通信の監視と管理者への警告を行うIDSは「不正侵入検知システム」と呼ばれます。対してIDSの機能に加えて、通信の遮断までを行うIPSは「不正侵入防止システム」と呼ばれます。しかし、昨今では通信の遮断を行えるIDS製品も登場しているため、ほぼ同義で語られることもあります。
IDSが通信の異常を検出した際には、迅速に管理者へ通知し、管理者は異常な通信のブロック、ファイアウォール※のフィルタリングを強化して、攻撃に備えるといった対処ができます。IPSは通信の異常を通知することに加え、ワーム※やDoS※などのパケットが持つ特徴を検知した直後に、人手を介することなく自動的に通信を遮断するところまでの対応を行います。IPSはIDSと比べ、迅速なインシデント対応が実現できるメリットがある反面、業務に大きな影響が出やすいというデメリットもあります。万一、設定が不正な場合など誤検知を行ってしまうと、即時にシステムが停止してしまうケースが想定されるためです。
※ファイアウォール:ネットワークの境界に設置され、不正なアクセスや攻撃から情報を守る防御システム
※ワーム:自己複製能力を持ったマルウェアの一種
※DoS:「Denial of Service attack」の略で、サーバーやネットワークに過剰な負荷をかけ妨害する攻撃手法
IPS/IDSが攻撃を検知する方法には、「不正検出(シグネチャ型)」と、「異常検出(アノマリ型)」の2つがあります。攻撃パターンをシグネチャに登録し、一致する通信を攻撃と見なす方法が「不正検出」です。正常な通信の挙動をあらかじめ学習した上で、そこから逸脱した通信を異常として検知する方法が「異常検出」です。不正検出では、新たな攻撃パターンが発見されるたびにシグネチャ登録を行う手間がかかります。異常検出では、このような頻繁な更新が不要な一方、誤検出が多いため継続的なチューニングが必要になります。
IDSとIPSは通信の監視方法、不正なデータの検知方法が「ネットワーク型」と、「ホスト型」、「クラウド型」の3つに分類されます。ネットワーク型は、ネットワークを流れる通信パケットを監視します。一方でホスト型は、監視対象のサーバー上にソフトウェアとしてインストールされ、通信の結果生成されたサーバー上の受信データやログを監視します。クラウド型はこれらの仕組みを、クラウドサービスとして提供する形式です。
IDS/IPSは、OSやミドルウェア層に対する攻撃に特化したシステムです。内部ネットワークを守るファイアウォール、Webアプリケーションを保護するWAF(Web Application Firewall)など、異なる守備範囲を持つツールを併用して、幅広い脅威に対応するケースが昨今のセキュリティ対策では主流になっています。