IDS / IPS とは

IDS (Intrusion Detection System)は、ネットワークやシステム上での不正アクセスや異常な挙動を検出し、それを管理者に通知するセキュリティシステムです。つまり、ネットワークの監視と異常時の通知を役割としています。異常を検出した後に対処方法を判断するのはIDSを管理する人に任されています。
IPS (Intrusion Prevention System)は、IDSの機能を拡張したシステムで、不正アクセスや異常な挙動を検出したあと、自動的に通信を遮断する機能があります。そのため、セキュリティを強化することができます。ただし、IDSよりも高機能なため、費用も高額になります。
IDS / IPS はサーバーにソフトウェアとして組み込む場合もありますし、専用ハードウェアとして設置する場合もあります。

目的と機能

• IDSの目的と機能:
  IDSの主な目的は、ネットワーク上の異常なトラフィックや不正なアクセスを検出し、セキュリティの脅威を早期に発見し、管理者に通知することです。このシステムはトラフィックの監視とログの記録を行い、異常検知アルゴリズムを使用して不審な通信パターンを識別し、管理者にメールなどで通知するシステムを備えています。
• IPSの目的と機能:
  IPSの主な目的は、IDSによる監視機能を基盤としつつ、検出した異常な挙動に対して即座に自動的な対策を講じ、侵入や攻撃、情報漏えいなどを阻止することです。

主な違い

• 動作の違い:
  IDSは異常を検出し、通知を出すだけで、実際の対応は管理者が行う必要があります。一方、IPSは異常を検出すると自動的に対応を実行し、不正な通信や攻撃をコントロール(遮断)します。
• 設置場所の違い:
  IDSはネットワークのトラフィックをミラーリングして監視します。つまり、ネットワークに並列に設置します。一方、IPSはインシデント発生時にネットワークのトラフィックをコントロール(遮断)する必要があるため、社内ネットワークと外部ネットワークの間に設置され、全てのデータフローを直接的に処理します。つまり、ネットワークに直列に設置します。そのため、IPSには高いデータ処理性能が求められます。
• パフォーマンスへの影響:
  設置場所の違いから、IDSはネットワークのパフォーマンスに影響を及ぼす可能性は低いです。特に、専用ハードウェアを設置した場合はネットワークのパフォーマンスに影響が出ることはありません。一方で、IPSはリアルタイムでのデータ処理が必要なため、ネットワークに大量のデータが流れる場合は、IPSの処理が追い付かず、遅延が発生する可能性があります。例えば資料のダウンロードに時間がかかる、SaaSアプリの動作が遅くなるなど、社員の業務効率に影響が及ぶ可能性があります。導入に際しては専門家に相談するなどの注意が必要です。

IDS / IPSが対象とする企業

IDS / IPSは、高度なセキュリティ対策が必要な環境において、不正アクセスやサイバー攻撃から重要なデータを保護するために導入されるため、大企業や金融機関、政府機関などの大規模組織で使われることが多くあります。

中小企業でも IDS / IPS を導入することが望ましいですが、実際に導入するにはいくつかの課題があります。まず、これらのシステムは高額な初期投資が必要であり、さらに維持するためにも継続的なコストが発生します。また、IDS / IPSを効果的に管理・運用するためには専門的な知識が必要で、これには専任のITセキュリティスタッフが必要になります。これらの理由から、中小企業にとって総合的に負担が大きすぎ、IDS / IPSの導入が適さないことがあります。