sg sg-security-measures network_security monitoring incident_response
まず結論
IDSとIPSの違いは、不正な通信を「検知するだけ」か、「検知して遮断する」かです。
- IDS:不正な通信や攻撃の兆候を検知し、管理者へ通知する
- IPS:不正な通信や攻撃の兆候を検知し、通信を遮断する
SG試験では、次のように切り分けると判断しやすいです。
| 用語 | 判断ポイント |
|---|---|
| IDS | 検知する、通知する、監視する |
| IPS | 検知して遮断する、防御する、通信を止める |
つまり、IDSは見つける仕組み、IPSは見つけて止める仕組みです。
直感的な説明
IDSは、防犯カメラのようなイメージです。
不審な動きを見つけて、管理者に知らせます。
ただし、IDS自身が相手を止めるわけではありません。
一方、IPSは、入退室ゲートのようなイメージです。
不審な動きを見つけたら、その場で通行を止めます。
| たとえ | セキュリティ機器 |
|---|---|
| 防犯カメラ | IDS |
| 止めるゲート | IPS |
このように、IDSは気づく、IPSは止めると考えると分かりやすいです。
定義・仕組み
IDSとは
IDS(Intrusion Detection System)は、侵入検知システムと呼ばれます。
ネットワークやサーバ上の通信・動作を監視し、不正アクセスや攻撃の兆候を検知する仕組みです。
IDSの主な役割は、次のとおりです。
- 不審な通信を検知する
- 攻撃パターンに一致する通信を見つける
- 管理者へアラートを出す
- ログを残して調査に使えるようにする
IDSは、基本的には検知と通知が中心です。
攻撃を直接止める役割ではありません。
IPSとは
IPS(Intrusion Prevention System)は、侵入防止システムと呼ばれます。
IDSのように攻撃の兆候を検知するだけでなく、不正と判断した通信を遮断します。
IPSの主な役割は、次のとおりです。
- 不審な通信を検知する
- 攻撃パターンに一致する通信を見つける
- 不正な通信を遮断する
- 被害が発生する前に防御する
IPSは、検知に加えて防御まで行う点が重要です。
SG試験では、IDSとの違いとして「遮断するかどうか」を意識すると判断しやすいです。
どんな場面で使う?
IDSが使われる場面
IDSは、通信や攻撃の兆候を監視し、異常に気づきたい場面で使われます。
たとえば、次のような場面です。
- 外部から不審な通信が来ていないか確認したい
- サーバへの攻撃の兆候を見つけたい
- 攻撃を検知した記録を残したい
- 誤検知による業務停止を避けたい
IDSは通信を止めないため、業務への影響は比較的小さいです。
ただし、検知後の対応は管理者やSOCなどが行う必要があります。
IPSが使われる場面
IPSは、不正な通信を早く止めたい場面で使われます。
たとえば、次のような場面です。
- 攻撃通信を自動的に遮断したい
- 脆弱性を狙う通信を止めたい
- マルウェア感染につながる通信を防ぎたい
- 外部からの攻撃をリアルタイムに防御したい
IPSは攻撃を止められる点が強みです。
一方で、正常な通信を誤って遮断すると、業務に影響する可能性があります。
そのため、検知ルールの調整や運用管理が重要です。
よくある誤解・混同
誤解1:IDSとIPSは同じである
IDSとIPSは似ていますが、役割が違います。
| 観点 | IDS | IPS |
|---|---|---|
| 主な役割 | 検知・通知 | 検知・遮断 |
| 通信を止めるか | 止めない | 止める |
| 試験でのキーワード | 監視、検知、アラート | 防止、遮断、ブロック |
SG試験では、遮断するならIPS、通知だけならIDSと判断します。
誤解2:IPSがあればファイアウォールは不要である
これは違います。
ファイアウォールとIPSは、どちらも通信制御に関係しますが、見ているポイントが異なります。
| 用語 | 主な役割 |
|---|---|
| ファイアウォール | IPアドレス、ポート番号、プロトコルなどの条件で通信を許可・拒否する |
| IPS | 攻撃パターンや不審な通信を検知し、遮断する |
ファイアウォールは、通信の入口で「通してよい通信か」をルールで判断します。
IPSは、通信の中身や攻撃らしさを見て、不正な通信を止めます。
どちらか一方ではなく、組み合わせて使うことが多いです。
誤解3:IDSは役に立たない
IDSは通信を止めないため、IPSより弱く見えるかもしれません。
しかし、IDSには重要な役割があります。
- 攻撃の兆候を早く知る
- 調査に使うログを残す
- 誤検知による通信遮断を避ける
- 監視や分析に使う
特に、業務停止のリスクを避けたい環境では、IDSによる監視が有効な場合があります。
IDSは「止めないから不要」ではなく、監視と気づきのための仕組みです。
誤解4:IDS/IPSとSIEMは同じである
IDS/IPSとSIEMは、どちらもセキュリティ監視に関係しますが、役割が異なります。
| 用語 | 見分け方 |
|---|---|
| IDS | 不正通信を検知する |
| IPS | 不正通信を検知して遮断する |
| SIEM | 複数のログを集約・分析して異常を検知する |
IDS/IPSは、主に通信や攻撃パターンを見ます。
SIEMは、サーバ、ネットワーク機器、アプリケーションなどのログを集約し、複数の情報を組み合わせて異常を見つけます。
試験では、通信の検知・遮断ならIDS/IPS、ログの集約・相関分析ならSIEMと切り分けます。
SG試験での判断ポイント
SG試験では、選択肢の動詞に注目すると判断しやすいです。
IDSを選ぶキーワード
次のような表現があれば、IDSに近いです。
- 不正な通信を検知する
- 攻撃の兆候を監視する
- 管理者に通知する
- アラートを出す
- 侵入を検知する
IDSは、検知して知らせることが中心です。
IPSを選ぶキーワード
次のような表現があれば、IPSに近いです。
- 不正な通信を遮断する
- 攻撃通信をブロックする
- 侵入を防止する
- 検知した通信を止める
- 被害が出る前に防御する
IPSは、検知して止めることが中心です。
関連用語との切り分け
IDSとIPSは、ファイアウォール、SIEM、SOCと一緒に整理すると分かりやすくなります。
| 用語 | 見分け方 |
|---|---|
| ファイアウォール | 通信の許可・拒否をルールで制御する |
| IDS | 不正通信を検知して通知する |
| IPS | 不正通信を検知して遮断する |
| SIEM | 複数ログを集約・分析して異常を検知する |
| SOC | SIEMなどを使って監視する組織 |
流れで見ると、次のようになります。
- ファイアウォールで通信を制御する
- IDSで不審な通信を検知する
- IPSで不正な通信を遮断する
- SIEMでログを集約・分析する
- SOCが監視し、必要に応じて対応へつなげる
この流れで覚えると、用語同士の役割が整理しやすくなります。
まとめ(試験直前用)
試験直前は、次の3点だけ押さえておきましょう。
- IDSは、不正な通信や攻撃の兆候を検知して通知する仕組み
- IPSは、不正な通信や攻撃の兆候を検知して遮断する仕組み
- 判断に迷ったら、通知ならIDS、遮断ならIPS
IDSは「見つける」、IPSは「見つけて止める」。
この違いを押さえると、SG試験の選択肢を切り分けやすくなります。