IDSとIPSの違いは何か?例えも交えてやさしく解説

IDSとIPSとは

IDSとIPSの違いのイメージ画像

サイバー攻撃への備えを考える中で、IDSIPSというシステムを耳にすることがあります。
IDS“Intrusion Detection System"の略で、直訳すると「侵入検知システム」となります。
IDSは、悪意のあるネットワークトラフィックを検知し、既知のサイバー攻撃のデータベースとの比較を行います。そして、既知のサイバー攻撃と一致する傾向がある場合、IDSは疑わしいトラフィックに攻撃である可能性が高いというフラグやマークを付けます。

一方IPS“Intrusion Prevention System"の略で、直訳すれば「侵入防止システム」となります。
IPSもIDSと同じように、ネットワークトラフィックの中身を見て、既知のサイバー攻撃に一致するトラフィックがないかを調べます。そして、既知のサイバー攻撃と一致するアクセスがある場合、IPSはそのアクセスを防いだり、一時的にアクセスを受け付けないようにします。

このように、IDSとIPSは名前も機能も似たシステムですが、両者の違いはどこにあるのでしょうか?
両者の違いは、基本情報技術者試験や応用情報技術者試験などの情報技術者試験でも出題されています。

今回はIDSとIPSの違いを解説していきます。

IDSとIPSの違いは何か?

IDSとIPSの最も大きな違いはIDSがサイバー攻撃と思わしきアクセスであっても検知するだけにとどまるのに対して、IPSは既知のサイバー攻撃に一致するアクセスは拒否したりするなど、何らかのアクションを起こすという点です。
つまり、IDSは監視システムですが、IPSは制御システムであるということが両者の違いであると言えましょう。
そのため、IPSは自動的に攻撃へのアクションを行ってくれますが、IDSのほうは人間が怪しいトラフィックを確認し、どのような対処をするかを考えなければいけません。

IDSとIPSのそれぞれの使い方

このようにしてみると、IPSがあればIDSは必要ないように見えますが、実際にはそうではありません。
IDSとIPSのどちらを選ぶかは、その目的や状況によって異なります。

例えば、トラフィックを人の流れに置き換えて考えてみましょう。
IDSもIPSも、仕組みとしてはそれぞれ怪しい人物のリストを持ち、行きかう人がそのリスト内の人物でないかどうかをチェックしていきます。

IPSを人の検知で例えた画像
おたずねものがありきたりな顔をしていたら、すべての人が怪しく見えてくる。

もしお店にIPSが導入されていれば、怪しい人物のリストに合致する人がお店を訪れた時、その人の来店を拒否したり、一時的にお店に誰も入れないようなアクションをとります。
しかし、怪しい人物のリストの中に、ありきたりな人相の人がいれば、誤検知をする可能性があります。そのたびに、誤って来店を拒否したお客さんとトラブルを起こしたり、お店が閉まったりしまうのはなかなか面倒な状況です。
国宝の保管庫や入国審査など、少しでも疑わしい人物は拒否したほうがよい場所で人の監視をする場合はこれでもよいのですが、市中のファミレスやコンビニなどでいちいち厳重なチェックをしていると、業務に支障がでてしまいます。

このように、IPSは自動的にサイバー攻撃へのアクションをとってくれるのが特徴であるものの、必ずしもそれが有益であるとは限りません。
そのため、トラフィックは監視するものの、必要な時にだけアクションを採るためにIDSを導入したほうが有益であることもあります。

トラフィックを監視するネットワークの重要度を考え、IDSとIPSのどちらのシステムを導入したほうがよいのかを検討することが大切です。

参考