、顧客がサイトにアクセスできなくなる、ネットワークに遅延が生じるなどの被害が発生します。IDS / IPSは、トラフィックを監視して、このような攻撃を検知/防御することが可能です。
SYNフラッド攻撃
SYNフラッド攻撃はDoS攻撃の一種で「パケットを送るがその返信を無視する」という手段でサーバーに負荷を与えます。IDS / IPSはこのような攻撃を検知/防御して、サービス停止やサーバダウンからシステムを守ります。
ワーム
ワームはマルウェアによってシステム内に侵入・増殖して、PCの処理能力を低下さたり、勝手にファイルを削除するなどの悪さをします。IDS / IPSはマルウェアの侵入を監視して、ワームがPC内に入り込むのを検知/防御します。
防御できない攻撃
IDS / IPSで検知・防御ができない攻撃には、SQLインジェクション、クロスサイトスクリプティングなどがあります。
SQLインジェクション
SQLインジェクションとは、Webアプリケーションの脆弱性を突く攻撃です。さまざまなWebアプリが開発されるとともに、アプリの脆弱性を狙うマルウェアも増えています。IDS / IPSはコンピュータのОSや社内システムを狙う攻撃は監視できますが、アプリケーションレベルの通信内容までは見られないので、アプリ層に対する攻撃の解読、監視はできません。
クロスサイトスクリプティング
クロスサイトスクリプティングとは、入力フォームなど、ユーザーからの書き込みを表示するアプリケーションの脆弱性を突いた攻撃です。難読化されたコードを使用しているため、IDS / IPSでは検知・防御ができないと言われています。
IDS / IPSとWAFの違い
WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を狙う攻撃からシステムを防御します。前述の「SQLインジェクション」「クロスサイトスクリプティング」などIDS、IPSではカバーできなかった攻撃を守るのがWAFです。WAFは、Webアプリケーションの通信内容を解析して、不正な文字列が含まれていないかを判断します。IDS/IPSはサーバーやネットワークなどシステム全般を守り、WAFはアプリケーション層にもぐりこんだ攻撃に特化してシステムを守るのが仕事です。
警察庁の「令和2年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和2年のサイバー犯罪検挙件数は過去最多となっています。こうした背景から、日々Webアプリケーションも個人情報漏洩やデータ改ざんなどの脅威にさらされています。その[…]
IDS / IPSとファイアウォールとの違い
ファイアウォールは、通信内容ではなく「通信の送信元と宛先」だけを監視し、疑わしい通信をブロックするシステムです。そのため、正常な通信を大量に送り付けるDoS攻撃などには対応できません。それに対し、IDS/IPSは通信内容を監視して、過去のサイバー攻撃についてのデータベースと照らし合わすなどで不正なアクセスを検知します。
DX(デジタルトランスフォーメーション)の推進があらゆる企業にとって緊急の課題になっている昨今、自社のシステムを外部から脅かすサイバー攻撃に対する備えも「同時進行」させるべきでしょう。本記事では、ネットセキュリティでまず検討すべき、ファイア[…]
IDS / IPSの製品を選ぶときの3つのポイント
ポイント1.種類や監視対象で選ぶ
IDS/IPSにはホスト型とネットワーク型の2種類があります。個々のパソコンを監視・防御したい場合はホスト型を選び、対象となるパソコンにIDS/IPインストールします。社内のネットワーク全体を守りたい場合は、ネットワーク型を選んでIDS/IPS機器を設置しましょう。ホスト型もネットワーク型も、製品によってセキュリティの強度には違いがあるので、自社が必要とするセキュリティレベルを満たすものを選ぶことが重要です。
ポイント2.サポート体制で選ぶ
サイバー攻撃は日々新たな手口(アクセスパターン)が生まれているので、IDS/IPSを導入した後もベンダーから情報を得てチューニング、キャッチアップしていく必要があります。その際のフォローやサポートが手厚いベンダー(サービス会社)を選ぶのがよいでしょう。また、サイバー攻撃は時間の経過とともに被害が拡大するので、システムに不具合が生じたときに、迅速に対応してくれるかどうかも重要なポイントです。
ポイント3.初期費用や運用コストで選ぶ
初期コストを抑えたい場合は、サブスクリプション型のクラウドサービスが便利です。しかし、月々の運用コストがかかるので、会社の規模によってはハードを導入する方が結局安くつくケースもあります。クラウド型の料金は月額数千円から数万円まで、導入規模やセキュリティレベルに応じてさまざまです。機器を導入する場合も数十万円から数百万円まで、規模に応じて違いがあります。セキュリティの費用対効果を算出するのは簡単ではありませんが、過剰な防御でコストをかけすぎるのも、コストを惜しんで必要な防御を行わないのもよくありません。
IDS / IPSと他のセキュリティ対策ツールを併用しよう
企業の通信セキュリティを守るには、IDS / IPSだけでは不十分です。ウィルスの侵入を阻止するファイアウォールや、アプリケーションを守るWAFも併用することが必須です。これらの機能をすべて1つの機器に統合・集約したUTM (統合脅威管理)の導入も選択肢の1つになります。見えない敵を相手にする通信セキュリティは「これで良し」というレベルを可視化できない難しさがありますが、自社のネットワークの特性に応じた適切な対策を講じることが大切です。
あわせて読みたい
今や企業や組織にとってセキュリティ対策は重要な経営課題のひとつです。とはいえ網羅的な対策となると、コスト面・運用面で負担が大きいものでしょう。そこで解決策として用いられるのがUTMツールです。UTMツールにはファイアウォールやWebフィルタ[…]
セキュリティソフトは「ウィルス対策ソフト」「アンチウィルスソフト」などとも呼ばれ、PCやスマートフォンなどのデジタル機器をウィルスやハッキングの脅威から守り、安全性を高めるソフトウェアのことです。インターネットデバイスが増加し、サイバー攻撃[…]
