IDS/IPS
IDS/IPSとは

侵入検知システム (IDS) および侵入防止システム (IPS) とは、ネットワークで悪意のあるアクティビティを検出、防止するために協働するサイバーセキュリティ技術です。マルウェア、不正アクセスの試み、サービス拒否 (DoS) 攻撃などのサイバー脅威からネットワークを保護するうえで重要な役割を果たします。IDSは、トラフィックを分析し、潜在的な脅威を検出するとアラートを生成する、受動的な監視ツールです。IPSは、悪意のあるパケットのドロップ、ファイアウォール ルールの再構成、影響を受けるネットワークセグメントのリアルタイムの隔離ができる、能動的なセキュリティメカニズムです。IDSとIPSを組み合わせると、検出機能と自動レスポンス機能の両方が提供され、セキュリティ体制が強化されます。

HPE Aruba Networking SASEの詳細はこちら

読了所要時間: 7分17秒 | 公開日: 2025年10月31日

目次

    IDS/IPSの仕組み

    IDS/IPSは、セキュリティ脅威を検出し、対応するため、次の3つの手法を組み合わせています。

    • シグネチャーベースの検出: ネットワークトラフィックを既知の攻撃パターンのデータベースと比較します。一致が検出されたら、アラートがトリガーされるか、アクションが実行されます。この方法は既知の脅威に対しては効果的ですが、新種の攻撃パターンや進化した攻撃パターンには対応しにくいという欠点があります。
    • アノマリベースの検出: 通常のネットワーク動作のベースラインを確立し、攻撃を示している可能性のある逸脱にフラグを立てます。ゼロデイ攻撃や持続的標的型脅威 (APT) の検出に特に有効です。
    • 行動分析: 既知のシグネチャーが存在しない場合でも、機械学習と人工知能を使用して確立された規範から逸脱する疑わしい行動を識別します。

    IDS/IPSは、ネットワークパケットをリアルタイムで検査し、トラフィックフローを分析して、正当なトラフィックか悪意のあるトラフィックかを判断します。潜在的な脅威が検出されると、IDSがアラートを生成し、IPSが脅威を予防的にブロックまたは軽減します。

    IDS/IPSを検討すべき理由とは

    サイバー脅威がますます高度化し、多発する中、組織はネットワークと機密データを保護するために未然予防的なセキュリティ対策を実施する必要があります。IDS/IPSは、次のようなさまざまな攻撃に対する重要な防御層を提供します。

    • マルウェア感染: マルウェアがネットワーク内に拡散する前に検出、ブロックします。
    • 不正アクセスの試み: 不正なユーザーまたは悪意のある内部者による侵入の試みを検出、軽減します。
    • サービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃: 攻撃者がネットワークリソースを制圧してオペレーションを中断させないようにします。
    • データ流出: データ侵害や内部脅威を示唆する疑わしいデータ転送パターンを検出します。
    • ゼロデイ攻撃: 従来のセキュリティソリューションでは見逃されがちなアノマリや新種の攻撃パターンを検出します。

    より広範なセキュリティ戦略にIDS/IPSを統合すると、サイバー脅威によるデータ侵害、サービス中断、経済的損失のリスクを大幅に軽減できます。

    IDS/IPSのメリット

    IDS/IPSの実装には以下のような多くのメリットがあります。

    • 脅威検出の強化: リアルタイムモニタリングとディープパケットインスペクションで脅威を早期検出します。
    • 脅威対応の自動化: インラインIPSソリューションが脅威に対して即時対応できるため、リスク軽減にかかる時間を短縮します。
    • 攻撃対象領域の縮小: 悪意のあるトラフィックや不正アクセスの試みをブロックすることで、組織がサイバー脅威にさらされるリスクを最小限に抑えます。
    • コンプライアンスと規制の要件: 機密データを保護するため、IDS/IPSの実装を要するコンプライアンス要件を満たします (PCI DSS、HIPAA、GDPRなど)。
    • ネットワークの可視性とインテリジェンス: ネットワークトラフィック パターンに関する有益なインサイトを提供するため、組織が脆弱性を特定し、全体的なセキュリティ体制を改善するのに役立ちます。
    • スケーラビリティとインテグレーション: セキュリティ情報およびイベント管理 (SIEM) システム、ファイアウォール、その他のセキュリティ ツールと統合して包括的なセキュリティエコシステムを構築します。

    IDS/IPSは、現代のサイバーセキュリティフレームワークに欠かせないコンポーネントです。各組織が高度な検出技術と自動レスポンスを使用して、サイバー脅威を検出、防止、対応するのに役立ちます。デプロイがインラインか帯域外かに関係なく、IDS/IPSはネットワークの完全性、コンプライアンス、全体的なセキュリティのレジリエンスを維持するうえで重要な役割を果たします。

    HPEとIDS/IPS

    HPE Juniper Networkingは、物理、仮想、コンテナ化されたSRXファイアウォールなどの次世代ファイアウォール製品およびサービスに導入できるIDS/IPS、またはサービスとしてのファイアウォール (FWaaS) として導入できるIDS/IPSを提供します。
    IDS/IPSにより、組織は、ゾーン、ネットワーク、アプリケーションをベースとして、ポリシールールを定義し、トラフィックセクションと照合し、そのトラフィック上で侵入が検知されたら能動的または受動的な防御対策を実行できます。さらに、システムには、ネットワークを攻撃から保護するための、強力で継続的に更新されるIPSシグネチャが含まれています。

    HPE Aruba Networking EdgeConnect SD-WANおよびHPE Aruba Networking EdgeConnect SD-Branchはどちらも統合セキュリティアプローチを提供するため、IDS/IPSを使用してネットワーク全体にわたってリアルタイムの脅威検出、防止、可視性が実現されます。

    IDS/IPS機能で使用されるシグネチャーベースの検出モデルは、ランサムウェア、フィッシング、マルウェアなどの既知の脅威を検出するために定期更新型のシグネチャーライブラリですべてのトラフィックを検査します。検出された脅威によって管理者がトラフィックを許可、警告、ドロップするための軽度、中度、重度のセキュリティ体制を設定できます。システム動作は、即時ブロックを行うインラインモードと、ネットワーク効率を最適化するためのパス外検査を行うパフォーマンスモードのいずれかです。検出された脅威はすべて、集中セキュリティダッシュボードで記録、分類、可視化されます。これがもたらすネットワーク全体の可視性、脅威分析、インシデント管理からは、攻撃の傾向、影響を受けるユーザー、デバイス、トラフィック フローに関するインサイトが得られます。

    専用アプリケーションで脅威イベントをSplunkなどのSIEMソリューションにストリーミングできるため、SD-WANファブリック全体にわたってリアルタイムで脅威の相互比較、調査、レスポンスが可能になります。HPEは、IDS/IPSをファイアウォールポリシーと統合することで、未然予防的なゼロトラスト セキュリティ モデルを実現し、手動による介入を最小限に抑えながら、進化するサイバー脅威からネットワークを守ります。

    FAQ

    IDS/IPSにできること

    IDS/IPSは、常にネットワークを監視し、潜在的なインシデントの特定、それらに関する情報のログ記録、インシデントの阻止、セキュリティ管理者への報告を行います。それに加え、ネットワークによっては、IDS/IPS を使用してセキュリティ ポリシーに起きた問題を特定し、個人によるセキュリティ ポリシーの侵害を回避することもあります。IDS/IPSが、ほとんどの組織のセキュリティインフラストラクチャに必要な追加機能になったのは、ネットワークに関する情報を収集しながら攻撃者を阻止できることが理由です。
    ファイアウォールにはIDSまたはIPSが含まれているか

    真の次世代ファイアウォールには、IDSとIPS機能が含まれます。しかし、すべてのファイアウォールが次世代ファイアウォールというわけではありません。また、IDSとIPSが侵害の企図を検出・警告またはブロックする一方で、ファイアウォールは、設定によってネットワークトラフィックをブロックし、フィルタリングします。IDSとIPSは、設定されたポリシーに従い、ファイアウォールがトラフィックをフィルタリングした後にトラフィックを実行します。
    IDSとIPSの実装方法とは

    侵入検出システム(IDS)は、攻撃やテクニックの特定を担当し、聞き取り専用モードでアウトオブバンドで導入される場合が多いため、すべてのトラフィックを分析し、疑わしい、または悪意のあるトラフィックからの侵入イベントを生成できます。

    侵入防止システム (IPS) は多くの場合、トラフィックのパスに導入されるため、すべてのトラフィックがその宛先に進むには、アプライアンスを通過する必要があります。悪意のあるトラフィックを検出すると、IPSは接続を遮断し、セッションまたはトラフィックをドロップします。
    IPSはトラフィックをブロックできるか

    はい。IPSは、ネットワークを保護するために、既知の侵害がないかトラフィックをコンスタントに監視します。その後、IPSはトラフィックを既存の署名と比較します。一致した場合、IPSは以下のいずれかを行います。1) トラフィックを検出し、記録する、2) トラフィックを検出し、ブロックする、3) (推奨オプション) トラフィックを検出し、記録し、ブロックする。
    IDSが検出できるものとは

    IDSは、既知の侵害、悪意のある行動、および攻撃技術に基づいて、脅威を検出します。また、効果的なIDSは、遠隔手続呼び出し(RPC)のフラグメント化、HTMLパディング、およびその他のタイプのTCP/IP操作など、攻撃者が侵害行為を隠すのに使用する見つけにくいテクニックも検出します。
    IPSはDDoSを防げるのか

    IPSは、特定のタイプのDDoS(分散型サービス拒否)攻撃を防ぐことができます。例えば、アプリケーションサービス拒否(AppDoS)攻撃は、IPS機能が特定および保護できる脅威カテゴリーの1つです。しかし、大量のDDoS脅威には、専用のソリューションが必要です。

    関連製品、ソリューション、サービス

    HPE Aruba Networking EdgeConnect SD-WAN

    詳細はこちら

    HPE Aruba Networking SSE

    詳細はこちら

    関連トピック

    SASE
         SD-WAN
         SSE
         セキュアSD-WAN
         次世代ファイアウォール
         ZTNA