Network Security

IDS / IPS

侵入検知システム / 侵入防御システム

Category: Network Security / Updated: 2026-05-26

📖

Overview

IDS(Intrusion Detection System:侵入検知システム)とは、ネットワークやシステムに対する不正なアクセスや攻撃の兆候をリアルタイムで検知し、管理者にアラートを送信するセキュリティシステムです。一方、IPS(Intrusion Prevention System:侵入防御システム)は、IDSの検知機能に加えて、検知した攻撃を自動的にブロック・遮断する能力を持っています。

IDSは「監視カメラ」に例えることができます。不審な動きを検知して警報を鳴らしますが、侵入者を直接止めることはしません。一方、IPSは「自動ロックシステム付きの監視カメラ」であり、不審者を検知すると同時にドアをロックして侵入を防ぎます。

企業のネットワークセキュリティにおいて、IDS/IPSはファイアウォールと並ぶ重要な防御技術です。ファイアウォールがIPアドレスやポート番号に基づく比較的単純なフィルタリングを行うのに対し、IDS/IPSはパケットの中身(ペイロード)まで深く検査することで、より高度な攻撃を検出できます。

近年では、AIや機械学習を活用した次世代IDS/IPSが登場し、従来のシグネチャベースでは検知が困難だったゼロデイ攻撃や高度な標的型攻撃(APT)への対応力が向上しています。また、クラウド環境の普及に伴い、クラウドネイティブなIDS/IPSの需要も急速に拡大しています。

🔬

Details

IDSとIPSの違い

IDSは受動的(パッシブ)な監視システムであり、ネットワーク上のトラフィックのコピーを受け取って分析します。攻撃を検知するとアラートを生成しますが、通信自体を止めることはしません。そのため、ネットワークの通信速度に影響を与えにくいという利点がありますが、検知から対応までにタイムラグが生じます。

IPSは能動的(アクティブ)な防御システムで、ネットワークの通信経路上にインラインで配置されます。すべてのトラフィックがIPSを通過するため、攻撃をリアルタイムで遮断できますが、誤検知(フォルスポジティブ)による正常通信の遮断リスクがあります。

検知方式

  • シグネチャベース検知:既知の攻撃パターン(シグネチャ)をデータベースに登録し、通信内容と照合する方式。検知精度が高いが、未知の攻撃(ゼロデイ攻撃)には対応できない。
  • アノマリベース検知:正常な通信パターンをベースラインとして学習し、そこから逸脱する通信を異常として検知する方式。未知の攻撃を検知できるが、誤検知率が高くなりやすい。
  • ステートフルプロトコル分析:各プロトコルの仕様に基づいて、通信の状態遷移を追跡しながら異常を検知する方式。プロトコルの逸脱を精密に検知できる。
  • ハイブリッド方式:シグネチャベースとアノマリベースを組み合わせて、検知精度と網羅性を両立する方式。多くの現代のIDS/IPS製品はこの方式を採用している。

設置場所による分類

  • NIDS(Network-based IDS):ネットワーク上に設置し、流れるトラフィックを監視する。ネットワーク全体を一元的に監視できるが、暗号化された通信の中身は検査できない。
  • HIDS(Host-based IDS):個々のホスト(サーバーやPC)にインストールし、OSのログやファイルの変更を監視する。暗号化通信の復号後のデータも検査できるが、各ホストへの導入・管理が必要。

主要な製品・ツール

オープンソースの代表的なIDS/IPSとしては、Snort(Cisco Systems が管理)やSuricata(Open Information Security Foundation が開発)があります。商用製品では、Palo Alto Networks の Threat Prevention、Cisco Firepower、Trend Micro TippingPoint などが広く利用されています。

🛡️

Security Measures

  • 01
    シグネチャの定期更新:IDS/IPSのシグネチャデータベースを常に最新の状態に保ち、新たに発見された攻撃パターンに対応できるようにする。自動更新の設定が推奨される。
  • 02
    適切なチューニング:環境に合わせてルールの有効・無効を設定し、誤検知(フォルスポジティブ)と検知漏れ(フォルスネガティブ)のバランスを最適化する。
  • 03
    インライン配置とタップ配置の適切な選択:防御を重視する場合はインライン(IPS)、まず監視から始めたい場合はタップ(IDS)で配置する。段階的にIDSからIPSへ移行する方法もある。
  • 04
    暗号化通信への対応:SSL/TLSで暗号化された通信を検査するために、SSL復号機能を導入する。ただしプライバシーやパフォーマンスへの影響を十分に考慮する。
  • 05
    ログの集中管理と分析:IDS/IPSのアラートログをSIEMと連携して集中管理し、相関分析により攻撃の全体像を把握する。
  • 06
    定期的なルールレビュー:不要になったルールの削除や新たなルールの追加を定期的に行い、検知精度を維持・向上させる。
⚠️

Incidents

📋 ソニー・ピクチャーズへの大規模サイバー攻撃(2014年)

2014年、ソニー・ピクチャーズ・エンタテインメントが大規模なサイバー攻撃を受け、未公開映画や従業員の個人情報が流出しました。この事件では、ネットワーク内部の異常な大量データ転送がIDS/IPSで十分に監視・検知されていなかったことが被害拡大の一因とされています。内部ネットワークの監視体制の重要性が改めて認識されました。

📋 Equifax個人情報流出事件(2017年)

米国の信用情報大手Equifaxが約1億4,700万人分の個人情報流出を発表しました。この事件では、Apache Strutsの既知の脆弱性が悪用されましたが、IDS/IPSのシグネチャが更新されていれば検知できた可能性がある攻撃でした。SSL証明書の期限切れにより、暗号化通信の検査が約19か月間停止していたことも判明し、運用管理の不備が浮き彫りになりました。

📋 SolarWinds サプライチェーン攻撃(2020年)

SolarWinds社のネットワーク管理ソフトウェア「Orion」にバックドアが仕込まれ、米国政府機関を含む約18,000の組織が影響を受けました。この攻撃は正規のソフトウェアアップデートを悪用しており、従来のシグネチャベースのIDS/IPSでは検知が極めて困難でした。この事件を契機に、アノマリベースの検知や振る舞い分析の重要性が再認識されました。

🔗

Related Terms

ファイアウォール UTM(統合脅威管理) ネットワークセグメンテーション パケットフィルタリング