情報セキュリティマネジメント試験 科目A 重要キーワード解説
IDS(Intrusion Detection System:不正侵入検知システム)は、ネットワークやサーバへの不正な通信・攻撃の兆候を検知し、管理者に通知する仕組みです。IPS(Intrusion Prevention System:不正侵入防止システム)は、検知に加えてその通信を自動的に遮断(防止)します。
「IDS=検知・通知まで/IPS=検知して遮断まで」が両者の決定的な違いです。ファイアウォールを通過した通信に潜む攻撃を検知する役割を担います。
| 項目 | IDS | IPS |
|---|---|---|
| 役割 | 検知・通知 | 検知+遮断 |
| 動作 | 通信を監視して知らせる | 不正通信を自動で止める |
| 機器 | 主な守備範囲 |
|---|---|
| ファイアウォール | IPアドレス・ポートによる通信の許可/拒否(境界制御)。 |
| IDS/IPS | 通信内容から不正侵入・攻撃の兆候を検知/遮断。 |
| WAF | Webアプリへの攻撃(SQLi/XSS等)を検知/遮断。 |
IDS/IPSは、ポートスキャンや既知の攻撃通信、マルウェアの不審な通信などを検知します。標的型攻撃の内部活動や外部への不正通信の検知にも役立ち、SOCによる監視と組み合わせて運用されます。誤検知(過検知)の調整(チューニング)が運用上の課題です。