企業は従業員や顧客など、さまざまな情報を取り扱っているため、サイバー攻撃の対象とされやすいです。悪質なサイバー攻撃から企業情報を守るためには、IPS・IDS製品を導入してデータを保護する必要があります。
しかし、「IPS・IDS製品って何?」「IPS・IDS製品はどれを選べばいいの?」などの疑問をお持ちの方もいるでしょう。
そこで本記事では、IPS・IDS製品の概要や違い、選ぶ方、おすすめの製品7選など徹底的に解説します。それぞれの特徴や価格も紹介しているので、IPS・IDS製品の導入を検討している方は、ぜひ本記事を参考にしてみてください。
目次
IPSとは
IPSとは、「Intrusion Prevention System」の略で、日本語訳すると侵入防止システムです。ネットワークに対して不正な通信を行い、侵入してくるサイバー攻撃を防止する機能が搭載されています。ネットワークやホスト上にIPSを設置することで、不正アクセスの検知をして侵入を防ぐことができます。
IPSは不正アクセスを検知するだけではなく、通信自体を遮断できるため、正常な環境で通信を続けることが可能です。
また、一般的にサーバーへ搭載されているファイアーウォールでは、IPアドレス・ポート・プロトコルを基準にフィルタリングしています。そのため、前述したパケットが許可されている内容であれば、Dos攻撃やワームの侵入を防ぐことができません。
一方、IPDではファイアーウォールが検知できないウイルス・不正アクセスにも対応可能です。ファイアーウォールとIPSを通過した通信だけが提供されるため、比較的セキュリティレベルの高い環境を構築できます。
ただし、パケット内容をパターン化して不正アクセスを検知するため、IPS製品によっては誤検知が発生することがあります。定期的にシグネチャーファイルをダウンロードして、自社のサーバーに合わせて調整することが重要です。
IDSとは
IDSとは、「Intrusion Detection System」の略で、日本語訳すると不正侵入検知システムという意味になります。不正にサーバーへアクセスしてきた通信を検知し、管理者に通知します。
検出範囲や対象は、あらかじめ「シグネチャ」と呼ばれるルールに基づき対応するのです。シグネチャに登録されている内容をもとに通信を判断し、不正アクセスの検知が可能です。
ただし、IDSは不正アクセスの検知を行いますが、具体的に遮断や削除などの対処を実行しません。具体的に対処を実行するのは、不正アクセスアラートを受け取った管理者です。そのため、IDSは不正アクセスや異常通信を対処するためのきっかけとして活用可能しましょう。
また、IDSには「シグネチャ型」と「アノマリ型」の2つ種類が存在します。それぞれの特徴を解説します。
シグネチャ型
シグネチャ型とは、あらかじめセキュリティに関する要件定義や攻撃識別を設定しておくタイプのIDSです。監視対象となるサイバー攻撃を登録しておくことで、通信が発生する度にIDSがシグネチャを参照し、不正アクセスか判断します。未知の攻撃も検出できるため、IDS製品の多くがシグネチャ型を採用しています。
しかし、問題のない通信でもシグネチャに登録されていない内容は不正アクセスとみなされてしまうため、誤検知が発生する可能性も高いです。
そのため、IDSを導入した後も定期的にシグネチャリストの更新が必要です。リストの更新頻度や対応方法はIDS製品によって異なるため、導入前に確認しておくと良いでしょう。
アノマリ型
アノマリ型のIDSは、必要最低限のシグネチャだけを登録し、不審な動きをしたアクセスをすぐに検出することができます。未知の脅威に対しても高確率で対応できるため、ベンダーが把握していない攻撃に対しても対処可能です。
しかし、アノマリ型はシグネチャ型に比べて、非常に誤検知の多い点がデメリットと言えるでしょう。通常パターンの通信でも、要件定義にミスがあれば、すぐに反応してしまいます。
誤検知が多ければ、業務進行の妨げとなってしまうため、対応に手間がかかりかねません。そのため、シグネチャ型と併用した利用や高頻度のシグネチャリストの更新が必要です。
IPSとIDSの違いとは?
IPSとIDS最大の違いは、不正アクセスを検知後に「対処・遮断を行うか」どうかです。
IDSは不正アクセスや不審な通信を発見した場合、管理者にアラートで状況を知らせます。
一方、IPSは不正侵入のアラートを管理者に通知するだけではなく、インターネット通信の対処・遮断を実施します。管理者の判断を待つことなく不正アクセスを遮断するため、管理者が事態に気づく前に対応可能です。そのため、サイバー攻撃に対して迅速に対応を希望する場合は、IPSが最適と言えるでしょう。
ただし、IPSは不正を検知すると自動的に通信を遮断するため、その間はインターネットを利用できません。本当にサイバー攻撃に対して対応を実施している場合は問題ありませんが、誤検知の場合は遮断解除やシグネチャのアップデートなど、管理者の手間が増える可能性があります。
IPSとIDSの併用でセキュリティレベルが上がる
検知から通信遮断まで実行するIPSですが、導入していれば必ずサイバー攻撃を防げるわけではありません。IPSにも防げない不正アクセスは存在するため、ファイアーウォールの導入が必要です。
また、IPSとファイアーウォールだけではなく、IDSも併用して導入することで、高いセキュリティ環境を構築できます。IDSを導入して不正アクセスを検知することで、誤検知による無駄な通信遮断を防ぐことができるでしょう。
IDSにも誤検知は発生しますが、管理者にアラートを通知するだけとなるため、通信遮断の解除を実施する必要がありません。そのため、IPSとIDSを併用して導入することで、無駄のなくセキュリティレベルの高い環境を作り出すことができるのです。
IPSとIDSの必要性
現在は多くの企業で個人情報などの重要な情報を扱うので、サイバー攻撃への対策は必須です。
サイバー攻撃による被害に遭うと、個人情報が流出してしまう恐れがあります。そうなると企業の信用は落ちてしまい、ニュースで報道される可能性まであります。
そのため、企業にとってセキュリティ対策は必須です。昨今、様々な企業がIPS・IDS製品を導入することで、サイバー攻撃の対策をしています。
企業が所有する大切な情報・データを守るためにも、IPS・IDS製品の必要性は高いと言えるでしょう。
IPSとIDSで防げるサイバー攻撃
ファイアウォールで防ぐことのできないサーバー攻撃も、IPSとIDSであれば対応できることがあります。
中でも、代表的なIPSとIDSで防げるサイバー攻撃を3つ解説します。
DDoS攻撃
DDoS攻撃とは、「Distributed Denial of Service attack」の略で、日本語訳すると分散型サービス拒否攻撃という意味です。従来までのサイバー攻撃は、1つのIPアドレスでサーバーやシステムに対して攻撃を仕掛けていました。
一方、DDoS攻撃は複数のIPを利用してサーバーやシステムに攻撃します。1つのIPであればすぐに犯人を特定できますが、複数のIPを用いられると情報が分散されるため、特定が難しくなり複雑化するのです。
しかし、IPSとIDSは不正アクセスに対して一斉に対応するため、IPが分散している場合でも検知・対処可能です。踏み台(無関係のPC)を利用している場合でも、シグネチャから情報を判断して管理者にアラートを通知します。
SYNフラッド攻撃
SYNフラッド攻撃とは、ネットワーク接続時のSYN(接続要求データ)に対して、大量にパケットを送付するサイバー攻撃です。SYNパケットに対して集中的に情報を送りつけるため、ネットワークに高負荷がかかり、新しい接続を受け付けられなくなります。
Webサイトやシステムに対して攻撃を実行するため、対象のサービスを開くことができなくなり、さまざまなウイルスの侵入を許すリスクがあります。
IPSとIDSを導入することで、対象のSYNパケットの接続を遮断して、負荷のかからない状態を作り上げることが可能です。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは、システムがあらかじめ残しているメモリー容量(バッファ)に対して、想定以上のデータを送付することで、領域を溢れさせる攻撃です。
システムは常にバッファを残した状態で稼働しているため、容量が全てなくなると想定外の動きやシステム自体が停止する恐れがあります。最悪の場合、システム権限がなくなることやセキュリティが甘くなることがあるため、情報漏洩や不正利用などの損失につながる可能性が高いです。
IPSとIDSはバッファに対しての不正通信も検知するため、大量の情報が送付される前に通信を遮断します。そのため、想定通りの容量でシステムを稼働させることができるでしょう。
ワーム
ワームとは、自己増殖可能なマルウェアの一種です。
システムに感染すると、通常の動きができなくなり本来見られない稼働や不正アクセス侵入を許してしまう可能性があります。マルウェアの中でも、感染スピードが速い点が特徴で、数時間の内にシステムコアまで入り込むことがあります。
他のランサムウェアと同時に入り、システム機能を停止させる被害が発生しているサイバー攻撃です。IPSとIDSを導入することで、ワームの侵入を検知・排除する働きがあるため、システムへの感染を未然に防ぎます。
また、他のランサムウェアも同時に検知するため、素早い対処をすることができるでしょう。
IPSとIDSで防げないサイバー攻撃
セキュリティ性を高めるIPSとIDSですが、防げないサイバー攻撃もいくつかあります。大きく分けて3つあるので、以下で1つずつ紹介します。
- SQLインジェクション
SQLインジェクションでは主にデータベース言語を利用し、不正サイトに入れる攻撃で、データ改ざんや情報漏洩などの問題が発生します。
- クロスサイトスクリプティング
クロスサイトスクリプティングでは、WEBサイトを閲覧したユーザーにマルウェアを感染させる仕掛けが施されています。
- SQLインジェクション
OSコマンドインジェクションは、WEBサイトでデータの削除や改ざんなどが行われる攻撃です。
以上のように、IPSとIDSでWEBサイトレベルでのサイバー攻撃を防ぐことは難しいです。
IPS・IDS製品の選び方
IPSとIDS製品には様々な種類があります。そこで、IPSとIDS製品の選び方について解説します。
設置タイプ
IPSとIDS製品の設置タイプは、大きく分けて以下の3つです。
- ネットワーク型
- ホスト型
- クラウド型
ネットワーク型は監視対象のネットワークに対してIPS・IDS製品を設置します。直接ネットワークに設置することから、ネットワークセグメントのみ監視可能です。複数のネットワークを監視したい場合は、その分IPS・IDS製品を設置する必要があります。
ホスト型は、監視対象となるデバイスやシステムにインストールして設置します。エンドポータル型とも呼ばれており、監視対象が複数ある場合は、それぞれにインストールすることで稼働することが可能です。
クラウド型は、ネットワークやシステムに設置・インストール作業が必要ないため、比較的スムーズにIPS・IDS製品の導入が可能です。契約プランも柔軟に変更できます。タイプによって導入方法が異なるため、自社状況に合わせて選択が必要でしょう。
導入・運用コスト
IPS・IDS製品は設置方式やベンダー、セキュリティレベルによって、導入・運用コストが異なります。
コストを抑えて導入したい場合はネットワーク型とクラウド型がおすすめです。また、ホスト型は導入コストがかかるものの、運用時の柔軟性やランニングコストを抑えられる可能性があります。
希望する設置プランや必要な機能・セキュリティレベルに合わせて選択すると良いでしょう。
サポート体制
IPS・IDS製品を導入する際は、ベンダーが提供するサポート体制を確認しましょう。IPS・IDS製品は問題発生時にベンダーがどのように対応してくれるのかが非常に重要となるため、シグネチャの更新・インシデント発生時の対応スピードなどの確認が必要です。
また、チューニングに関しては車内に担当者がいない場合、ベンダー側で受け持ってくれるのかも合わせて確認しておくことで、人的リソース削減につながります。
IPS・IDS製品はサイバー攻撃から自社データを守ことが目的となるため、サポート体制は必ず確認し、自社に適しているかを把握してから導入しましょう。
対策する攻撃の種類
IPS・IDS製品やファイアウォールなど、製品によって防げるサイバー攻撃の種類は異なります。IPS・IDS製品を選ぶ際には、どんな攻撃を対策したいのかを検討した上で導入することが大切です。
外部公開したくないネットワーク攻撃などを防ぎたい場合は、ファイアウォールやWAFなどが適している場合もあります。対策する攻撃の種類をしっかりと確認した上で、製品を導入するようにしましょう。
動作の重さ・軽さ
IPS・IDS製品を選ぶ際には、動作の軽さにも注意して導入を検討しましょう。
一般的にセキュリティソフトはメモリを多く使用するため、処理動作は重くなります。処理動作が落ちると他のソフトの処理も遅くなってしまい、業務に支障が出る可能性もあるので注意が必要です。
業務効率や生産性を損なわないためにも、動作が軽いか確認して導入するようにしましょう。
おすすめのIPS・IDS製品7選
続いては、おすすめのIPS・IDS製品7選を紹介します。
それぞれの特徴や価格、無料トライアルの有無について紹介しているので、ぜひ参考にしてみてください。
攻撃遮断くん
特徴 | ・国産WAFベンダーが開発・提供 ・24時間365日間サポートを提供 ・国内トップクラスの脆弱性対応スピード |
価格 | 要問い合わせ |
無料トライアル | ◯ |
攻撃遮断くんは、株式会社サイバーセキュリティクラウドが開発・提供しているIPS・IDS製品です。日本で自社開発しているため、国内のセキュリティ情勢に合わせたサービスを展開します。
また、提供する全プランで電話サポートが付帯しています。解説付きの月次レポートを提出して、企業のセキュリティ状況を解説します。
専任のリサーチャーによるインシデントの調査やさまざまなセキュリティ情報収集を実施するため、最新の脆弱性にも対応可能です。
tippingpoint
特徴 | ・高精度のポリシーセットを提供 ・厳しいネットワーク要件を満たす拡張性 ・複数の導入オプション有り |
価格 | 要問い合わせ |
無料トライアル | 要問い合わせ |
tippingpointはトレンドマイクロ株式会社が提供するIPS・IDS製品です。
サービスはアプライアンスと仮想アプライアンスの形態で提供されているため、脆弱性を狙った攻撃を検知・遮断します。
また、さまざまな利用プランが存在すため、小規模のときから大規模まで幅広くサキュリティ環境を保護します。
導入形態もさまざまな種類があり、柔軟な購入オプションで企業が本当に求めているサービス、セキュリティ環境を維持できるでしょう。
l2blocker
特徴 | ・社内からの情報漏洩に特化したサービスあり ・既存LAN構成の変更無しに導入できる ・管理画面もシンプルで運用負荷を軽減可能 |
価格 | 月額基本料金20,000円 |
無料トライアル | ◯ |
l2blockerは株式会社ソフトクリエイトが提供するIPS・IDS製品です。
外部からのサイバー攻撃だけではなく、社内からの情報漏洩に特化したサービスを展開しています。許可していないスマートフォンやPCをブロックすることで、不正ログインを防ぎます。
また、クラウド版を利用する場合、社内のLAN構成を変更することなく、そのまま導入可能です。複数機材を社内に設置することがないため、総合的にコストを抑えられます。
さらに、万が一障害が発生したとしても通信に影響を与えない構成で、管理画面もシンプルです。そのため、初めてIPS・IDS製品を導入した企業でも、担当従業員の運用負荷を軽減できるでしょう。
subgate
特徴 | ・特許獲得済みのセキュリティ技術を採用 ・有害トラフィックの遮断と拡散防止 ・簡単にセキュリティ設定が可能 |
価格 | 要問い合わせ |
無料トライアル | ◯ |
subgateは株式会社サブゲートが提供するIPS・IDS製品です。特許獲得済みのアクセスレベルのネットワークセキュリティで、サイバー攻撃から情報を守ります。
有害トラフィックに対しては、専用分析エンジンを使用して、通信環境に影響を及ぼすことなく検知・遮断します。
また、あらかじめ設定しておいた有害トラフィックを自動検知・遮断するため、自社で確認対応を行うことなく、内部拡散を防ぐことが可能です。
セキュリティ設定は初めてサービスを導入した企業でも扱えるよう、簡単に実施できます。ネットワーク状況に関しても、モニターから一目で確認できます。
他のスイッチとも互換性が高いため、通常よりもセキュリティレベルの向上が可能です。
無料トライアルサービスも存在するため、気になる方はぜひチェックしてみてください。
sophos xg firewall
特徴 | ・次世代型ファイアーウォールも搭載 ・複数の契約ラインナップあり ・インシデントに自動対応可能 |
価格 | 要問い合わせ |
無料トライアル | ◯ |
sophos xg firewallはソフォス株式会社が提供するIPS・IDS製品です。
通常のIPS・IDS機能に加えて、次世代型ファイアーウォールも搭載されています。企業に潜む隠れたリスクを顕在化し、通信の検知・遮断を実施します。
また、企業規模に合わせてさまざまなプランが用意されているため、小規模・大規模企業でも安心して対応可能です。サーバー・システム内で発生したインシデントに関しては、自動で反応して対応するため、企業側はアラームの確認だけで済むでしょう。
無料トライアルも提供されており、完全オランラインで完結します。即時アクセスができ、インストールの必要もないため、すぐに利用を始められるでしょう。
NGIPS
特徴 | ・セキュリティレベルを細かく調整できる ・2時間ごとに新たなルートポリシーを取得 ・自動化機能で運用コストの削減が可能 |
価格 | 問い合わせ用 |
無料トライアル | × |
NGIPSはシスコシステムズ合同会社が提供するIPS・IDS製品です。システムやデバイスに合わせて、きめ細かいセキュリティレベルを調節可能です。
IPS・IDS運用に欠かせないルールやポリシーは、2時間ごとに取得します。数時間前に発見された脅威に対しても、高頻度のアップグレードで素早く検知・遮断が可能です。警告システムが常に作動しているため、安心してインターネット回線を利用できます。
また、企業のさまざまなニーズに合わせてプランを変更でき、自動化機能を利用することで運用コストを最小限に減らせるでしょう。
mcafee network security platform
特徴 | ・未確認のマルウェアにも対処可能 ・仮想環境と物理環境の両方を提供 ・100Gpsまでハードウェアプラットフォームに対応 |
価格 | 要問い合わせ |
無料トライアル | ◯ |
mcafee network security platformはマカフィー株式会社が提供するIPS製品です。シグネチャレスの侵入防止システムを導入しているため、未確認のマルウェアも検知・遮断します。プライベートクラウドと物理的環境の両方を用意しているため、常に高いレベルでセキュリティを維持できます。
また、ハードウェアプラットフォームは最大100Gbpsまで対応できるため、同時に複数台接続したとしても、安定した通信環境を利用可能です。
他サービスとも互換性が高く、すぐに導入して利用を始められるでしょう。
IPS・IDSのよくある質問
IPS・IDSに関するよくある質問を紹介します。導入を検討している方は、ぜひ参考にしてみてください。
ファイアウォールがあるならIPS・IDSは不要?
ファイアウォールをすでに使用している場合、IPS・IDSの導入は必要ないのでしょうか。
結論、2つの製品には使用目的に明確な違いがあるため、すでにファイアウォールを使用していたとしてもIPS・IDSの導入は必要です。
ファイアウォールは、インターネットを通じた不正アクセスやサイバー攻撃など、外部からの攻撃を内側に通さないためのものです。そのため、通信内容の確認はなく、送信元/送信先(IPアドレス・ポート)のみで正常・異常の判断を行うので、OS/Webサーバなどの脆弱性をついた攻撃は防げません。
ファイアウォールとIPS・IDS製品にはそれぞれ別の役割があるので、ファイアウォールがあるならIPS・IDSは不要ということにはなりません。
IPS・IDSの導入がおすすめなのはどんな企業?
IPS・IDSの導入がおすすめな企業はどんな企業なのでしょうか。
いくつか例を挙げて解説します。
- 重要なデータを扱う企業
重要なデータの流出を防ぎたい場合、IPS・IDSの導入によって、マルウェア感染やエクスプロイト攻撃を阻止するのがおすすめです。
- セキュリティ強化が課題の企業
マルウェア感染の根本的な対策をしたい場合、IPS・IDSの導入がおすすめです。
- 無停止・連続稼働が必要な企業
サービス停止に陥るサイバー攻撃を受けても即座に検知・防御機能が作動するので、サービスを無停止・連続稼働させる必要がある企業は、IPS・IDSの導入をおすすめします。
無料のIPS・IDS製品ってどうなの?
無料のIDS・IPS製品も多く存在するため、無料のものを検討する方も多いのではないでしょうか。
多くの場合は、無料の製品でも問題ありません。しかし、有料の製品と比べると性能が劣っていたり、サポート体制が整っていなかったりします。
個人で扱う分には無料でも問題ないかもしれませんが、企業が持っている大切な情報を守る場合は有料のIPS・IDS製品の導入をおすすめします。
まとめ
以上、IPS・IDS製品の概要や違い、選び方、おすすめの製品7選など徹底解説しました。IPS・IDS製品を導入することで、既存のサイバー攻撃や未知の脅威から、自社情報を守ことができます。
また、IPS・IDS製品を選択する際は設置タイプやサポート体制の確認が重要です。おすすめのIPS・IDS製品について解説したので、導入を検討している方はぜひ参考にしてみてください。
