DX化の推進により、今後ますますサイバー攻撃の増加が懸念される昨今、サイバー攻撃から自社のシステム・ネットワークを守るためにはセキュリティアプライアンスに対する正しい知識が欠かせません。セキュリティアプライアンスごとに対応できるサイバー攻撃を把握していないと、想定したサイバー攻撃の対策とならず、セキュリティインシデントに発展してしまうこともあります。

本記事ではIDS・IPSの仕組みやファイアウォール・WAFとの違い、導入時の注意点やおすすめ製品を解説します。本記事を参考に、サイバー攻撃に強いシステム・ネットワーク環境を構築しましょう。

IDS・IPSとは?基本機能やファイアウォール・WAFとの違いを解説

まずは、そもそもIDS・IPSとは何なのか、概要や仕組みとともにファイアウォール・WAFとの違いを解説します。本項目でIDS・IPSを正しく理解しましょう。

1 IDS(侵入検知システム)とは

IDSは(Intrusion Detection System)の頭文字をとったもので、侵入検知システムと呼ばれます。IDSは不正アクセスや異常な通信を以下のような仕組みで検知し、不正な侵入を管理者に通知するアプライアンスです。

  • 事前に異常なアクセスパターンを登録し、合致するアクセスを検知(シグネチャ型)
  • 事前に正常なアクセスパターンを登録し、合致しないアクセスを検知(アノマリ型)

シグネチャ型であれば誤検知は少ないですが、登録外の異常なアクセスパターンを検知できないというデメリットがあります。一方、アノマリ型は未知の不正アクセスにもある程度対応ができる一方、誤検知が多く正常なアクセスパターンの管理が煩雑になるデメリットがあります。それぞれのメリット・デメリットをふまえ、より適した検知方法を選択する必要があるでしょう。

また、IDSの導入形態にはネットワーク型とホスト型の2種類があります。それぞれの違いは「導入形態」の項目で細かく解説します。

2 IPS(侵入防御システム)とは

IPSは(Intrusion Prevention System)の頭文字をとったもので、侵入防御システムと呼ばれます。IDSが不正な侵入を検知し管理者に通知するのに対し、IPSは更に不正な侵入の自動遮断を行います。不正な侵入を検知する仕組み(シグネチャ型・アノマリ型)や導入形態(ネットワーク型・ホスト型)はIDSと同様です。

IPSを利用すれば、管理者が通知に気付かずとも自動で遮断が行われるため、管理者に依存せず不正な侵入を防ぐことができます。ただし、システムの運用上、検知した通信を遮断することが必ずしも適切なアクションではない場合もあります。不正な侵入から守るシステムの要件にあわせてIDSとIPSどちらを導入するかを選ぶようにしましょう。

3 IDS・IPSとファイアウォール・WAFとの違い

IDS・IPSに加えて、サイバー攻撃からシステム・ネットワークを守るセキュリティアプライアンスにファイアウォール・WAF(Web Application Firewall)があります。

IDS・IPSとファイアウォールの違いは、IDS・IPSが通信の内容で不正な侵入をチェックするのに対し、ファイアウォールは送信元・先のIPアドレスやプロトコルで不正な侵入をチェックする点です。ファイアウォールでは事前に設定したポリシーに則った送信元・先のIPアドレスやプロトコルであれば、内容は確認せず通信を許可します。

また、IDS・IPSはウェブアプリケーションレベルの脆弱性は検知・遮断できません。一方のWAFはウェブアプリケーションの脆弱性を突いた攻撃を検知・遮断することができます。そのため、ウェブアプリケーションを組織外に公開しているのであれば、IDS・IPSの導入有無を問わずWAFの導入が必須と言えます。

IDS・IPSとファイアウォール・WAFではそれぞれ防ぐことができるサイバー攻撃の種類に違いがあることをおさえておきましょう。

IDS・IPSの必要性

サイバー攻撃が増加する昨今では、IDS・IPSを導入する必要性がより高まっています。2020年に総務省から公開された「サイバー攻撃の最近の動向等について」では、2018年と2019年では不正アクセス行為の認知件数が2倍に増加しています。

また、情報通信研究機構のNICTERで観測されているサイバー攻撃のパケット数は2016年から2019年で毎年増加傾向にあり、3年間で2.6倍も増加しています。今後もDX化の推進により攻撃対象となるITシステムが増えることで、サイバー攻撃の件数も増加していくと予想されます。

サイバー攻撃から組織内のシステム・ネットワークを守るためには、IDS・IPSを正しく理解し運用することが必要です。IDS・IPSを活用した不正な通信の遮断は今やITシステムを運用する組織において必須の世の中になってきていると言えるでしょう。

IDS・IPS製品導入時のポイントや注意点4つ

ここまでIDS・IPSの概要と導入する必要性を解説しました。ここからは実際にIDS・IPSを導入する際のポイントや注意点を4つ紹介します。

1 導入形態

IDS・IPSの導入形態にはホスト型とネットワーク型の2種類があります。それぞれサイバー攻撃から守れる範囲が異なりますので、守りたい範囲にあわせて選択しましょう。

ホスト型はサーバーなどの端末にインストールして利用する導入形態です。インストールしたサーバー上でのみ動作するため、複数の端末を守りたい場合にはそれぞれの端末に個別にインストールを行う必要があります。

一方でネットワーク型は守りたいネットワークの上流にIDS・IPS機器を設置する導入形態です。外部との接続点に設置し組織内のネットワーク全体を守ることもできますし、個別にファイアウォールを設置したネットワーク内のみを守ることもできます。守りたいネットワークが複数ある場合には、それぞれのネットワークに機器を設置する必要があるのはホスト型と同様です。

2 保守・サポート体制

IDS・IPSを導入する際には、ベンダーの保守・サポート体制をふまえて製品を選ぶことも重要です。IDS・IPSはセキュリティアプライアンスという特性上、万一うまく動作しなくなった場合には迅速に対応を行う必要があります。

また、適切なサイバー攻撃対策を行うためには、IDS・IPSで検知するアクセスパターンを適宜チューニングすることが重要です。導入実績の多いベンダーであれば適切なチューニングを行うサポートをしてくれるでしょう。

多少運用コストが高くなっても、導入実績が豊富で保守・サポートが手厚い製品がおすすめです。

3 初期・運用コスト

セキュリティアプライアンスは決して安価ではないため、初期・運用コストをふまえて製品を検討するようにしましょう。

ホスト型で個別に機器を守るよりもネットワーク型でネットワーク全体を守るほうが初期・運用コストはおさえられます。重要な機器であればホスト型を導入する必要がある場合もありますが、費用対効果をみて導入形態・製品を選択するとよいでしょう。また、コストをおさえるためにクラウド型のサービスを利用することも有効です。

4 IDS・IPSで防げる攻撃の種類

IDS・IPSとファイアウォール・WAFの違いで解説した通り、それぞれ対策できるサイバー攻撃の種類は異なります。

IDS・IPSであれば、Dos/DDos攻撃やSYNフラッド攻撃のような通信内容から異常を検知できる攻撃を防御できます。しかし、そもそも外部に公開したくないホスト・ネットワークへの攻撃など、IPアドレスやプロトコルで制御を行うべきものにはファイアウォールでの遮断が適しています。また、SQLインジェクションやクロスサイトスクリプティングなどのウェブアプリケーションへの攻撃にはWAFで遮断する必要があります。

対策したいサイバー攻撃の種類をふまえたうえでIDS・IPSの導入を検討するようにしましょう。

IDS・IPS製品のおすすめ7選

IDS・IPS製品導入時のポイントについて解説したところで、ここからは具体的なおすすめ製品を紹介・比較します。それぞれのポイントを絞って紹介していきますのでぜひ参考にしてください。

「Sophos XG Firewall」
ソフォス株式会社

POINT
  • 提供形態:アプライアンス / クラウド
  • 対象規模:全ての規模に対応
  • 参考価格:別途お問い合わせ

Sophos XG Firewallは、ファイアウォールやWAFとしても動作し、 従来のIDS・IPSでは防ぎにくい攻撃にも対応 できる次世代型のアプライアンスです。サイバー攻撃に応じてアプライアンスを用意するよりも管理が簡易化でき、シナジーを得られます。ソフォス株式会社は、日本ではあまり聞き慣れないですが、 世界各国でシェアの多い企業のため、サポート面でも安心です。


「McAfee Network Security Platform」
McAfee (マカフィー株式会社)

POINT
  • 提供形態:アプライアンス
  • 対象規模:全ての規模に対応
  • 参考価格:別途お問い合わせ

McAfee Network Security Platformはセキュリティソフトでも有名なMcAfee社が提供 するセキュリティアプライアンスです。従来のシグネチャ型に加え、シグネチャレスの侵入防止システムで未知の攻撃にも強い 製品になっています。仮想サーバでシステムを運用している企業が多い現状にも対応し、 仮想環境と物理環境双方のセキュリティを統合した製品であることも特徴です。


「L2Blocker」
株式会社ソフトクリエイト

POINT
  • 提供形態:クラウド / ハードウェア / アプライアンス
  • 対象規模:全ての規模に対応
  • 参考価格:380,000円 ~

L2BlockerはPCやスマートフォンなど、不正に接続された端末を検知し遮断 するアプライアンスです。既存のネットワーク構成を変えずに導入ができ、無線LAN環境にも導入できます。近年では内部不正や無線LAN環境における不正な端末接続、情報漏えいのインシデントも増えています。L2Blockerは 不正な端末を社内ネットワークに接続させないシンプルなセキュリティアプライアンス として、このようなセキュリティインシデントに有効な製品です。


「FortiGate IPS」
フォーティネットジャパン株式会社

POINT
  • 提供形態:アプライアンス
  • 対象規模:全ての規模に対応
  • 参考価格:別途お問い合わせ

FortiGate IPSはファイアウォール製品で多数の販売実績を持つフォーティネットジャパンのIPSです。 国内でもトップクラスの導入実績を誇り、IPSやファイアウォール製品のベンダーとしてのサポートは手厚いです。

もちろん性能面でも、既知の脅威から未知のゼロデイの脅威まで対応できるIPS として高い評価を受けています。スループットにあわせたウルトラハイエンド、ハイエンドのモデルやレンジにあわせたミッドレンジIPSなど、 様々なシチュエーションに対応できる多彩なラインナップが用意されている点も魅力でしょう。


「クラウド型IDS/IPS+WAF イージス」
株式会社ロケットワークス

POINT
  • 提供形態:クラウド / SaaS
  • 対象規模:全ての規模に対応
  • 参考価格:50,000円 ~

イージスはクラウド型のIDS・IPS+WAFのサービスです。クラウド型のサービスのため、個別に機器を設置する必要がなく、 導入手続きも電話やメールのみで完結できます。

クラウド型のサーバにも導入可能なため、クラウド上でWebサービスを展開している企業には非常に魅力的なサービスです。24時間365日の監視でセキュリティ性が担保されている一方で、月額50,000円からと低コストで導入ができます。セキュリティアドバイスをしてくれるプランがあるため、 社内のエンジニアが確保できない場合でも安心して導入ができるでしょう。


「AppGuard Small Business Edition」
株式会社Blue Planet-works

POINT
  • 提供形態:クラウド
  • 対象規模:従業員数1~300名の中小企業向け
  • 参考価格:6,000円~

AppGuard Small Business Editionは中小規模向けのクラウド型セキュリティサービスです。機器にアプリケーションをインストールするエンドポイントセキュリティですが、アンチウイルス製品と異なり、 OSに影響を与える動作を実行不可にするOSプロテクト型の製品となっています。

管理サイトはクラウド上に用意されているため、管理サーバを構築する必要はありません。Small Business Editionであれば、対象ユーザーは1~300と制限はあるものの、 機器1台あたり年間6,000円からと非常に低コストで運用可能 です。導入支援サービスや教育支援サービスも充実していますので、対象規模にあてはまっている企業にはおすすめです。


「Total Security Function Service」

POINT
  • 提供形態:クラウド / サービス
  • 対象規模:10名以上 1,000名未満
  • 参考価格:600円 ~

Total Security Function Serviceは、 世界的に有名なサイバーセキュリティ企業カスペルスキーのテクニカルパートナー である東計電算が提供するセキュリティサービスです。クラウド型のサービスのため、アプリケーションを機器にインストールするだけで簡単に導入ができます。

アプリケーションにKaspersky Endpoint Security For Businessを採用しており、カスペルスキー独自の振る舞い検知機能で未知・既知を問わず脅威から機器を保護してくれます。東計電算による マルウェア関連の問い合わせサポートや、管理者へのメール通知サービスも付属しており、サポート体制も安心です。

まとめ

本記事ではIDS・IPSの仕組みやファイアウォール・WAFとの違い、導入時の注意点やおすすめ製品を解説しました。IDSは侵入検知システム、IPSは侵入防御システムであり、シグネチャ型やアノマリ型といった検知方法で不正アクセスを検知・防御するアプライアンスです。

IPアドレスやプロトコルで通信を遮断するファイアウォールやウェブアプリケーションの脆弱性を突いた攻撃を防ぐWAFとは対応できるサイバー攻撃の種類が異なります。IDS・IPSを導入する際は、対策可能なサイバー攻撃にくわえ、導入形態や保守・サポート体制、初期・運用コストをふまえて検討を行うことがおすすめです。