不正侵入を検知して防御するセキュリティーシステム、「IDS／IPS」とは

IDS（Intrusion Detection System）とIPS（Intrusion Prevention System）は、サーバーなどへの不正侵入やサイバー攻撃を検知あるいは防御するためのセキュリティー製品（システム）である。IDSは侵入検知システム、IPSは侵入防御システムとも呼ばれる。

いずれもソフトウエアやハードウエア（アプライアンス）として提供されている。パーソナルファイアウオールソフトやUTM（Unified Threat Management）の一機能として提供される場合もある。近年ではクラウドサービスとしても提供されている。

IDS/IPSの特徴は、パケットの中身を見て不正かどうかを判断すること。例えば代表的なセキュリティー製品であるファイアウオールは、基本的に送信元および宛先のIPアドレスやポート番号から、不正なパケットかどうかを判断する。このため攻撃によっては防げない場合がある。

例えば、OSなどのソフトウエアの脆弱性を突く攻撃だ。脆弱性を突いて感染を広げるワームによる攻撃も含まれる。パケットの中身には脆弱性を突く細工が施されているが、送信元と宛先に問題がなければ、一般的なファイアウオールは通信を許可してしまう。

DoS（Denial of Service）攻撃も同様だ。DoS攻撃とは大量のパケットを送信することで、攻撃対象のコンピューターが正常に動作できないようにするサイバー攻撃のこと。パケットの量が異常なだけで、送信元や宛先には問題がないので一般的なファイアウオールでは防げない。一方、IDS/IPSでは個々のパケットを監視しているので量の異常にも気づける。

IDSとIPSのいずれも、パケットを監視して不正侵入などを検知する点では同じだ。異なるのは不正なパケットを検知した後の対応である。

名前の通り、IDSは検知に特化したシステムだ。不正なパケットを検知すると、警告画面を表示したり警告メールを送信したりして管理者に通知する（PICT1）。その後の対応は管理者に任せられる。このため管理者の負荷は高い。

次ページ そこで登場したのがIPSである。不正なパケットを...