はじめに:ファイアウォールを超えるセキュリティの目

前回の第3編で解説したファイアウォールがネットワークの「門番」の役割を果たすとすれば、IDS(Intrusion Detection System、侵入検知システム)とIPS(Intrusion Prevention System、侵入防止システム)はネットワークの「監視カメラ」であり「セキュリティガード」の役割を果たします。ファイアウォールが許可したトラフィックの中からも悪意のある活動を検知し対応するのが、IDS/IPSの核心機能です。

今日のサイバー攻撃はますます巧妙化しています。単純にポートをブロックするだけでは、Webアプリケーション攻撃、ゼロデイ脆弱性の悪用、APT(高度標的型脅威)などを防ぐことはできません。今回の第4編では、IDS/IPSの概念、検知方式、そして代表的なオープンソースソリューションであるSnortとSuricataのインストールと設定まで、実践中心で解説します。

1. IDS vs IPS:違いを理解する

1.1 IDS(Intrusion Detection System)

IDSは、ネットワークトラフィックやシステム活動を監視し、疑わしい活動やポリシー違反を検知してアラート(Alert)を発生させるシステムです。IDSは受動的(Passive)に動作し、トラフィックをブロックせずにコピーを分析します。

IDSの動作方式:
┌─────────┐     ┌─────────┐     ┌─────────┐
│ インターネット│────▶│ スイッチ │────▶│ サーバー │
└─────────┘     └────┬────┘     └─────────┘
                     │ (ミラーリング/SPAN)
                     ▼
               ┌─────────┐
               │  IDS    │ → 検知 → アラート発生
               └─────────┘

IDSの特徴:

  • トラフィックのコピーを分析(Out-of-Band)
  • 検知後に通知のみ発生、直接ブロックしない
  • ネットワーク性能への影響なし
  • 誤検知(False Positive)時もサービスへの影響なし

1.2 IPS(Intrusion Prevention System)

IPSはIDSの検知機能にリアルタイムブロック(Block)機能を追加したシステムです。トラフィック経路上にインライン(Inline)で配置され、悪意のあるトラフィックを即座にブロックできます。

IPSの動作方式:
┌─────────┐     ┌─────────┐     ┌─────────┐
│ インターネット│────▶│   IPS   │────▶│ サーバー │
└─────────┘     └─────────┘     └─────────┘
                     │
                検知 → ブロック OR 許可

IPSの特徴:

  • トラフィック経路に直接配置(Inline)
  • 検知即座に悪意のあるトラフィックをブロック可能
  • 遅延時間(Latency)発生の可能性
  • 誤検知時に正常なサービスがブロックされるリスク

1.3 IDSとIPSの比較

区分 IDS IPS
配置方式 Out-of-Band(ミラーリング) Inline(直列接続)
対応方式 検知とアラート 検知とブロック
ネットワーク影響 なし 遅延時間発生の可能性
誤検知影響 アラートのみ発生 正常トラフィックブロックのリスク
障害時 監視中断 ネットワーク中断(バイパスなしの場合)
適用シナリオ モニタリング、分析 リアルタイム脅威ブロック

実務のヒント: 多くの組織では、最初はIDSモードで運用しながら検知ルールをチューニングした後、安定化してからIPSモードに切り替える方式を使用します。

2. 検知方式

2.1 シグネチャベース検知(Signature-based Detection)

既知の攻撃パターン(シグネチャ)とトラフィックを比較して検知する方式です。ウイルス対策ソフトのパターンマッチングに似ています。

動作原理:

パケット → シグネチャDBと比較 → 一致時にアラート/ブロック

シグネチャ例:
- SQLインジェクション:「' OR '1'='1」
- XSS攻撃:「