IPSとは？不正侵入を検知して遮断する仕組み【SG試験】

まず結論

IPSとは、不正な通信や攻撃を検知し、その場で自動的に遮断する仕組みであり、SG試験では「検知だけか遮断までか」を見極めることが重要。

このページで切り分けること（先にここだけ）

このページは、IPSの役割（検知＋遮断）を中心に整理します。

IDS：不正を検知して通知する
IPS：不正を検知し、通信を遮断する
ファイアウォール：通信条件で通す／止める

迷ったら、 「通知だけか、遮断まで行うか」 を見ます。遮断まで実施するならIPSです。

SG試験で選択肢を切る判断軸（IPS編）

「異常を検知してアラート通知する」 → IDSの説明
「攻撃通信を自動的に遮断する」 → IPSの説明
「IP・ポートの静的ルール中心で許可／拒否する」 → ファイアウォールの説明

直感的な説明

ネットワークの入口にいる「警備員＋即対応チーム」のイメージです。
不審な動きを見つけたら、その場で止めます。

例えば：

明らかに攻撃っぽい通信 → 即ブロック
不正なパターンの通信 → 通過させない

ファイアーウォールよりも「中身を見て判断する」点が特徴です。

定義・仕組み

IPS（Intrusion Prevention System）は、ネットワーク上の通信を監視し、不正侵入や攻撃を検知して自動的に遮断する仕組みです。

主な役割

不正アクセスの検知
攻撃のリアルタイム遮断
被害の拡大防止

仕組みのポイント

IPSは通信内容を分析して判断します：

シグネチャ型
→ 既知の攻撃パターンと一致するか確認
アノマリ（異常検知）型
→ 通常と異なる動きを検知

配置のイメージ

ネットワークの途中（インライン）に設置
→ 通信経路上で直接ブロックできる

どんな場面で使う？

使うべき場面

外部からの攻撃をリアルタイムで防ぎたい場合
ファイアーウォールだけでは不十分な場合
社内システムを積極的に防御したい場合

使うと誤解しやすい場面

単純な通信制御だけで十分な場合
→ ファイアーウォールの方が適切

理由：

IPSは高度な分析を行うため、負荷や誤検知のリスクがある

導入・運用の判断軸（SG試験で問われやすい）

24時間で即時遮断したいか（夜間・休日の初動が必要か）
誤検知時の業務影響を許容できるか（正規通信の遮断リスク）
まずは検知中心で始めるか（IDS中心）／遮断まで行うか（IPS中心）

よくある誤解・混同

❌ よくある誤解

IPSとIDSは同じ
ファイアーウォールと同じ役割

⭕ 正しい理解

IDS：検知だけ（通知）
IPS：検知＋遮断（自動防御）
ファイアーウォール：条件で通信を制御
IPS：内容を分析して攻撃を防ぐ

混同を防ぐ切り分け軸

目的：FWは通過条件の制御、IDS/IPSは不正挙動の検知
動作：IDSは通知、IPSは遮断まで実施
配置：IPSは通信経路上（インライン）で止める設計が前提

SG試験でのひっかけポイント

「不正侵入を検知して管理者に通知」
→ IDS（遮断しない）
「不正通信を自動的に遮断」
→ IPS
「ポートやIPで通信を制御」
→ ファイアーウォール

SG試験では
「検知のみか」「遮断まで行うか」
を見分けることが最重要です。

確認問題（SG試験対策）

IPSについての説明として、次のうち、最も適切なものはどれか。

ア. IDSは不正通信を検知したら自動遮断まで行い、IPSは検知結果を管理者に通知する。\
イ. IPSは不正通信を検知した際、その通信をその場で遮断できる。\
ウ. パケットフィルタリングは通信内容を詳細に解析して攻撃パターンを特定し、侵入後の端末を隔離する。\
エ. WAFはネットワーク層の全通信を対象に、既知シグネチャを用いて自動遮断する。

答えと解説を見る

正解：イ

解説

A：誤り。IDSは基本的に「検知・通知」が中心で、遮断まで行うのは通常IPSです。
B：正しい。IPSは不正通信を検知し、リアルタイムで遮断して被害拡大を防ぎます。
C：誤り。パケットフィルタリングは主に条件に基づく通過/拒否であり、侵入後隔離の説明としては不適切です。
D：誤り。WAFは主にWebアプリ向け（HTTP/HTTPS）で、ネットワーク層全体を対象とする説明ではありません。

👉 判断ポイント\ 「検知だけ（IDS）か、検知して遮断まで行う（IPS）か」で切り分ける。

まとめ（試験直前用）

IPS＝検知＋遮断まで行う仕組み
IDS＝検知のみ（遮断しない）
ファイアーウォール＝条件ベースの通信制御
IPSは通信内容を分析する（より高度）
「遮断するかどうか」で選択肢を切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る