IDS/IPSとは何ですか？

ネットワークやシステムへの不正アクセスや攻撃を検知（IDS）または自動的に遮断（IPS）するセキュリティシステム。

IDS/IPSのポイントは？

IDS（侵入検知システム）は攻撃を検知して通知するが通信は止めない。IPS（侵入防止システム）は検知した攻撃をリアルタイムに自動遮断する。シグネチャベース（既知パターン）とアノマリベース（通常から外れた挙動）の2方式がある。誤検知（正常通信を攻撃と誤認）と見逃しのバランス調整が運用の核心

【あいでぃーえす・あいぴーえす】

IDS/IPS とは？

💡 侵入を「見張る番人（IDS）」と「即止める衛兵（IPS）」のコンビ

📌 このページのポイント

IDS（侵入検知システム）は攻撃を検知して通知するが通信は止めない
IPS（侵入防止システム）は検知した攻撃をリアルタイムに自動遮断する
シグネチャベース（既知パターン）とアノマリベース（通常から外れた挙動）の2方式がある
誤検知（正常通信を攻撃と誤認）と見逃しのバランス調整が運用の核心

IDS/IPSの配置と違い

ひよこ

IDSとIPSって名前が似てるけど何が違うの？

ペンギン先生

IDSは「不正な通信を発見して警告する」だけで通信を止めない。IPSは「発見したら自動で遮断する」まで行う。監視員と警備員の違いみたいなイメージだよ。

ひよこ

どっちを使えばいいの？

ペンギン先生

IPSのほうが自動対応できて速いけど、誤検知があると正常な通信まで止めてしまうリスクがある。重要な業務システムへの影響が大きい場合は、最初はIDSで監視・チューニングして、安定したらIPSに切り替えるという手順をとることも多いよ。

ひよこ

ファイアウォールとIPS、何が違うの？

ペンギン先生

ファイアウォールは「許可・拒否のルール」で通信を制御するけど、IDSとIPSは通信の「内容・パターン」を分析して攻撃かどうかを判断するんだ。ファイアウォールで許可している通信の中に隠れた攻撃も、IDS/IPSは検知できる場合があるよ。

ひよこ

アノマリベースって何？

ペンギン先生

「通常とは違う行動」を攻撃のサインとして検知する方法だよ。例えば深夜に大量のデータが送信されている、普段アクセスしないサーバへ突然アクセスしているなど、ベースラインから外れた挙動を検知する。新しい攻撃にも対応できる反面、誤検知が多くなりやすい課題があるんだ。

ひよこ

ネットワーク型とホスト型って違うの？

ペンギン先生

NIDS/NIPS（ネットワーク型）はネットワーク上を流れるパケットを監視するもので、HIDS/HIPS（ホスト型）は個々のサーバやPCにインストールしてそのシステム内の動作を監視するものだよ。HIDS/HIPSはログやファイルの変更・プロセスの動作なども監視できるから内部の不審な動作を検知しやすい。NIDSとHIDSを組み合わせた多層防御が理想なんだけど、ログが膨大になるため管理の複雑さとトレードオフになることが多いんだ。

まとめ：ざっくりこれだけ覚えればOK！

IDS/IPSって出てきたら「不正アクセスを検知するIDS・自動遮断するIPSのセキュリティ監視システム」と思えばだいたいOK！

📖 おまけ：英語の意味

「Intrusion Detection System / Intrusion Prevention System」＝侵入検知システム／侵入防止システム

💬 「Intrusion（侵入）」を「Detect（検知）する」か「Prevent（防止）する」かの違いだよ。IDSが「警報を鳴らす」でIPSが「自動で鍵をかける」イメージだね

← 用語集にもどる