こんにちは、decoponです。
IPA試験やセキュリティ研修で出てくる三兄弟…そう、WAF/IDS/IPS。
どれも「攻撃を防ぐしくみ」らしいけど、
名前が似てる
役割もそれっぽく似てる
なんなら同じ図に一緒に出てくる
結果、私はこうなりました:
「つまりWAFは…あれ、IPSが止めるやつ?それともIDSが監視するやつ?😇」
今回はそんな混乱を解消すべく、この3つの違いと使い分けポイントを
やさしく図解で整理してみたいと思います!
💡 一言でいうと
| 略称 | 正式名 | やること | たとえ話 |
|---|---|---|---|
| WAF | Web Application Firewall | Webアプリの通信をフィルタ | アプリ宛てのメールチェック |
| IDS | Intrusion Detection System | 侵入を監視して通知 | 防犯カメラ(鳴らすだけ) |
| IPS | Intrusion Prevention System | 侵入を検知して即遮断 | 防犯カメラ+自動ロック |
🔎 それぞれの役割と特徴
🧱 WAF:Webアプリを守る“入口のフィルター”
- 通信内容を見て「SQLインジェクションっぽい!」などを検知・遮断
- Webアプリケーションに特化した防御装置
- HTTP/HTTPSトラフィックの中身を読める強みあり
💬 つまり:
「このフォーム、 OR '1'='1 とか入力してない?」ってチェックして止めるイメージ!
👀 IDS:侵入に気づいて“知らせてくれるセンサー”
- ネットワーク全体を見て“不審な動き”を検知してログ通知する
- ただし、止めたりはせず、見張って教えてくれるだけ
- 「通知を見て素早く人間が対応する」運用前提
💬 つまり:
「怪しい人がフェンス越しにウロウロしてるよ!」と教えてくれる防犯カメラ
🛡️ IPS:見つけてすぐ止める“防御のオート機能”
- IDSと似ているが、こちらは自動で遮断までやる
- たとえばポートスキャンや異常トラフィックを見て即遮断
- 誤検知には注意(正規の通信も止めちゃうことがある)
💬 つまり:
「怪しい動き?即シャットアウト!」な、自動防御システム
🎯 こんな使い分けイメージもあり!
[WAF]:アプリに入る前の“玄関フィルター”
[IDS]:オフィス全体を見守る“監視カメラ”
[IPS]:ヤバい動きを止める“自動防御ゲート”
✏️ 試験&実務ではこう聞かれる!
- IPA試験では…
「IDSとIPSの違いを選べ」
「WAFの役割として適切なのは?」
- 実務では…
「どこに何を置けばよいか?」
「WAFだけで十分?IDS/IPSも必要?」などの設計ポイントが問われがちです
📝 おわりに:ちゃんと違いが分かれば、怖くない三兄弟
WAF/IDS/IPSは、「なんか守ってくれる装置」みたいなイメージのままだと混乱しやすいのですが、 それぞれの守る対象や動き方の違いを押さえると、ぐっと理解が深まります。
ここまで読んでくださってありがとうございました!