「社内ネットワークに不正なアクセスがあったらしいが、いつ、どこから侵入されたのかまったくわからない」。こうした状況は、侵入検知の仕組みがないネットワークでは珍しくありません。ファイアウォールだけでは防ぎきれない攻撃が増えている今、ネットワーク内部の異常をリアルタイムに検知・遮断できる体制が求められています。
この記事では、IDS(Intrusion Detection System: 侵入検知システム)とIPS(Intrusion Prevention System: 侵入防御システム)について、仕組みの違いから具体的な導入手順まで、現場で使えるレベルで解説します。「IDSとIPSはどう違うのか」「うちの規模でも導入できるのか」という疑問を持つ方に向けて、実践的な情報をまとめました。
IDS・IPSとは?なぜ今必要なのか
IDS(侵入検知システム)は、ネットワーク上の通信やサーバー上の動作を監視し、不正アクセスや攻撃の兆候を検知して管理者に通知するシステムです。一方、IPS(侵入防御システム)は、検知に加えて不正な通信を自動的に遮断する機能を持っています。
ファイアウォールが「門番」として許可された通信だけを通すのに対し、IDSは「監視カメラ」、IPSは「警備員付きの監視カメラ」のような役割を果たします。ファイアウォールをすり抜けた攻撃や、内部からの不正アクセスを検知できるのがIDSとIPSの強みです。
近年、標的型攻撃やゼロデイ攻撃のように、ファイアウォールだけでは防げない脅威が増えています。特に中小企業では「ファイアウォールがあるから大丈夫」と考えがちですが、実際にはファイアウォールを通過した後のネットワーク内部を監視する仕組みがなければ、侵入に気づけないまま被害が拡大するリスクがあります。
IDSとIPSの違いを理解する
IDSとIPSは混同されやすいですが、役割が明確に異なります。
| 項目 | IDS(侵入検知) | IPS(侵入防御) |
|---|---|---|
| 主な役割 | 不正通信の検知・通知 | 不正通信の検知・遮断 |
| 通信への影響 | 通信をコピーして分析(パッシブ) | 通信経路上で分析・遮断(インライン) |
| 誤検知時の影響 | 誤アラートが増える(業務影響は小さい) | 正常な通信まで遮断される可能性がある |
| 導入の難易度 | 比較的低い(既存構成を変えにくい) | ネットワーク構成の変更が必要な場合がある |
| 適した場面 | まず監視体制を整えたい段階 | 自動遮断まで含めた防御を実現したい段階 |
ポイントは、IDSは「検知して知らせる」、IPSは「検知して止める」という違いです。IPSのほうが防御力は高いですが、誤検知(正常な通信を攻撃と判断してしまうこと)が発生すると業務に直接影響するため、まずIDSで監視を始め、運用に慣れてからIPSに移行するのが現場では一般的です。
IDS・IPSの検知方式
IDS・IPSが不正な通信を見つける方法には、大きく2つの方式があります。
1. シグネチャベース検知(不正検知型)
あらかじめ登録された攻撃パターン(シグネチャ)と通信を照合し、一致したものを不正として検知する方式です。ウイルス対策ソフトのパターンマッチングに近い考え方で、既知の攻撃に対しては高い精度で検知できます。
・メリット: 既知の攻撃に対する検知精度が高い。誤検知が比較的少ない
・デメリット: シグネチャにない未知の攻撃は検知できない。定期的なシグネチャ更新が必要
2. アノマリベース検知(異常検知型)
正常な通信パターンをあらかじめ学習し、そこから逸脱した通信を異常として検知する方式です。未知の攻撃やゼロデイ攻撃にも対応できる可能性がありますが、正常な通信を攻撃と誤認識するケースも発生しやすくなります。
・メリット: 未知の攻撃パターンも検知できる可能性がある
・デメリット: 誤検知(フォルスポジティブ)が多くなりやすい。チューニングに手間がかかる
実際の製品では、この2つの方式を組み合わせたハイブリッド検知が主流です。シグネチャベースで既知の攻撃を確実に捕捉しつつ、アノマリベースで未知の脅威もカバーする構成が現場では多く採用されています。
ネットワーク型とホスト型の違い
IDS・IPSは設置場所によって、ネットワーク型(NIDS/NIPS)とホスト型(HIDS/HIPS)に分類されます。
ネットワーク型(NIDS/NIPS)
ネットワークの通信経路上に設置し、流れるパケットを監視します。1台でネットワーク全体を監視できるため、効率的に広い範囲をカバーできます。
・設置場所: ルーターやスイッチの近く、ファイアウォールの内側など
・監視対象: ネットワークを流れるパケット全体
・利点: ネットワーク全体を少ない台数で監視できる
・注意点: 暗号化された通信(HTTPS等)の中身は直接分析できない
ホスト型(HIDS/HIPS)
個々のサーバーやPCにエージェントをインストールし、そのホスト上の動作を監視します。ファイルの改ざんやログの異常、不審なプロセスの起動などを検知できます。
・設置場所: 監視対象のサーバーやPCにインストール
・監視対象: ファイルシステム、プロセス、ログ、レジストリなど
・利点: 暗号化通信の復号後の内容も監視できる。内部不正にも対応
・注意点: 監視対象ごとにインストールが必要。サーバー負荷が増加する
| 比較項目 | ネットワーク型 | ホスト型 |
|---|---|---|
| 監視範囲 | ネットワーク全体 | 個別のホスト |
| 暗号化通信 | 分析困難 | 復号後に分析可能 |
| 導入コスト | 少台数で広範囲をカバー | 台数分の導入・管理が必要 |
| 内部不正の検知 | ネットワーク経由のみ | ローカル操作も検知可能 |
中小企業で始める場合は、まずネットワーク型のIDSを1台導入してネットワーク全体の可視化を優先し、重要なサーバーにはホスト型を追加で導入するのがコストと効果のバランスに優れた構成です。
オープンソースIDS・IPSの導入手順
予算が限られた環境でも、オープンソースのIDS・IPSを活用すれば侵入検知の仕組みを構築できます。ここでは代表的なツールと、Suricataを例にした導入手順を紹介します。
代表的なオープンソースIDS・IPS
・Snort: IDS/IPSの先駆け的存在。Cisco傘下で開発が続いている。豊富なシグネチャ(ルールセット)が利用可能
・Suricata: マルチスレッド対応で高速処理が可能。Snortのルールとの互換性もある。近年はこちらが主流になりつつある
・OSSEC: ホスト型IDSの定番。ファイル整合性チェックやログ解析が得意
Suricataの導入例(CentOS/AlmaLinux)
# EPELリポジトリを有効化 sudo dnf install epel-release -y # Suricataをインストール sudo dnf install suricata -y # バージョン確認 suricata --build-info | head -5
基本的な設定ファイルの編集
Suricataの設定ファイルは /etc/suricata/suricata.yaml です。最低限、以下の項目を自社環境に合わせて変更します。
# /etc/suricata/suricata.yaml の主要設定箇所 # 監視対象の内部ネットワークを指定(デフォルト: [192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]) vars: address-groups: HOME_NET: "[192.168.1.0/24]" # 自社ネットワークに変更 # 監視するネットワークインターフェースを指定(デフォルト: eth0) af-packet: - interface: ens192 # 実際のインターフェース名に変更 # ログの出力先(デフォルト: /var/log/suricata/) default-log-dir: /var/log/suricata/
ルール(シグネチャ)の更新と有効化
# suricata-updateでルールを取得・更新 sudo suricata-update # Suricataを起動 sudo systemctl enable --now suricata # ログを確認(アラートが記録される) sudo tail -f /var/log/suricata/fast.log
この状態ではIDSモード(検知・通知のみ)で動作します。運用に慣れてきたら、設定ファイルでIPSモード(通信遮断あり)に切り替えることも可能です。
中小企業でも今日からできること
「IDS・IPSの導入はハードルが高い」と感じるかもしれませんが、段階的に進めれば情シス1人体制でも十分に実現できます。
ステップ1: まずはログの可視化から
いきなりIDS・IPSを導入する前に、既存のファイアウォールやルーターのログをきちんと確認する習慣をつけましょう。多くの機器はデフォルトでログを出力していますが、誰も見ていないケースがほとんどです。
ステップ2: OSSのIDSを検証環境で試す
本番環境にいきなり入れるのではなく、まずは検証用のサーバーにSuricataやSnortを導入して動作を確認します。自社ネットワークの「普段の通信パターン」を把握することが、誤検知の低減につながります。
ステップ3: 本番環境にIDSモードで導入
検証で問題なければ、本番ネットワークにIDSモード(検知のみ・遮断なし)で導入します。2〜4週間ほど運用して、アラートの内容と頻度を確認しながらルールをチューニングしていきます。
ステップ4: 必要に応じてIPSモードへ移行
誤検知が十分に減ったら、重要なセグメントからIPSモード(自動遮断あり)に切り替えます。すべてを一度にIPSにする必要はなく、段階的に進めるのが安全です。
よくある誤解と注意点
【誤解1】ファイアウォールがあればIDS・IPSは不要
ファイアウォールはポート番号やIPアドレスで通信を制御しますが、許可されたポートを通る攻撃(例: HTTP/443経由のSQLインジェクション)は検知できません。IDS・IPSはパケットの中身を分析するため、ファイアウォールとは異なるレイヤーで防御を担います。両者は補完関係にあり、どちらか一方で十分ということはありません。
【誤解2】IDS・IPSを入れれば攻撃を完全に防げる
IDS・IPSはあくまで多層防御の一つです。シグネチャに含まれない新しい攻撃手法や、巧妙に正常通信に偽装した攻撃はすり抜ける可能性があります。ファイアウォール、IDS・IPS、ログ監視、エンドポイント保護を組み合わせた多層防御の考え方が重要です。
【注意】誤検知への対応を怠らない
IDS・IPSの運用で最も手間がかかるのが、誤検知(フォルスポジティブ)への対応です。導入直後はアラートが大量に発生することがあります。1件ずつ確認してルールの除外設定やチューニングを行うことが、実用的な監視体制を作る上で欠かせません。アラートが多すぎて無視するようになってしまう「アラート疲れ」は、IDS・IPS運用で最も避けるべき事態です。
本記事のまとめ
| 項目 | ポイント |
|---|---|
| IDSとIPSの違い | IDSは検知・通知、IPSは検知・遮断。まずIDSから始めるのが安全 |
| 検知方式 | シグネチャベース(既知の攻撃)とアノマリベース(未知の攻撃)の2種類 |
| 設置タイプ | ネットワーク型は全体監視、ホスト型はサーバー個別監視 |
| 導入の進め方 | ログ確認→OSSで検証→IDSモードで本番導入→段階的にIPSへ |
| 運用の要 | 誤検知のチューニングを継続し、アラート疲れを防ぐこと |
IDS・IPSは、ファイアウォールだけではカバーしきれないネットワーク内部の脅威を検知するために欠かせない仕組みです。オープンソースのツールを活用すれば、コストを抑えながらも実効性のある侵入検知体制を構築できます。まずはIDSモードで「ネットワークで何が起きているか」を可視化するところから始めてみてください。
ネットワークセキュリティの基盤となるファイアウォールの設定については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。
ネットワークへの侵入、あなたは検知できますか?
ファイアウォールの内側で起きている脅威に気づくには、IDS・IPSの知識が不可欠です。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント