sg sg-security-measures network_security firewall ids ips
まず結論
IDS・IPS・ファイアウォールの違いは、通信に対して何をするかで整理できます。
| 用語 | 役割 |
|---|---|
| ファイアウォール | 通信を許可・拒否する |
| IDS | 不正な通信を検知する |
| IPS | 不正な通信を検知して遮断する |
SG試験では、細かい製品機能よりも、ファイアウォールは制御、IDSは検知、IPSは検知して防御と切り分けることが大切です。
直感的な説明
3つの違いは、建物の警備で考えると分かりやすいです。
| たとえ | セキュリティ用語 |
|---|---|
| 入口で入ってよい人だけ通す門番 | ファイアウォール |
| 怪しい行動を見つけて通報する監視カメラ | IDS |
| 怪しい行動を見つけてその場で止める警備員 | IPS |
ファイアウォールは、あらかじめ決めたルールに基づいて、通信を通すか止めるかを判断します。
IDSは、通信を監視して不審なものを見つけますが、基本的には検知・通知が中心です。
IPSは、IDSのように不審な通信を検知し、さらにその通信を遮断します。
定義・仕組み
ファイアウォール
ファイアウォールは、ネットワークの境界などに設置し、通信を許可・拒否する仕組みです。
たとえば、次のような情報をもとに判断します。
- 送信元IPアドレス
- 宛先IPアドレス
- ポート番号
- プロトコル
- 通信方向
代表的な方式には、パケットフィルタ型、ステートフルインスペクション型、アプリケーションゲートウェイ型などがあります。
ポイントは、あらかじめ決めたルールに基づいて通信を制御することです。
IDS
IDSは、Intrusion Detection System の略です。
日本語では、侵入検知システムと呼ばれます。
IDSは、ネットワークやサーバの通信・挙動を監視し、不正アクセスや攻撃の兆候を検知します。
主な役割は次のとおりです。
- 不審な通信を検知する
- 管理者へ通知する
- ログを記録する
- 攻撃の兆候を把握する
IDSは、基本的には見つけて知らせる仕組みです。
IPS
IPSは、Intrusion Prevention System の略です。
日本語では、侵入防止システムと呼ばれます。
IPSは、不正な通信を検知したうえで、その通信を遮断します。
主な役割は次のとおりです。
- 不審な通信を検知する
- 攻撃通信を遮断する
- 通信をブロックする
- 被害の発生を防ぐ
IPSは、IDSより一歩進んで、見つけて止める仕組みです。
どんな場面で使う?
ファイアウォールを使う場面
ファイアウォールは、ネットワークの入口や境界で通信を制御したい場面で使います。
たとえば、次のような場面です。
- 外部から内部ネットワークへの不要な通信を拒否する
- 公開WebサーバへのHTTPS通信だけを許可する
- 社内ネットワークから外部への通信を制限する
- DMZと内部ネットワークの間の通信を制御する
ファイアウォールは、入れてよい通信・入れてはいけない通信をルールで分ける役割です。
IDSを使う場面
IDSは、通信やサーバの状態を監視し、不正な兆候を把握したい場面で使います。
たとえば、次のような場面です。
- 攻撃の兆候を早く知りたい
- 不審な通信をログに残したい
- インシデント調査に使う情報を集めたい
- 既存の通信を止めずに監視したい
IDSは、検知・通知・記録が中心です。
IPSを使う場面
IPSは、不審な通信を検知したら、すぐに遮断したい場面で使います。
たとえば、次のような場面です。
- 攻撃通信を自動で止めたい
- 脆弱性を狙う通信を遮断したい
- 被害が広がる前に通信をブロックしたい
IPSは、検知だけでなく遮断まで行う点が特徴です。
IDSとIPSの違い
IDSとIPSは名前が似ていますが、試験ではここが重要です。
| 比較項目 | IDS | IPS |
|---|---|---|
| 主な役割 | 検知する | 検知して遮断する |
| 通信への影響 | 基本的に止めない | 攻撃通信を止める |
| 位置づけ | 監視・通知 | 防御・遮断 |
| 試験での表現 | 侵入を検知する | 侵入を防止する |
ざっくり言うと、次のように整理できます。
IDS = 見つける
IPS = 見つけて止める
ファイアウォールとの違い
ファイアウォールとIDS・IPSの違いは、ルールで通信を制御するのか、不正な兆候を検知するのかです。
| 用語 | 判断の中心 | 役割 |
|---|---|---|
| ファイアウォール | 許可・拒否ルール | 通信を制御する |
| IDS | 攻撃パターンや異常 | 不審な通信を検知する |
| IPS | 攻撃パターンや異常 | 不審な通信を検知して遮断する |
ファイアウォールは、たとえば「このポートは許可」「このIPアドレスは拒否」といったルールで制御します。
一方、IDS・IPSは、通信の中に攻撃らしい特徴がないかを監視します。
そのため、SG試験では次のように切り分けると安全です。
- 通信を許可・拒否する → ファイアウォール
- 不正な通信を検知する → IDS
- 不正な通信を検知して遮断する → IPS
よくある誤解・混同
誤解1:IDSは攻撃通信を自動で遮断する
これはIPSと混同しやすいポイントです。
IDSは、基本的には検知・通知が中心です。
攻撃通信を遮断する役割は、IPSの説明として出題されやすいです。
誤解2:IPSは検知だけを行う
これも誤りです。
IPSは、検知に加えて遮断を行います。
「防止」「遮断」「ブロック」という表現があれば、IPSを疑います。
誤解3:ファイアウォールがあればIDS・IPSは不要である
ファイアウォールは重要ですが、万能ではありません。
許可された通信の中に攻撃が含まれる場合、ファイアウォールだけでは気づけないことがあります。
そのため、ファイアウォール、IDS、IPS、WAF、ログ監視などを組み合わせて多層的に守ります。
誤解4:IDS・IPSは通信を暗号化する仕組みである
これは誤りです。
IDS・IPSは、不審な通信を検知したり遮断したりする仕組みです。
通信を暗号化する仕組みではありません。
暗号化はTLSやVPNなどの役割として整理します。
誤解5:WAFとIPSは完全に同じである
WAFは、Webアプリケーションへの攻撃を防ぐための仕組みです。
IPSは、より広くネットワーク上の不正通信を検知・遮断する仕組みとして整理されます。
| 用語 | 主な対象 |
|---|---|
| IPS | ネットワーク上の不正通信全般 |
| WAF | Webアプリケーションへの攻撃 |
SG試験では、Webアプリケーションへの攻撃という表現があれば、WAFを考えます。
試験での判断ポイント
SG試験では、次のキーワードで判断すると選択肢を切りやすいです。
| キーワード | 選びやすい用語 |
|---|---|
| 通信を許可・拒否する | ファイアウォール |
| IPアドレスやポート番号で制御 | パケットフィルタリング |
| 通信状態を見て判断 | ステートフルインスペクション |
| 不正アクセスを検知 | IDS |
| 不正通信を検知して遮断 | IPS |
| Webアプリへの攻撃を防ぐ | WAF |
| 通信を暗号化する | TLS、VPN |
特に、IDSとIPSは次の一言で切り分けます。
- IDS:検知する
- IPS:検知して遮断する
まとめ(試験直前用)
IDS・IPS・ファイアウォールは、どれもセキュリティ対策で使われますが、役割が違います。
試験直前は、次の3点を押さえておきましょう。
-
ファイアウォールは通信を制御する
許可・拒否ルールに基づいて、通信を通すか止める。 -
IDSは検知する
不正な通信や攻撃の兆候を見つけて通知・記録する。 -
IPSは検知して遮断する
不正な通信を見つけ、被害を防ぐためにブロックする。
SG試験では、「制御=ファイアウォール」「検知=IDS」「検知して遮断=IPS」という判断基準で整理すると、選択肢を切り分けやすくなります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】