IDS・IPSとは?仕組みや違い、導入時の選び方まで解説
「IDS・IPSって何が違うの?」「ファイアウォールだけでは不十分なの?」
自社のセキュリティ対策を見直す中で、こうした疑問を感じている方は多いのではないでしょうか。サイバー攻撃は年々巧妙になっており、従来の防御策だけでは守りきれない場面が増えています。
IDS・IPSは、ファイアウォールだけでは防ぎきれないサイバー攻撃に対して、通信の中身を検査し、不正を検知・遮断するための重要なセキュリティ対策です。
この記事では、IDS・IPSの基本的な仕組みや両者の違い、種類ごとの特徴までまとめて解説します。
目次
[ 開く ]
[ 閉じる ]
- IDS・IPSとは?
- IDSとIPSの違いは?機能差と使い分けの基準
- IDSは「検知・通知」、IPSは「検知+自動遮断」
- リアルタイム遮断が必要ならIPS、ログ分析中心ならIDS
- 24時間監視体制があればIDS、なければIPSで自動遮断
- 通信遅延を許容できないシステムではIDSが有利
- IDS/IPSの種類
- ネットワーク型(NIDS/NIPS)
- ホスト型(HIDS/HIPS)
- クラウド型
- シグネチャ型とアノマリ型
- IDS/IPSとファイアウォール・WAFの違い
- IDS/IPSとファイアウォールの違い
- IDS/IPSとWAFの違い
- IDS/IPSで防げる攻撃・防げない攻撃
- IDS/IPSで検知・防御できる主な攻撃
- IDS/IPSでは防げない攻撃
- IDS/IPS導入時の選び方
- 1.導入形態(ネットワーク型・ホスト型・クラウド型)
- 2.サポート体制と運用負荷
- 3.導入・運用コスト
- 4.IDS/IPS以外のセキュリティ機能の有無
- まとめ
IDS・IPSとは?
IDS(Intrusion Detection System)は、日本語で「不正侵入検知システム」と呼ばれています。ネットワーク上を流れる通信データを監視し、不正なアクセスや攻撃の兆候を見つけると、メールやアラームで管理者に通知する仕組みです。総務省の解説でも、IDSは「不正なアクセスが発見された場合に、管理者に連絡する機能を持つシステム」とされています。
一方のIPS(Intrusion Prevention System)は「不正侵入防御システム」です。IDSの検知機能に加えて、不正な通信を自動的に遮断する機能を備えています。たとえるなら、IDSは「火災報知器」のように異常を知らせる役割、IPSは「スプリンクラー」のように検知と同時に消火まで行う役割と考えるとわかりやすいでしょう。
ファイアウォールは通信の「宛先」で許可・拒否を判断しますが、IDS/IPSは通信の「中身」を検査して不正を見抜きます。そのため、正規の通信ポートを経由する巧妙な攻撃に対しても検知・防御が期待できるのが特徴です。
IDSとIPSの違いは?機能差と使い分けの基準
IDS・IPSは似た名前ですが、役割には明確な違いがあります。自社に合った方を選ぶには、機能の差だけでなく運用体制やシステム環境まで考慮する必要があります。ここでは、以下の4つの観点から使い分けの基準を整理します。
- IDSとIPSの機能の違い
- リアルタイム遮断の要否
- 監視体制の有無
- 通信遅延の許容範囲
IDSは「検知・通知」、IPSは「検知+自動遮断」
IDSは、不正な通信を検知すると管理者に通知しますが、通信そのものを止める機能はありません。あくまで「異常を知らせる」ことが目的で、実際の遮断や対処は人の手で行う必要があります。
IPSはIDSの機能に加えて、検知した不正通信をリアルタイムで自動遮断できるのが大きな違いです。ただし、誤検知が発生した場合には正常な通信まで止めてしまうリスクがあります。IDS/IPSのNIST(米国国立標準技術研究所)ガイドラインでも、IPSは管理者の判断によりIDS(検知のみ)として運用することも可能とされています。
| 比較項目 | IDS | IPS |
|---|---|---|
| 主な機能 | 不正通信の検知・通知 | 検知+自動遮断 |
| 不正通信への対処 | 管理者が手動で対処 | システムが自動で遮断 |
| 誤検知時のリスク | 低い(通信は止まらない) | 正常な通信も遮断される可能性 |
| 配置方式 | ミラーリング(通信経路の外) | インライン(通信経路上) |
リアルタイム遮断が必要ならIPS、ログ分析中心ならIDS
どちらを選ぶかの判断で最も重要なのは、「攻撃を受けた瞬間に自動で止める必要があるかどうか」です。たとえばECサイトや金融系のシステムでは、不正アクセスが数秒続くだけでも顧客情報の漏えいや金銭被害につながりかねません。こうした環境では、IPSによるリアルタイム遮断が適しています。
一方、社内の検証環境やログ分析が主目的の場合は、通信を止めずに記録だけ取るIDSで十分なケースもあります。まずは「即時に止めなければいけない通信があるか」を基準に考えましょう。
24時間監視体制があればIDS、なければIPSで自動遮断
IDSを運用するには、通知を受けてから人が判断・対処するフローが必要です。SOC(セキュリティオペレーションセンター)や専任のセキュリティ担当者が常駐していれば、IDSで検知→人が判断→必要に応じて遮断、という運用が成り立ちます。
しかし、監視体制が手薄な組織では、アラートが出ても対応が遅れてしまい被害が拡大するリスクがあります。そうした場合はIPSの自動遮断に頼る方が現実的です。IPAの手引書でもSOCの運用体制が導入判断の重要な要素として触れられています。
通信遅延を許容できないシステムではIDSが有利
IPSは通信経路の途中(インライン)に配置するため、すべてのパケットがIPSを通過します。この仕組み上、わずかながら通信の遅延が発生する可能性があります。リアルタイム性が要求される取引システムや、高スループットが求められる環境では、この遅延が問題になることもあります。
IDSはミラーリング方式(通信のコピーを受け取って検査する)で動作するため、通信経路に影響を与えません。パフォーマンス要件が厳しいシステムでは、IDSの方が適している場合があります。
IDS/IPSの種類
IDS/IPSは「どこに設置するか」と「どうやって不正を見つけるか」によって、いくつかの種類に分かれます。自社のシステム構成に合ったものを選ぶために、それぞれの特徴を押さえておきましょう。
- ネットワーク型(NIDS/NIPS)
- ホスト型(HIDS/HIPS)
- クラウド型
- シグネチャ型とアノマリ型(検知方式の違い)
ネットワーク型(NIDS/NIPS)
ネットワーク型は、社内ネットワークの通信経路上に設置して、流れるパケットを監視するタイプです。1台で広い範囲のネットワークをまとめて監視できるため、導入効率が高いのが特徴です。NISTのIDPSガイドでも、ネットワークベースIDPSはDDoS攻撃やマルウェア通信など、異常なトラフィックパターンの検知に有効とされています。
ただし、暗号化された通信(HTTPS等)の中身は検査できないという弱点があります。暗号化通信が主流になっている環境では、SSL復号機能を持つ製品と組み合わせるか、ホスト型との併用を検討する必要があります。
ホスト型(HIDS/HIPS)
ホスト型は、個々のサーバーやPCにソフトウェアとしてインストールし、そのマシン上のOS・ファイルの変更やアクセスログを監視するタイプです。ネットワーク型では見つけにくい内部不正やファイル改ざんの検知に強く、暗号化通信も復号された後の状態で検査できます。
一方で、監視対象の端末1台ごとに導入が必要なため、台数が多い環境では導入・管理の負荷が大きくなります。サーバー台数が限られている環境や、特に重要なサーバーだけを重点的に守りたい場合に向いています。
クラウド型
クラウド型は、IDS/IPSの機能をベンダーがクラウドサービスとして提供する方式です。自社で専用機器を購入・設置する必要がないため、初期コストを抑えて導入できるメリットがあります。
機器のメンテナンスやシグネチャの更新もベンダー側が行うケースが多く、セキュリティ専任者がいない中小企業や、複数拠点に分散したネットワーク環境でも比較的導入しやすいのが特徴です。ただし、月額利用料が発生するため、長期的に見たトータルコストはオンプレミス型と比較して検討する必要があります。
シグネチャ型とアノマリ型
IDS/IPSが不正通信を見分ける方法(検知方式)には、大きく「シグネチャ型」と「アノマリ型」の2種類があります。
シグネチャ型は、既知の攻撃パターンをデータベースに登録しておき、通信がそのパターンに一致するかどうかで判定する方式です。検知精度は高いものの、データベースに登録されていない未知の攻撃には対応できません。
アノマリ型は、「正常な通信パターン」をあらかじめ学習しておき、そこから大きく逸脱する通信を不正と判断する方式です。NISTのガイドでも、正常な挙動のプロファイルと比較して重大な逸脱を特定する手法と説明されています。未知の攻撃にも対応できる反面、正常な通信を誤って不正と判定してしまう(誤検知)リスクが高くなります。
実際の運用では、シグネチャ型をベースにしつつアノマリ型を補完的に組み合わせるケースが一般的です。
| 比較項目 | シグネチャ型 | アノマリ型 |
|---|---|---|
| 検知の仕組み | 既知の攻撃パターンと照合 | 正常パターンからの逸脱を検知 |
| 既知の攻撃への対応 | 高い精度で検知 | 検知可能だが精度はやや低い |
| 未知の攻撃への対応 | 対応できない | 対応可能 |
| 誤検知の頻度 | 低い | 高くなりやすい |
IDS/IPSとファイアウォール・WAFの違い
IDS/IPSの導入を検討する際、「すでにファイアウォールを入れているのに、IDS/IPSも必要なのか?」「WAFとの違いがわからない」と感じる方は少なくありません。それぞれの守備範囲を理解することで、なぜ併用が重要なのかが見えてきます。
- IDS/IPSとファイアウォールの違い
- IDS/IPSとWAFの違い
IDS/IPSとファイアウォールの違い
ファイアウォールは、通信の「送信元」と「宛先」(IPアドレスやポート番号)の情報をもとに、パケットを通すか通さないかを判断する仕組みです。総務省でも、ファイアウォールは「通信の送信元とあて先の情報を見て判断しており、通信の内容は見ていない」と説明されています。
一方、IDS/IPSはパケットの中身(ペイロード)まで検査するため、正規の通信ポートを経由する攻撃も検知できます。たとえば、80番ポート(HTTP)を使って送り込まれる不正な通信は、ファイアウォールでは「許可されたポートの通信」として素通りしてしまいます。こうしたケースこそ、IDS/IPSの出番です。
IDS/IPSとWAFの違い
WAF(Web Application Firewall)は、Webアプリケーション層の通信に特化した防御製品です。総務省の用語集では、WAFは「Webアプリケーションに対して行われる外部との通信を監視し、脆弱性への攻撃や情報の窃取を防御するファイアウォール」と定義されています。具体的には、SQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリ特有の攻撃を防ぐのがWAFの役割です。
IDS/IPSはネットワーク層・OS層を中心に、DoS攻撃やバッファオーバーフローといった攻撃の検知・防御を担います。WAFとIDS/IPSでは守備範囲が異なるため、ファイアウォール・IDS/IPS・WAFの3つを組み合わせた「多層防御」の考え方が重要です。
| 製品 | 主な守備範囲 | 防御できる攻撃の例 |
|---|---|---|
| ファイアウォール | ネットワーク層(L3/L4) | 不正なIPアドレス・ポートからのアクセス |
| IDS/IPS | ネットワーク〜OS層(L3〜L7の一部) | DoS/DDoS、SYNフラッド、バッファオーバーフロー |
| WAF | Webアプリケーション層(L7) | SQLインジェクション、XSS、OSコマンドインジェクション |
IDS/IPSで防げる攻撃・防げない攻撃
IDS/IPSは万能ではなく、得意な攻撃と苦手な攻撃があります。導入前に「何を守れて、何は別の対策が必要なのか」を把握しておくことが大切です。
- IDS/IPSで検知・防御できる主な攻撃
- IDS/IPSでは防げない攻撃
IDS/IPSで検知・防御できる主な攻撃
IDS/IPSが得意とするのは、ネットワーク層やOS層を狙った攻撃です。IPAの「情報セキュリティ10大脅威2025」でも、DDoS攻撃は組織向け脅威の8位にランクインしており、IDS/IPSで検知・防御しやすい攻撃の代表例です。代表的な攻撃を以下の表にまとめました。
| 攻撃の種類 | 概要 | IDS/IPSでの検知方法 |
|---|---|---|
| DoS/DDoS攻撃 | 大量のリクエストを送りつけ、サーバーやサービスを停止させる | 異常なトラフィック量の増加を検知して遮断 |
| SYNフラッド攻撃 | TCP接続の仕組み(3ウェイハンドシェイク)を悪用し、接続要求だけを大量に送ってサーバーのリソースを枯渇させる | 未完了のTCP接続の異常な増加をシグネチャで検知 |
| バッファオーバーフロー攻撃 | ソフトウェアが確保したメモリ領域を超えるデータを送り込み、不正なコードを実行させる | 既知の脆弱性を突くパターンをシグネチャで検知 |
| マルウェアの不正通信 | 感染したマルウェアが外部のC&Cサーバーと行う通信 | 既知のマルウェア通信パターンをシグネチャで検知 |
いずれもネットワーク上のパケットを検査することで検知可能な攻撃であり、シグネチャ型の検知方式が有効に機能します。
IDS/IPSでは防げない攻撃
IDS/IPSでは防ぎにくい攻撃もあります。代表的なのが、Webアプリケーションの脆弱性を突く攻撃です。これらはWebアプリケーション層(L7)の攻撃であり、WAFの守備範囲になります。
| 攻撃の種類 | 概要 | 有効な対策製品 |
|---|---|---|
| SQLインジェクション | Webサイトの入力フォームなどに不正なSQL文を送り込み、データベースを不正に操作する | WAF |
| クロスサイトスクリプティング(XSS) | Webページに悪意あるスクリプトを埋め込み、閲覧者のブラウザ上で不正な処理を実行させる | WAF |
| OSコマンドインジェクション | Webアプリケーション経由でサーバーのOSコマンドを不正に実行させる | WAF |
IDS/IPSだけに頼らず、WAFやEDR(エンドポイント検知・対応)などを組み合わせることで、ネットワーク層からアプリケーション層まで隙間なくカバーする体制を整えることが重要です。
IDS/IPS導入時の選び方
IDS/IPSの製品は多岐にわたるため、「何を基準に選べばよいかわからない」と感じる方も多いでしょう。ここでは、導入時に比較すべき4つのポイントを解説します。
- 導入形態(ネットワーク型・ホスト型・クラウド型)
- サポート体制と運用負荷
- 導入・運用コスト
- IDS/IPS以外のセキュリティ機能の有無
1.導入形態(ネットワーク型・ホスト型・クラウド型)
まず検討すべきは、自社のネットワーク構成に合った導入形態の選択です。社内にサーバールームがあり、集中管理が可能な環境ではネットワーク型やホスト型が選択肢になります。一方で、複数の拠点に分散している環境や、セキュリティ専任者がいない組織では、管理をベンダーに任せられるクラウド型が現実的です。
また、オンプレミスかクラウドかによって初期費用と運用負荷が大きく異なります。導入形態の選定は後工程のすべてに影響するため、最初にしっかり検討しましょう。
2.サポート体制と運用負荷
IDS/IPSは導入して終わりではなく、継続的な運用が必要な製品です。シグネチャ(攻撃パターンのデータベース)は新しい脅威が出るたびに更新が必要ですし、誤検知が発生したときのチューニングも欠かせません。
ベンダーがシグネチャの更新やチューニング対応をどこまで担ってくれるかは、製品選定の重要な判断材料です。IPAの手引書でも、SOC運用を自社で行うか外部に委託するかの判断が重要なポイントとして挙げられています。マネージドセキュリティサービス(MSS)を利用すれば、専門チームに運用を任せることも可能です。
3.導入・運用コスト
コストを比較する際は、「初期費用」と「ランニングコスト」に分けて考えることが大切です。オンプレミス型では機器の購入費や設定費がかかりますが、月額費用は比較的低く抑えられる傾向があります。クラウド型は初期費用が低い反面、月額利用料が継続的に発生するため、3年〜5年のトータルコストで比較するのがおすすめです。
あわせて、運用に必要な人件費(監視担当者のコスト、外部委託費など)も含めた「総所有コスト(TCO)」で判断すると、導入後に想定外の出費が発生するリスクを減らせます。
4.IDS/IPS以外のセキュリティ機能の有無
最近では、IDS/IPS機能だけを単体で提供する製品に加えて、ファイアウォール・WAF・アンチウイルスなどを一体化したUTM(統合脅威管理)製品も増えています。すでにファイアウォールやWAFを導入済みの環境では機能が重複する可能性がありますし、逆に何も入っていない状況なら、UTMで一括導入する方がコストや管理の面で効率的な場合もあります。
既存のセキュリティ環境との重複・連携を確認したうえで、過不足のない構成を選ぶことがポイントです。
まとめ
IDS・IPSは、ファイアウォールだけでは防ぎきれないサイバー攻撃に対して、通信の中身を検査し、不正を検知・遮断するための重要なセキュリティ対策です。IDSは検知・通知に特化し、IPSは自動遮断まで行う点が最大の違いで、自社の監視体制やシステム要件に合わせた選択が求められます。
また、IDS/IPSだけですべての攻撃を防げるわけではないため、ファイアウォール・WAF・EDRなどと組み合わせた多層防御の考え方が欠かせません。導入形態やサポート体制、トータルコストを比較しながら、自社の環境に合った製品を選定していきましょう。
GMOインターネットグループでは、パスワードの漏洩やWebの侵入リスクなどを無料で診断できるサービス「GMO セキュリティ24」を提供しています。また、ネット利用に関するご不安にも無料でお答えしていますので、お気軽にご相談ください。
文責:GMOインターネットグループ株式会社
