高度に発達したネットワークが普及したことにより、不正アクセスや脆弱性への攻撃が発生するようになりました。ネットワークセキュリティを強化するためにファイアウォールを設置するケースがほとんどですが、これだけでは十分とは言い難いのです。そこで注目されているのがIDS(不正侵入検知システム)やIPS(不正侵入防御システム)。ファイアウォールとこれらを組み合わせることで、より強固なネットワークセキュリティを実現できるでしょう。

今回は、IDS・IPSの仕組みや、ファイアウォールとの違いについて解説します。

ファイアウォール通過後のリスクを検知・防御

IDS(不正侵入検知システム)やIPS(不正侵入防御システム)は、ファイアウォールを「壁」や「塀」にたとえるならば、その後ろで働く「監視カメラ」や「警備員」になります。一旦は問題なしとして通過した人物や荷物に不審な点がないかを監視・通報するのがIDS、検知後に防御システムとして働くのがIPSです。

実際のシステム上で動くファイアウォールは、外部から悪意をもって送信されたパケットも、正常なパケットも同じように判断してしまいます。つまり、攻撃を検知できない場合があるのです。そこでIDS・IPSの出番となります。ファイアウォールを通過してしまった不正パケットの内容をチェックし、適宜アラートをあげたり、パケットを遮断したりといった活動を行います。

IDSやIPSはどこに配置されている?

通常、企業や組織がネットワークを構築する場合、種類によって大きく3つの場所に分類します。ひとつはインターネットをはじめとした外部ネットワーク、もうひとつが企業内LANのような内部ネットワーク、最後にこのふたつの中間にあるDMZです。

DMZとは「非武装地帯」を意味し、内部ネットワークでも外部ネットワークでもない領域で、いわゆる緩衝材のような役目を果たす部分といえるでしょう。外部に広く公開するWebサーバーは、このDMZに配置されることがほとんどです。外部ネットワークと内部ネットワークの間にこのような区域を設けることで、外部に公開するサーバーが万が一攻撃にあったとしても、内部ネットワークに直接被害が及びにくくなり、セキュリティリスクを軽減できます。

IDS・IPSが配置されるのは、このDMZ上やファイアウォールの外側、もしくは内部ネットワーク上です。IDSやIPSのタイプによっては、内部ネットワークのサーバーなどに設置されることもあります。すでに述べたようにIDS・IPSは、監視カメラや警備員のような働きをするため、それらが実際にどこに配置されているかを考えればイメージしやすいでしょう。塀や壁の外側(ファイアウォールの外側)、受付のあるロビー(DMZ上)、実際の建物内部(内部ネットワーク)で、ファイアウォールを補完する働きをするのです。

IDS・IPSには「ホスト型」と「ネットワーク型」が存在

IDS・IPSにはその仕組みによって2つのタイプがあります。ひとつが内部ネットワークのコンピュータにインストールする「ホスト型」、もうひとつがネットワーク全体のトラフィックを監視する「ネットワーク型」です。

ホスト型は個々のコンピュータにインストールするため、インストールされたコンピュータに対する攻撃以外は検知できません。しかし、インストール対象に対する攻撃はしっかりと検知・防御できるといった利点があります。一方、ネットワーク型は個々のコンピュータにインストールする必要がなく、ネットワークを流れるトラフィックを常時監視するため、リアルタイム性に優れており、導入の敷居も低いというメリットがあります。ただし、トラフィック量が増大するにしたがって処理が遅延したり、すべての攻撃を検知できなかったりというデメリットがあるのです。

IDS・IPSを導入する際には、保護対象となるネットワークのトラフィック量やコンピュータの数などによって、どちらのタイプを選択するか決定する必要があるでしょう。

マイナーながらも強力なツールであるIDS・IPS

IDS・IPSはウィルス対策ソフトやファイアウォールに比べれば知名度が低く、一般に認知されているとは言い難い側面があります。しかし、ファイアウォールよりも内側で取りこぼしを発見できるだけに、強力な効果を発揮する仕組みです。より高度なセキュリティ環境を実現したい場合には、ぜひ導入を検討してみてください。