TL
ホーム/ネットワーク/機器/ IDS / IPS(侵入検知・防御)

L3〜L7・不正通信の検知・遮断

IDS / IPS(侵入検知・防御)

通信を監視し、攻撃の兆候(シグネチャや異常)を検知(IDS)・自動遮断(IPS)する仕組みFW が「通す/止める」を担うのに対し、通った通信の中身の脅威を見る

TL;DR要点だけ先に
  • 1.攻撃の兆候を検知(IDS)・遮断(IPS)する仕組み。
  • 2.FW を通った通信の中身の脅威を見るのが役割。
  • 3.シグネチャ+異常検知で既知/未知に対応。

Core Facts

基本情報

Introducing

IDS / IPS(侵入検知・防御)通信を監視し、攻撃の兆候(シグネチャや異常)を検知(IDS)・自動遮断(IPS)する仕組み。FW が「通す/止める」を担うのに対し、通った通信の中身の脅威を見る。
動作
検知のみIDS)/ 遮断もIPS)
検知方式
シグネチャ / アノマリ
配置
インラインIPS)/ ミラーIDS)
関連
NGFW に統合される傾向
選ばれる理由
既知攻撃をシグネチャで検知遮断異常検知で未知の兆候も捉える
主な利用シーン
境界重要セグメントの監視既知攻撃の自動遮断 / インシデントの検知・調査

Decision Guide

選定ポイント

採用する理由と、事前に受け入れるべきトレードオフを分けて確認します。

Why It Fits

選ぶ理由

  1. 既知攻撃をシグネチャで検知・遮断
  2. 異常検知で未知の兆候も捉える
  3. NGFW/UTM に統合され運用しやすい

Trade-offs

考慮すべき点

  1. 誤検知(過検知/見逃し)の調整が要る
  2. 暗号化通信は復号しないと中身を見られない
  3. インライン IPS は遅延・障害点になりうる

Deep Dive

もっと詳しく

どんな機器か

IDS / IPS は、ネットワークやホストを流れる通信を監視し、攻撃の兆候を見つける ための仕組みです。

  • IDS(侵入検知システム):脅威を 検知して管理者に通知 する。通信自体は止めず、気づきと記録に重きを置く。
  • IPS(侵入防止システム):検知に加えて その通信を自動的に遮断 する。通信経路上(インライン)に置かれる。

「見張り役」が IDS、「見張ったうえで止める役」が IPS、と捉えると分かりやすいです。

どう動くのか

検知方式は大きく 2 つあります。

  • シグネチャ検知:既知の攻撃パターン(定義)と通信を照合する。既知の脅威に強いが、未知の攻撃には弱い。
  • アノマリ(異常)検知:平常時の振る舞いを基準に、そこから外れた通信を疑う。未知の兆候も拾えるが、誤検知が増えやすい。

IPS はこれらで「悪い」と判断した通信をその場でドロップします。

似た機器との違い

ファイアウォールとの役割分担が要点です。

  • FW:IP・ポート・セッション状態を見て「通す/止める」を判断する。いわば入口の門番。
  • IDS/IPS通った通信の中身(ペイロード) を見て、その中に攻撃の兆候がないかを調べる。門を通過した荷物の中身検査にあたる。

両者は競合ではなく補完関係で、近年は NGFW に IPS 機能が統合される傾向 にあります。

設計・運用のポイント

  • 誤検知(フォールスポジティブ)の調整:初期はノイズが多い。自環境に合わせてシグネチャの取捨や閾値を継続的にチューニングする必要がある。
  • 暗号化通信の限界:TLS で暗号化された通信は、復号しない限り中身が見えない。検査には SSL インスペクションとの組み合わせを検討する。
  • 配置:IPS はインライン(経路上)に置くため、遅延や障害が通信全体に影響しうる。可用性設計が重要。

製品を選ぶときの観点

  • IDS 用途か IPS 用途か:通知中心か、自動遮断まで求めるか。
  • 検知方式:シグネチャの更新頻度・品質、アノマリ検知の有無。
  • 性能(スループット):インライン設置でも遅延が許容範囲か。
  • 統合性:単体製品か、NGFW・SIEM など他のセキュリティ基盤と連携できるか。

Decision Context

IDS / IPS(侵入検知・防御)を実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

境界・重要セグメントの監視

比較で見る軸

動作: 検知のみ(IDS)/ 遮断も(IPS) / 検知方式: シグネチャ / アノマリ / 配置: インライン(IPS)/ ミラー(IDS)

導入後に効く点

異常検知で未知の兆候も捉える

先に潰すリスク

誤検知(過検知/見逃し)の調整が要る

数字・仕様の読み方
動作
検知のみ(IDS)/ 遮断も(IPS)
検知方式
シグネチャ / アノマリ
配置
インライン(IPS)/ ミラー(IDS)
関連
NGFW に統合される傾向

判断チェックリスト

  • 自社の用途が「境界・重要セグメントの監視 / 既知攻撃の自動遮断」に近いか確認する。
  • 強みである「既知攻撃をシグネチャで検知・遮断」が本当に評価軸になるか確認する。
  • 注意点の「誤検知(過検知/見逃し)の調整が要る」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

境界・重要セグメントの監視既知攻撃の自動遮断インシデントの検知・調査Snort / SuricataCisco FirepowerPalo Alto / FortinetTrend Micro TippingPoint
参考: 参考リンク

Landscape

代表的な製品・サービス

Snort / Suricata

OSS の定番 IDS/IPS

Cisco Firepower

IPS 統合 NGFW

Palo Alto / Fortinet

NGFW 内蔵 IPS

Trend Micro TippingPoint

Use Cases

こんな場面で使う

境界・重要セグメントの監視既知攻撃の自動遮断インシデントの検知・調査
参考リンク