この記事はネットワークのことをゆっくり解説していきます
その度合いは浅い(アサァイ!!!)のでご了承ください
IPSとIDSとは?ネットワークを守る“見張り役”と“防御役”のちがい
私たちが日々利用しているインターネットはとても便利ですが、同時に危険も潜んでいます。ウイルス、ハッキング、個人情報の流出など、サイバー攻撃の手口は年々巧妙化しており、企業はもちろん、一般の家庭でも「セキュリティ対策」が欠かせない時代になりました
そんな中、ネットワークを外部の脅威から守るために使われている代表的な技術が「IDS(Intrusion Detection System=侵入検知システム)」と「IPS(Intrusion Prevention System=侵入防止システム)」です
この2つは一見似ているようで、実はそれぞれ異なる役割を持っており、セキュリティ対策においては両方を正しく理解して使い分けることがとても重要になってきます
■概念ざっくり理解していこう編
IDS(Intrusion Detection System)とは?
IDSは、ネットワークやシステムを監視し、不審なアクセスや攻撃の兆候を「見つける」ための仕組みです
言い換えれば、ネットワークの“見張り役”のような存在で、警備員がカメラ映像をチェックして異常を見つけたら警報を鳴らす、そんなイメージです
IDSが行うのは「検知」までで、実際に攻撃を止める(防御する)機能はありません
そのため、IDSの検知を受けた管理者やセキュリティ担当者が、必要に応じて対処する必要があります
IDSの役割
・不正なアクセスやマルウェアの兆候を検知
・管理者にアラートを送信して、迅速な対応を促す
・通信のログを記録し、後からの分析にも役立つ
IDSの種類
1. ネットワーク型IDS(NIDS)
ネットワーク上の通信データをリアルタイムで監視します
主にルーターやスイッチなどに設置され、全体のネットワークトラフィックを見守ります
2. ホスト型IDS(HIDS)
特定のサーバーやPCなど、個々の端末のログや動作を監視します
OSやアプリケーションへの異常なアクセスを見つけるのに適しています
IPS(Intrusion Prevention System)とは?
IPSは、「侵入を防ぐシステム」です
IDSと似ていますが、IPSは異常な通信を検知するだけでなく、自動的にブロックする機能まで備えています
つまり、ネットワークの“防御役”であり、攻撃を受けそうになった瞬間に即座にブロックしたり、危険な通信を止めたりします
たとえば、明らかに不正な通信(既知のマルウェア通信やポートスキャンなど)を検知したら、その通信を自動的に遮断することで、ネットワーク全体への被害を未然に防ぎます
IPSの役割
・不正アクセスや攻撃の兆候を検知
・自動的に通信を遮断したり、接続を切ったりして、被害を未然に防ぐ
・ネットワーク全体をリアルタイムで保護する
IPSの種類
1. ネットワーク型IPS(NIPS)
ネットワークの入り口などに設置して、通過する通信をすべて監視・制御します。主に外部からの攻撃に対して有効です
2. ホスト型IPS(HIPS)
個々の端末にインストールして、端末内部の挙動に基づいた防御を行います。未知の攻撃にも柔軟に対応できる特徴があります
◆ 補足1:どちらを使えばいいの?
IDS・IPSの種類について
どちらのシステムにも、設置場所や機能に応じたいくつかのタイプがあります
ネットワーク型(NIDS/NIPS):ネットワーク全体を監視し、異常なトラフィックを検知または防止します
ホスト型(HIDS/HIPS):特定の端末(パソコンやサーバー)にインストールされ、その端末単位で不正な挙動を検知または防止します
結論:どちらも必要!目的と環境に合わせた使い分けを
IDSとIPSは、サイバー攻撃が高度化する現代において、ネットワークの安全を守るための欠かせない仕組みです
「まずは脅威を検知して早く知りたい」→ IDSの導入が有効
「リアルタイムで防ぎたい、放っておいても対処してくれる仕組みが欲しい」→ IPSが最適
実際の企業では、IDSとIPSを併用して、それぞれの強みを活かすケースが多く見られます
特に重要な情報を扱う場合には、複数のセキュリティ対策を組み合わせて使う“多層防御”が推奨されています
◆ 補足2:IDS/IPSに関して想定しなかった困りごとってある?
1. 誤検知(False Positive)が多い
IDS/IPSは「怪しい通信」を検出するため、正常な通信も誤って攻撃と判断してしまうことがあります
例えば、社内の業務システムの通信を「不審」と誤認して遮断してしまい、業務に支障が出るケースも
よって、トラブル時の切り分けが大変になることも
対処:
シグネチャ(検知ルール)のチューニングが必要ですが、これが手間で専門知識も必要
2. 過検知・過負荷によるアラート疲れ
セキュリティチームに大量のアラートが届いて、「何が本当にヤバいのか分からない」状態になることがあります
対処:
アラートの優先度設定や、SIEMとの連携が必要になるけど、これも導入・設計に時間とコストがかかります
3. ネットワーク遅延や通信障害の原因になることも
IPSはリアルタイムで通信を止めるので、処理が重くなるとネットワーク全体の遅延や、最悪の場合通信断の原因になることも
オンプレミス前提で設計されたIDS/IPSだと、クラウド環境では設置場所や監視対象が限定され、思ったほど機能しないケースも
対処:
ハードウェア性能の見積もりや、導入位置の設計を慎重に行う必要あり
✔まとめ
IDS/IPSは強力なネットワークの防御手段となりますが、「導入すればOK」ではなく、運用・設計・人材・コストのバランスを考えていきましょう
セキュリティ対策としては必要不可欠になることが多いですが、導入前に“現場での困りごと”を想定したうえで導入計画を立てることが成功のカギになります
■機器導入は周りの人と確認を
導入提案する人にとって大事なことは、要件を整理して、それを余すことなく実現可能とする機器を選定することですが
上司や決裁権を持つ人に許可を取る必要があります
そこで大事になってくることは、資料作成スキルやコミュニケーション能力だったりします
今回はこれで終わりです
ネットワークは対象のレベルによって教えることが幅広くなってきますので
うっすい感じでお送りします
byebye ヾ(❛ᴗ˂ )⌒♥