セキュリティ強化のためにIDS/IPSを導入したい情報システムの担当者や、WAFやファイアウォールなど類似セキュリティ製品との違いを知りたい方へ。不正なアクセスを検知・ブロックするIDS/IPSの概要や類似セキュリティ製品との違い(一覧表)、タイプと選び方、比較のポイントと合わせて、導入ニーズに応じたおすすめのソリューションを紹介します。
IDS/IPSとは、ネットワーク上の通信を監視し、不正なアクセスを検知・ブロックするセキュリティソリューションです。
IDSは「不正侵入検知システム」、IPSは「不正侵入防止システム」とも呼ばれ、どちらも多層防御の一つです。一定時間にネットワークを流れるデータ量(ネットワークトラフィック)を詳細に分析し、既知の攻撃パターンとの照合や、通常時との挙動の差異の検出によって、悪意ある活動を発見。ファイアウォールなどほかの境界防御をすり抜けた攻撃や、内部からの不審な挙動を検知・防止します。
IDSとIPSには、以下のような役割があります。「Detection」は検出、「Prevention」は防止を意味します。
| IDS (Intrusion Detection System) |
ネットワークやシステム上の通信を監視。攻撃の兆候やポリシー違反を検知したら管理者に通知する |
|---|---|
| IPS (Intrusion Prevention System) |
IDSの機能に加えて、検知した脅威をリアルタイムでブロック。被害の発生を防ぐ |
IDSとIPSは、DDoS攻撃をはじめ、以下のようなネットワーク層へのサイバー攻撃に有用です。
| DDoS攻撃 | 複数の端末から大量にアクセスすることによって、サーバーに負荷をかけてサービスを停止させる |
|---|---|
| SYNフラッド攻撃 | 大量のSYNパケットを送信して攻撃対象を機能不全に陥らせる、上記「DDoS攻撃」の一種。ハーフオープン攻撃とも呼ばれる |
| バッファオーバーフロー攻撃 | 大量のデータでプログラムの領域(バッファ)をあふれさせ、誤作動を引き起こさせる |
IDS/IPSは単体でも導入できます。ただし、企業のセキュリティ対策には複数のソリューションやサービスが求められることが多く、運用・管理にかかるコストを抑える目的から、統合型ソリューションに注目が集まっています。そのため近年では、次世代ファイアウォール(NGFW)やUTM(統合脅威管理)に搭載されたIPS機能でカバーするケースが主流です。
一方で、「オンプレ中心の環境に導入したい」「厳格なセキュリティ基準をクリアしたい」といったニーズも。この場合には、後述する「物理アプライアンスタイプ」のIDS/IPSの中から、高性能・高スループットなシステムを単体導入するのがおすすめです。
IDS/IPSのほかにも、様々なセキュリティソリューションや、セキュリティのプロによる組織・チームが存在します。代表的なセキュリティ対策の対象や概要を以下にまとめました。
| ソリューション名 | 主な対象 | 主な役割 |
|---|---|---|
| ファイアウォール | ネットワーク (境界防御) |
ネットワークの出入り口で通信を監視・制御し、不正なアクセスをブロックする |
| IDS/IPS | ネットワーク | ネットワーク上の不正侵入の検知・防御を行う。ファイアウォールやUTMに統合されることも多い |
| UTM | ネットワーク | ファイアウォール、IPS/IDS、アンチウイルス、Webフィルタリングなど、複数のセキュリティ機能を統合。1台で多層防御が行える |
| NDR | ネットワーク全体 | ネットワーク全体を包括的に監視。異常な通信を検知した際に、リアルタイムで対応する |
| WAF | Webアプリ | Webアプリケーションへの攻撃を防ぐファイアウォール。攻撃と判断した通信を遮断する |
| CASB | クラウド | クラウドサービスの利用を監視・制御し、データ保護やアクセス制御を実施する |
| ウイルス対策ソフト(EPP) | エンドポイント | ウイルスやスパイウェアなどを検知し、感染を防止する。EDRやUTMに統合されるケースが増えている |
| EDR | エンドポイント | PCやサーバー、スマホといった、エンドポイントにおける脅威の検知・分析・対応を行う |
| XDR | ネットワーク、クラウド、エンドポイントなど | EDRに加え、メール、クラウド、ネットワークなどのデータを統合的に分析。脅威を検知し、対応まで行う |
| SIEM | セキュリティ機器・システム全般 | 様々なセキュリティ機器やシステムのログを統合分析。相関関係を解析することで脅威を可視化する |
| SOC | 組織全体のIT環境 | 企業や組織のネットワークを監視し、セキュリティインシデントを検知・対応する専門チーム |
| CSIRT | 組織全体のIT環境 | SOCと連携して、セキュリティインシデント発生時・事後の対応を行う組織 |
IDS/IPSは導入ニーズに応じて、以下の4タイプに分けられます。企業内で既存のセキュリティ製品を使用している場合は、連携のしやすさを優先して選ぶことでスムーズな導入が見込めます。
専任のセキュリティ担当者を設けていない中小企業では、できるだけ運用負担を抑えた導入がおすすめ。専門知識が必要な単独のIDS/IPS製品よりも、IPS機能を備えたUTMや次世代ファイアウォール(NGFW)などから選ぶと、運用負担軽減が見込めます。サーバー設置や機器のメンテナンスの必要がない、クラウドタイプのシステムも選択肢の一つです。
たとえばNTTスマートコネクト株式会社の「クラウド型UTM」であれば、機器の導入不要でファイアウォール、IPS、アンチウィルスといった、複数のセキュリティ対策機能を搭載。UTMに加えてログ保管、インターネット接続、高度セキュリティオペレーションをワンストップで提供しており、効果的・効率的なセキュリティ対策を実現します。オンプレミスの設定をクラウドに移行できるため、リプレイスを検討している場合にもぴったりです。
また、サポートが充実した「サクサのUTM」では、万一ウイルスに感染した場合に備えて「PCウイルス駆除サービス&サイバー保険サービス」を提供しています。もしもウイルスが駆除できなかった場合、条件によっては復旧費用として年間最大100万円を補償。導入後の運用に不安がある企業や、セキュリティの知識に乏しい企業でも安心して利用できます。
なお、UTM製品を中心に比較検討をしたい場合は、「UTM比較9選!必要な機能や導入形態は?|中小企業向けのおすすめを紹介」にて、より詳しい情報を紹介しています。
リアルタイムで大量のデータを解析するIDS/IPSには、導入環境のトラフィック量に対応できる性能が求められます。特に大企業やデータセンターといった大規模なネットワークの監視・防御には、高機能なIDS/IPSか次世代ファイアウォール(NGFW)が必要です。加えて、性能や信頼性、セキュリティの独立性が重視される環境では、ハードウェアとソフトウェアをセットで提供する物理的な「アプライアンスタイプ」が、クラウドタイプよりも適しています。
次世代ファイアウォール「FortiGate」の場合、あらゆる規模の環境に適応するために、多様な製品ラインナップを展開。いずれも特許取得済みのセキュリティプロセッサをベースとした設計で、高速・高パフォーマンスのネットワーク機能とステートフルファイアウォール機能を提供します。豊富な機能を備えたAI/MLベースの「FortiGuard IPSサービス」が含まれており、大規模データセンターでも安定したパフォーマンスを発揮します。
なお、大規模向けのソリューションを提供している企業の多くは、中小企業向けソリューションも提供しています。中小企業において、IDS/IPSを含めた包括的なセキュリティ対策を実施したい場合は、こちらのタイプも選択肢となります。
AWSやAzureなどクラウド環境と親和性が高い場合には、クラウドネイティブのIDS/IPSが最適です。クラウド環境に最適化されているため、低コスト・低負荷で運用できます。
脅威検出サービス「Amazon GuardDuty」では、AWSやそのサードパーティが提供する脅威インテリジェンスと、AI・機械学習(ML)を組み合わせて脅威を検出。セキュリティソフトを追加することなく、シンプルな運用でAWS のアカウントやワークロード、データの監視・保護を行います。複数のAWSアカウントを一元管理する「AWS Organizations」と連携すれば、複数アカウントの脅威検出の一元化も可能です。
コストを抑えてIDS/IPSを導入したい場合には、無料で使えるOSS(オープンソース)タイプが選択肢に。OSSタイプの「Snort」や「Suricata」は、いずれもテキストベースの設定ファイルとルールセットによって、検知エンジンの挙動を詳細にチューニング可能。ソースコードレベルでの修正・拡張もでき、ベンダーロックインのリスクがない点もメリットです。
一方、セットアップや運用調整といった負担は避けて通れない課題です。誤検知を減らすための微調整や、ログ分析基盤との連携構築など、商用製品ではベンダー側が受け持つ作業も社内で行う必要があります。
たとえば、「Snort」は運用負荷を低減するために、有料のルールセットを配布していますが、ルールが自動更新される商用製品と比べると、運用負荷は大きくなりがちです。そのため、専門知識を持つセキュリティ担当者がいない場合は、商用製品を使うのが無難といえます。
導入ニーズとタイプで絞り込んだら、以下のポイントに留意して比較することで、自社に適したソリューションが選びやすくなります。
まずはIDS/IPSを導入・設置した後に、人的・コスト的に負担なく運営できるかをイメージしましょう。特に専任の担当者がいない企業では、運用負荷低減に役立つ機能を備えた製品を選ぶことで、長期的かつ安定した運用が可能となります。
たとえば「FortiGate」では、高水準なセキュリティをシンプルな運用で実現。セキュリティポリシーを自動的に適用することで、スイッチ、アクセスポイント、Wi-Fiエクステンダーを一元管理します。世界的に評価されるコストパフォーマンスの高さで、日本でも幅広い企業で支持・導入されています。
より手軽な導入・運用を求めるのであれば、機器の設置や追加、メンテナンスが不要なクラウドタイプが選択肢の一つです。中でもNTTスマートコネクト株式会社の「クラウド型UTM」は、導入と運用の手軽さや、月額38,500円から利用できる価格帯が魅力。オプションの管理ポータル機能を使えば、トラフィック、セッション情報などの利用状態の可視化も簡便に。リソースの追加・削減の必要性にいち早く気づけるほか、変更回数無制限でいつでも設定変更作業が行えます。
防御したいのが「既知の脅威」か「未知の脅威」かによって、最適なソリューションが異なります。前者については、多くのソリューションでルールセットやシグネチャ(ウイルス定義ファイル)に基づく検知を行えます。一方、後者までカバーしたい場合には、AIや機械学習を用いて、より高度な検知ができるソリューションが必要です。
その一例である「PA-SERIES」は、機械学習を活用した画期的な次世代ファイアウォールシリーズ。優れた拡張性によって規模・業種を問わずあらゆる企業で導入でき、検知回避型脅威(HEAT)からの防御を行います。
「Quantumゲートウェイ」でも、AIを活用した脅威対策機能を搭載しています。既知の脅威から、脆弱性を狙うゼロデイ脅威(ゼロデイ攻撃)まで対応し、防御を自動化。99.8%のブロック率を誇り、大規模データセンターや政府でも利用されています。
未知の脅威に対応するためのソリューションとしては、「振る舞い検知」も有用です。詳しくは、「振る舞い検知とは?どんな仕組みで何が対象?主要な製品も紹介」をご参照ください。
情報システムの専任者がおらず運営に不安がある企業では、システム構築から伴走してくれるソリューションプロバイダーの助けが必要になることも。その場合、「国・地域」「専門分野」「取扱製品」といった項目で、自社に合ったパートナーを検索できると便利です。特に海外製のセキュリティソリューションにおいては、国内パートナーがいれば言語の違いによるストレスや認識の齟齬を感じることなく、適切な知識・サポートの提供が期待できます。
「Quantum ゲートウェイ」を提供しているチェック・ポイント・ソフトウェア・テクノロジーズ株式会社のHPでは、ニーズに合わせたパートナーを検索可能。国や地域のほかに、パートナーのプログラムレベル、主な専門分野といった項目から、最適なソリューションプロバイダーを見つけられます。
(出所:クラウド型UTM公式Webサイト)
アプライアンス型のメリットである「多層防御」に、クラウドならではの手軽さ、運用負担の少なさを取り入れた統合脅威管理ソリューション。複数のセキュリティ対策機能をまとめて実装しており、設定変更作業は管理ポータルで簡単に完了する。「FortiGate」に近い管理画面とUIなので、FortiGateユーザーは特にスムーズな操作が見込める。セキュリティ監視分析、同時接続セッション数の拡張といったオプションも充実しており、理想の環境が構築できる。
ビルや店舗など複数拠点のUTMを集約でき、オンプレミスからクラウドへの移行も可能。リソース不足、機器コスト・運用稼働の負担といった課題を解決するほか、リプレイスにも適している。
(出所:サクサのUTM公式Webサイト)
エンジニア不在でも利用できる手軽さと、高度なセキュリティ機能を両立したUTM。近年広がっているマルウェア「Emotet」をはじめ、ランサムウェア、ゼロデイ攻撃など、既知・未知を問わない脅威から、メール誤送信などのヒューマンエラーまで幅広く対応する。ブロックした脅威などのセキュリティ状況は企業専用のWebページで可視化されるため、従業員のセキュリティ意識の向上も見込める。
また、「OfficeAGENT」シリーズをはじめとした同社の他製品との連携によって、万一感染した場合の対策も強化できる。ウイルス感染後の駆除サポートや、駆除できなかった場合の復旧費用補償(100万円/年)など、手厚いサポートも魅力だ。
(出所:Secure IPS公式Webサイト)
世界最大級のネットワーク機器開発会社が提供するIPSアプライアンス。高い可視性と有効性、運用効率、柔軟性、統合性を備えた様々なアプライアンスモデルは、物理と仮想の両方で活用できる。標的型攻撃や持続的脅威、マルウェアなど、高度な脅威を検出・防御し、包括的で一貫性のある保護を実現。新たなポリシールールやシグネチャを2時間ごとに取得し、セキュリティを常に最新の状態に維持することで、未知/既知の脅威に対応する。更に、不審なファイルにフラグを付け、まだ特定されていない脅威を分析する侵入検知機能を使えば、脆弱性の回避にも役立つ。Azure、AWS、VMwareなどのハイパーバイザをサポートしており、クラウド環境の保護にも有用。
(出所:PA-SERIES公式Webサイト)
世界で初めて機械学習を活用した次世代ファイアウォールシリーズ。インラインディープラーニングや遅延ゼロのシグネチャによって、最新の回避型脅威を検出・防御。未知のゼロデイ攻撃も発生時に阻止できる。
高パフォーマンスで多用途な「PA-5200 Series」、シンプルな「PA-7000 Series」などの多様なモデルから、ビジネス形態や課題に合わせた製品を選択可能。あらゆるネットワークに導入でき、包括的なセキュリティプラットフォームとして、支社からデータセンター、クラウドまで、組織全体を保護する。AI運用によるセキュリティ体制の改善によって、システム停止リスクを低減し、投資収益率の向上に貢献する。
(出所:Quantum ゲートウェイ公式Webサイト)
AIを搭載し、第5世代のサイバー攻撃に対応した高性能の次世代ファイアウォールシリーズ。リモートアクセスVPNなどあらゆるネットワークセキュリティを提供し、IoT攻撃やDDoS攻撃、ゼロデイ攻撃を検出・防御する。オンプレミスおよびクラウドファイアウォールの統一ポリシー管理、450 Mbpsから1 Tbpsのネットワークスループットの範囲での脅威防止、自動化システムとのAPI統合といった高度な機能を持ち、世界10万社以上から支持されている。
データセンター向けの「26000」「28000」モデルでは、30Gbpsの脅威対策パフォーマンスを含む60のセキュリティサービスを提供。運用管理に関わる時間を最大80%削減する性能と、環境に配慮した電力効率の高さも魅力。
(出所:FortiGate公式Webサイト)
世界市場シェアの50%以上を占める、UTM機能を備えた次世代ファイアウォール製品。ファイアウォール、アンチウイルス、IPS、Webフィルタといった複数の機能を1台のアプライアンスに集約。大規模なデータセンターなどでも利用できる高い処理性能で、多層防御を行う。
あらゆる場所からのセキュアアクセスを実現するゼロトラストネットワークアクセス、仮想パッチをはじめ豊富なIPSなど、高度なパフォーマンスを支える機能が充実している。また、多機能・高性能ながらコストパフォーマンスに優れている点も魅力。クラウドサービス「FortiSandbox Cloud」との連携によって、未知の脅威の事前検出からシグネチャによる防御までを自動化する。
(出所:Amazon GuardDuty公式Webサイト)
AIや機械学習を組み合わせて脅威を検出する、AWSユーザー向けのサービス。AWS マネジメントコンソールで数クリックするだけの簡単な操作で、AWS アカウント、ワークロード、実行時のアクティビティ、悪意のあるアクティビティのデータを継続的にモニタリングする。S3、EKS、EC2、RDS、LambdaといったAWS サービスにおける脅威の検出に加え、マルウェア・ランサムウェア対策としても活用可能。
分析したイベントに対してのみ料金が発生する従量課金制を採用。「Amazon EventBridge」との統合でレスポンスワークフローの自動化、「AWS Organizations」との統合で複数アカウントの脅威検出一元管理など、他のAWSとの連携でより広範囲な展開が見込める。
(出所:Microsoft Defender for Cloud公式Webサイト)
Azure、AWS、Google Cloudなどの環境で利用できる、クラウドネイティブのアプリケーション保護プラットフォーム。様々なサイバー脅威や脆弱性からアプリを保護するように設計された、一連のセキュリティ対策とプラクティスで構成されている。
ハイブリッドクラウド全体のセキュリティ体制を統合して可視化し、リスクに優先順位を付与。GitHub、Azure DevOps、GitLabなどの複数のコード管理システムに対応し、コードを作成する段階からセキュリティ対策を施せる。開発環境全体のセキュリティ状況を一括して把握できるため、開発のプロセス全体を通してセキュリティ強化に寄与する。Azure内のリソースのみを対象とした無料プランもあり。
(出所:Google Cloud IDS公式Webサイト)
Google Cloud上のネットワークにおける、クラウドネイティブの脅威検出システム。Palo Alto Networksの脅威検出テクノロジーを基盤とし、マルウェア、スパイウェア、コマンド&コントロール(C2)攻撃などの脅威を検出・通知する。east-west(VPC 内および VPC 間)とnorth-south(インターネット間)のトラフィックの公開設定を取得して、VPC内やVPC間の通信をモニタリングできる。
脅威シグネチャのデフォルトセットが用意されており、アラートの重大度レベルをカスタマイズ可能。脅威の検出・通知に特化しているため、攻撃の防止や被害の修復への対処が必要な場合は「Google Cloud Armor」などとの併用が必要だ。
(出所:Snort公式Webサイト)
世界で500万回以上ダウンロードされている、ネットワーク型の侵入防止システム。定められたルールに従って悪意のあるパケットを検出し、アラート通知を行う。リアルタイムのトラフィック分析とパケットロギング(ログへの記録)に対応しており、IPSのほかパケットスニファやパケットロガーとしても活用できる。
無料の「コミュニティルールセット」と、実際の脅威に先駆けて検出・防御する「Snortサブスクライバールールセット」の2種を配布している。ルールセットの自動更新には「Oinkcode」というコードの取得が、最新の検出機能を利用するにはサブスクリプションのアップグレードが、それぞれ必要だ。現在の最新バージョンはSnort 3。
(出所:Suricata公式Webサイト)
次世代のIDS/IPSエンジンの構築を目指す非営利団体「OISF」がリリースし、民間企業から公的機関まで広く利用されている脅威検出ソフトウェア。HTTPリクエストのログ記録、TLS証明書のログ記録と保存、フローからのファイルの抽出とディスクへの保存といった機能で、ネットワークを監視・保護。既知の脅威やポリシー違反、悪意のある動作と照合するシグネチャ言語を実装し、トラフィック内の異常を検出する。
EVEと呼ばれる統合ログ形式でJSONファイルを出力できるため、データ処理パイプライン「Logstash」などのツールとの統合が容易。また、専門性の高い2種類のルールセットを提供している。
IDS/IPSは、ネットワーク上の不正アクセスを検知・ブロックするセキュリティソリューションです。ファイアウォールなどほかの境界防御をすり抜けた攻撃や、内部からの不審な挙動を検知・防止し、DDoS攻撃などのサイバー攻撃に有効。単体での導入も可能ですが、近年は次世代ファイアウォール(NGFW)やUTM(統合脅威管理)に搭載されたIPS機能を用いるケースが増えています。
IDS/IPSは導入ニーズに応じて、以下の4タイプに分けられます。
加えて、以下のポイントに留意することで適切なシステムが絞り込めます。
ネットワークの世界では、日々新たな脅威が生まれています。適切なソリューションで迅速な対応・対策を行うことで、企業内外の信頼と安心を確保できます。
アスピックには、複数のセキュリティ機能を1台に集約した「UTM」、セキュリティのプロチームが運営する「SOC」や「CSIRT」などについて詳しく解説した記事もあります。IDS/IPSとともに検討し、最適なソリューションの選択にお役立てください。
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
