社内ネットワークやサーバーへの不正アクセスをどう検知し、どう防ぐかを検討する場面で、必ず登場するのがIDS(侵入検知システム)とIPS(侵入防御システム)です。両者は名前が似ているうえ、ファイアウォールやWAFと役割が重なる部分もあり、概念整理に時間を取られていませんか。
IDSとIPSは、検知のみを行うか、検知と同時に通信を自動で遮断するかという違いを軸に、設置場所や検知方式によって複数のタイプに分類されます。米国国立標準技術研究所(NIST)の「侵入検知および侵入防止システム(IDPS)に関するガイド」では、検知方式と設置場所の組み合わせが体系的に整理されており、自社環境に合う製品を選ぶ際の出発点になります。
本記事では、IDSとIPSの違いを役割・検知方式・設置場所の3つの軸で整理し、ファイアウォール・WAFとの使い分け、近年主流になりつつあるNDR(Network Detection and Response)への進化、関連する不正検知ソリューションの比較までを解説します。
目次
IDSとIPSの違い|検知と防御の役割分担
IDS(Intrusion Detection System、侵入検知システム)とIPS(Intrusion Prevention System、侵入防御システム)は、ネットワーク上や端末上の異常な通信・操作を見つける仕組みです。米国国立標準技術研究所(NIST)のIDPSガイドでは両者を合わせてIDPSと総称し、検知だけを担当するか、検知に加えて遮断まで担当するかが分類の出発点になります。
IDS(侵入検知システム)は異常を検知して通知する
IDSは、ネットワーク上を流れる通信パケットやサーバーのログを常時監視し、攻撃の兆候と思われるパターンを見つけたら管理者に通知する仕組みです。検知後の対応は通知の受け手である運用担当者に委ねられ、IDS自体は通信を止めません。誤検知が発生してもサービスへの影響が出にくいため、可用性を最優先する基幹システムや、業務影響を慎重に評価したい本番環境で採用されます。
通知のみという特性上、検知から実際の遮断アクションまでにタイムラグが生じます。攻撃が成立する前に止める運用にしたい場合は、IDSと外部の遮断装置(ファイアウォールのACL自動更新や、インシデント対応自動化基盤であるSOARとの連携)を組み合わせるか、後述するIPSの導入が選択肢になります。
IPS(侵入防御システム)は検知に加えて通信を遮断する
IPSは、IDSの検知機能に加えて不正な通信を自動的に遮断するところまで担う仕組みです。通信経路上にインラインで設置するのが基本構成で、攻撃パケットを送信元に応答する前にドロップしたり、コネクションそのものを切断したりできます。NISTのガイドでも「IPSはIDSのすべての機能を備え、さらに発生しうるインシデントの阻止を試みる」と整理されています。
一方で、インライン設置のため通信遅延や障害ポイントの増加といった可用性への影響を考慮する必要があります。誤検知(フォールスポジティブ)で正常な通信まで遮断されると業務停止につながるため、ホワイトリスト調整やシグネチャの段階的有効化が運用の前提です。
多くの製品はIDSモードとIPSモードを切り替えられるため、導入初期はIDSモードで監視のみ行い、誤検知の傾向を把握してから防御モードに移行する運用が一般的です。
一覧で比較するIDSとIPSの違い
IDSとIPSの主要な違いを、設置形態・対応アクション・運用上の留意点で整理します。
| 比較項目 | IDS(侵入検知システム) | IPS(侵入防御システム) |
|---|---|---|
| 主な役割 | 異常な通信・操作の検知と通知 | 検知と同時に通信を遮断 |
| 通信への影響 | なし(通信経路の外で監視) | あり(通信経路上に配置) |
| 設置形態 | ミラーポート経由などのパッシブ配置 | インライン配置 |
| 誤検知時の影響 | 通知の精査工数が増える | 正常通信まで遮断する可能性 |
| 可用性リスク | 低い | 相対的に高い |
どちらを採用するかは、対象システムの可用性要件と、攻撃を検知してから遮断するまでに許容できるタイムラグで判断します。両者を併用し、外部公開セグメントはIPSで自動遮断、内部セグメントはIDSで監視に徹するという使い分けも選択肢になります。
IDS・IPSが脅威を検知する3つの方式
IDS・IPSが「異常」と判断する根拠には、大きく分けて3つの検知方式があります。NIST SP 800-94では、シグネチャ型・アノマリ型・ステートフルプロトコル分析の3方式が解説されており、多くの製品はこれらを単独または組み合わせて採用しています。
シグネチャ型|既知の攻撃パターンと照合する
シグネチャ型は、既知の攻撃に対応するパターン(シグネチャ)をあらかじめデータベース化しておき、通信内容をパターンマッチングで照合する方式です。SQLインジェクションの典型的なペイロードや、特定のマルウェアが送信するC2通信のヘッダー特徴など、攻撃の痕跡が明確なものを高い精度で検知できます。誤検知が少ない利点があり、運用負荷も比較的低い方式です。
一方で、シグネチャに登録されていない未知の攻撃や、攻撃パターンを少しずつ変えて検知を回避するゼロデイ攻撃には対応できません。シグネチャは攻撃者と防御者のいたちごっこで更新され続けるため、ベンダーからの定期的なシグネチャ配信を受けて運用する前提になります。
アノマリ型|通常状態からの逸脱を検出する
アノマリ型(異常検知型)は、平常時のネットワーク利用パターンを統計的・機械学習的に学習し、そこから逸脱した通信を異常として検知する方式です。普段は流れない時間帯の大量通信や、社内端末から海外IPアドレスへの突発的なデータ送信などをルール化なしで検出でき、シグネチャでは捕捉が難しい未知の攻撃や内部からの情報持ち出しへの対応が期待されます。
ただし、業務上の正当な変化(新規プロジェクト開始による通信パターンの変化、繁忙期のアクセス増など)を異常と判定するフォールスポジティブが発生しやすいため、初期チューニングと継続的なベースライン更新が運用の鍵となります。
ステートフルプロトコル分析|プロトコル規格逸脱を見抜く
ステートフルプロトコル分析は、HTTP・SMTP・DNSなどの各プロトコルが本来取りうる状態遷移や、リクエスト・レスポンスの組み合わせを、ベンダーが定義したモデルと比較して規格から外れる挙動を検知する方式です。HTTPで成立しないシーケンスのコマンドが続けて送られる、SMTPで認証フェーズ前にデータ送信が始まる、といった攻撃由来のプロトコル違反を捕捉できます。
プロトコル仕様に基づく検知のため、シグネチャより汎用性があり、アノマリ型より誤検知の抑制が利きやすい性質があります。アプリケーションごとに状態モデルを持たせる必要があるため、対応プロトコルの範囲は製品ごとに異なります。
設置場所・監視対象による4つのタイプ
NIST SP 800-94では、IDPSを設置場所と監視対象によって4つのクラスに分類しています。同じ「IDS」「IPS」という呼称でも、ネットワーク全体を見るタイプとサーバー1台を見るタイプでは、見える脅威の性質と運用負荷が大きく異なります。
ネットワーク型(NIDS / NIPS)
ネットワーク型は、ゲートウェイやネットワークの集約点に設置し、通過するパケットを監視する方式です。NIDS(Network-based IDS)はミラーポート経由でコピーされた通信を分析し、NIPS(Network-based IPS)は通信経路上にインライン配置されます。複数のサーバーに対する攻撃を1台でカバーできるため、企業ネットワークの境界監視で長く採用されてきた構成です。
暗号化された通信(HTTPSなど)は中身が見えないため、暗号化スキャンを別途用意するか、エンドポイント側の対策と組み合わせる必要があります。データセンター内部の東西通信を可視化する用途では、近年はNDR(Network Detection and Response)と呼ばれる次世代のネットワーク監視製品が役割を引き継いでいます。
ホスト型(HIDS / HIPS)
ホスト型は、監視対象のサーバーや端末上にエージェントを導入し、ログイン記録・プロセス起動・ファイル改ざんなどを監視する方式です。HIDS(Host-based IDS)は検知のみを行い、HIPS(Host-based IPS)は不審な挙動をブロックします。サーバー内部のイベントが見えるため、ネットワーク型では難しい権限昇格や内部不正の検知に強みがあります。
監視対象ごとにエージェントを配布する必要があるため、台数が多い環境では運用管理コストが上がります。近年はEDR(Endpoint Detection and Response)がホスト型IDS/IPSの後継として位置付けられ、検知ロジックの高度化と一元管理機能を備えた製品の導入が一般化しています。
ネットワーク挙動分析型(NBA)
ネットワーク挙動分析型(Network Behavior Analysis、NBA)は、トラフィックフローの統計情報を解析し、平常時のベースラインから逸脱した通信を検知する方式です。個別のパケット内容ではなくフロー全体の傾向を見るため、DDoS攻撃(分散型サービス拒否攻撃)やワームの内部拡散、ボットネット化した端末のC2通信(Command and Control通信)などを早期に検知できます。
挙動分析の精度はベースライン学習の質に左右されるため、ネットワーク構成変更や新サービス導入のタイミングで再学習が必要になります。エンドポイント型と組み合わせることで、内部からの不審な挙動を多角的に検知する運用が一般的です。
無線ネットワーク型(WIDPS)
無線ネットワーク型は、社内Wi-Fiの電波を監視し、許可されていないアクセスポイント(不正AP)の設置や、暗号化方式の脆弱性を突く攻撃を検知する方式です。BYOD(私物端末の業務利用)が一般化したオフィス環境や、来客用Wi-Fiが社内ネットワークと近接する構成で導入価値が高まります。
無線アクセスポイント製品にIDPS機能が統合されているケースも多く、独立した監視装置として導入するか、ネットワーク機器の付帯機能として有効化するかは、社内Wi-Fiの規模と要件で判断します。
ファイアウォール・WAFとの違いと使い分け
IDS・IPSは、ファイアウォールやWAF(Web Application Firewall)と機能領域が一部重なりますが、対象とする通信レイヤーと攻撃の種類が異なります。3者を防御線として組み合わせて使うのが基本構成です。
| 比較項目 | ファイアウォール | IDS・IPS | WAF |
|---|---|---|---|
| 主な対象レイヤー | ネットワーク層(L3)・トランスポート層(L4) | ネットワーク層〜アプリケーション層(L3〜L7) | アプリケーション層(L7)に特化 |
| 主な防御対象 | 送信元・宛先・ポートに基づくアクセス制御 | 通信内容の異常検知・遮断 | Webアプリケーション固有の攻撃 |
| 検知の起点 | 事前に定義したルール(ホワイトリスト/ブラックリスト) | シグネチャ・アノマリ・プロトコル分析 | Web攻撃パターン・入力値検証 |
| 攻撃の例 | 未許可ポートへの接続、許可外IPからの通信 | OSコマンドインジェクション、ワーム拡散、ポートスキャン | SQLインジェクション、クロスサイトスクリプティング、ファイルアップロード攻撃 |
ファイアウォールが「誰の通信を通すか」を制御するのに対し、IDS・IPSは「通過した通信の中身に怪しい挙動がないか」を見る役割です。WAFはさらにWebアプリケーション層に特化し、HTTPリクエストのパラメーターやペイロードを検査します。3者は重なり合うのではなく階層的に機能を分担しており、外部公開サーバーであれば「ファイアウォール+IPS+WAF」を組み合わせるのが一般的な構成例です。
NDR・EDRへの進化|次世代の侵入検知
従来のIDS・IPSは、シグネチャと境界防御を中心に組み立てられていましたが、クラウド利用の拡大やゼロトラストアーキテクチャの普及に伴い、検知対象の境界が曖昧になっています。これに対応する形で登場したのが、ネットワーク領域のNDR(Network Detection and Response)と、エンドポイント領域のEDR(Endpoint Detection and Response)です。
NDRは、シグネチャ型のNIDS/NIPSが苦手だった内部ネットワークの可視化(東西通信の監視)と、機械学習による異常検知を組み合わせた次世代のネットワーク監視製品です。フルパケットキャプチャやメタデータ抽出により、検知後のフォレンジック調査までを一気通貫で支援します。EDRはHIDS/HIPSの後継として端末挙動を詳細に記録し、攻撃の侵入経路と影響範囲を追跡できます。
境界に置く従来のファイアウォール・IPSに加えて、内部監視としてNDRを、エンドポイント対策としてEDRを組み合わせる多層防御は、現行のセキュリティ運用で採用される代表的なアーキテクチャの一つです。
これらを束ねるXDR(Extended Detection and Response)や、ログを集約して相関分析を行うSIEM(Security Information and Event Management、セキュリティ情報イベント管理)との連携を組み合わせる構成もあります。
IDS・IPSで検知できる主な攻撃
IDS・IPSが捕捉する代表的な攻撃を整理します。検知方式・設置タイプによってカバー範囲は異なりますが、複数の方式を組み合わせて運用すると、外部からの侵入から内部での横展開まで段階的に検知できます。
- ポートスキャン・脆弱性スキャン: 攻撃者が侵入経路を探索する初期段階の通信をシグネチャ型で検知する
- SQLインジェクション・OSコマンドインジェクション: アプリケーション層の攻撃ペイロードをシグネチャ型・プロトコル分析で検知する(WAFと併用が一般的)
- マルウェアのC2通信: 感染端末から外部の指令サーバーへの通信を、シグネチャまたはアノマリ型で検知する
- ワーム・ランサムウェアの内部拡散: 短時間に複数の社内端末へSMB(Server Message Block、Windowsのファイル共有プロトコル)接続が走るようなパターンをNBA型・NDR型で検知する
- 権限昇格・ファイル改ざん: サーバー内部での不審な操作をHIDS/HIPS、EDRで検知する
- 不正な無線APの設置: 社内Wi-Fi近傍に設置された未許可APを無線型IDPSで検知する
これらの攻撃は単独で発生するのではなく、初期侵入から横展開、情報持ち出しまで一連の流れで進行します。攻撃チェーン全体を可視化するには、ネットワーク監視とエンドポイント監視を組み合わせ、SIEMで相関分析するアーキテクチャが推奨されます。
IDS・IPS導入時に押さえるポイント
IDS・IPSの導入では、自社環境の構成と運用体制に合わせた選定が成果を左右します。製品選定時に確認しておきたい観点を整理します。
自社の監視対象はネットワーク全体か特定端末か
監視対象が複数サーバーを跨ぐ通信全体であればネットワーク型、特定の重要サーバーや管理者端末に絞るならホスト型が候補になります。両方の可視性が必要であれば、NDRとEDRを組み合わせる構成を検討します。クラウド環境を含む場合は、対象環境(AWS/Azure/GCP/オンプレ)で稼働実績があるか、エージェントやVPCトラフィックミラーリングへの対応状況を製品ごとに確認することが望まれます。
遮断まで自動化するか、検知のみで運用するか
業務影響への許容度が低いシステムでは、まずIDSモードで稼働させ、誤検知の傾向を把握してから段階的にIPSモードへ移行する運用が推奨されます。自社にSOC(セキュリティオペレーションセンター)がない場合は、MDR(Managed Detection and Response)サービスとの組み合わせや、自動遮断による初動短縮の価値が大きくなります。
既存のセキュリティ製品と連携できるか
すでに導入済みのファイアウォール・WAF・SIEM・SOAR・EDRと、ログ転送やAPI連携が可能かの確認が重要です。Syslog(標準ログ転送プロトコル)転送・REST API・MITRE ATT&CKフレームワーク準拠の有無は、相関分析や脅威ハンティングの精度に直結します。
MITRE ATT&CKは、攻撃者の戦術・技術を実世界の観測に基づき体系化した知識ベースで、検知ルールの整理に広く使われています。
運用負荷・サポート体制に見合うか
IDS・IPSは導入後のチューニングと、シグネチャ・脅威インテリジェンスの継続的な更新が不可欠です。アラート対応に必要な工数、ベンダーが提供する運用サポートやマネージドサービスの有無、国内代理店による日本語対応の有無を、自社のセキュリティ運用リソースと照らして判断することが求められます。
IDS・IPSの機能を備えた不正検知ソリューションを比較
ここからは、IDS・IPSの考え方を現代のネットワーク監視に拡張した不正検知ソリューションのうち、代表的な3製品を紹介します。それぞれ監視範囲や検知方式が異なるため、自社の環境に合わせて比較検討する際の参考にしてください。
以下はご紹介する不正検知ソリューションの比較表です。
※上記は2026年5月時点の公開情報に基づく整理です。実際の機能搭載の有無や料金プランは各社の最新情報をご確認ください。
また、以下の記事では不正検知ソリューションについて、選び方や機能などを詳細に解説しています。導入を検討される方は、ぜひこちらもご覧ください。
不正アクセス検知システムおすすめ13選|IDS/IPS・EDR・ATO・取引不正の4タイプで比較
ランサムウェアによる業務停止や、漏えいID/パスワードによる不正ログインの被害が、自社で起きないか不安を感じていませんか。 ファイアウォールやWAFだけでは、内部侵入後の横展開や正しい認証情報でのなりすましアクセスを検知できず、検知の空白領…
Network Blackbox(株式会社クワッドマイナージャパン)
株式会社クワッドマイナージャパンが提供する、ネットワーク全パケットをキャプチャ・分析するNDR(Network Detection and Response)ソリューションです。従来のIDS・IPSが境界での通信検査を中心としていたのに対し、社内ネットワーク・データセンター・OTネットワークを横断する通信を可視化し、侵入後の横展開や情報持ち出しの検知まで対応します。
シグネチャベースの検知に加え、ユーザー行為ベースの異常検知(BAD:Behavior-based Anomaly Detection)とAI分析エンジンを組み合わせ、最大40Gbpsの通信を100%パケットキャプチャしながら、最大15PBまでの長期保存に対応します。
MITRE ATT&CKフレームワーク準拠の脅威ハンティング機能を備え、EDR・SIEM との連携による自動対応にも対応します。グローバルでは70社以上の導入実績が公表されており、ミラーリング方式で既存ネットワークに非介入で導入できる点も、可用性を重視する環境への適合性を高めています。
Darktrace(Darktrace Holdings Limited)
英Darktrace Holdings Limitedが提供する、自己学習型AI(Self-Learning AI)を中核とした統合型サイバーセキュリティプラットフォームです。ネットワーク・メール・クラウド・OT環境を横断して監視し、各組織固有の通常状態を教師なし学習で把握したうえで、ベースラインから逸脱する挙動を検出します。
シグネチャに依存しないため、ゼロデイ攻撃や内部不正への対応にも適しています。2024年にThoma Bravoによる買収が完了して非公開化された後も、110か国・約10,000社のグローバル導入実績を持つベンダーとして展開しています。
日本国内ではダークトレース・ジャパン株式会社が拠点を構え、CTC・SB C&S・LANSCOPE(エムオーテックス)など複数の販売代理店が導入支援を提供しています。
L2Blocker(エクスジェン・ネットワークス株式会社)
エクスジェン・ネットワークス株式会社が提供する、社内LAN上の不正端末接続を検知・遮断する国産のネットワーク監視ソリューションです。シグネチャベースの侵入検知ではなく、ARPパケットを読み取って許可登録されていない端末(持ち込みPC・私物スマートフォン・未管理IoT機器など)を検出し、レイヤ2レベルで通信を遮断する独自方式を採用しています。
既存のLAN構成を変更せずにセグメントごとにセンサーを追加設置できるため、段階的な導入が可能です。クラウド版は月額20,000円(10,000 MAC以下・500セグメント以下)にスタンダードセンサー3,000円/台を組み合わせる料金体系で、導入実績は2,000社以上、出荷台数23,000台以上が公式に公表されています。
エージェントレスでWindows/Mac/Linux/Unixに加え、スマートフォン・タブレットも検知対象となるため、BYODガバナンスや持ち込み端末対策が課題となる組織で、IDS・IPSの考え方を端末実在性の管理に応用した製品として活用できます。
まとめ
本記事では、IDSとIPSの違いを役割・検知方式・設置場所の3つの軸で整理し、ファイアウォール・WAFとの使い分けと、NDR・EDRへの進化、関連する不正検知ソリューションの比較までを解説しました。
IDSとIPSは検知のみか遮断ありかという役割の違いを軸に、シグネチャ型・アノマリ型・ステートフルプロトコル分析の3方式と、ネットワーク型・ホスト型・NBA型・無線型の4タイプを組み合わせて構成されます。クラウド利用とゼロトラスト化が進む現在は、境界に置く従来のIPSに加えて、内部監視のNDR、エンドポイント監視のEDRを多層で組み合わせるアーキテクチャが標準になりつつあります。
自社環境の規模・運用体制・既存セキュリティ製品との連携要件を踏まえ、最適な不正検知ソリューションを選定してください。
よくある質問(FAQ)
Q. IDSとIPSはどちらか1つだけ導入すれば十分ですか?
A. 多くの製品はIDSモードとIPSモードを切り替えられるため、まずIDSモードで運用し、誤検知の傾向を把握してからIPSモードへ移行する段階的導入が一般的です。外部公開セグメントは自動遮断が必要なケースが多いためIPSモード、内部ネットワークは可用性を優先してIDSモードで監視するという使い分けも選択肢になります。
Q. ファイアウォールがあればIDS・IPSは不要ですか?
A. ファイアウォールとIDS・IPSは役割が異なるため、両方を組み合わせて運用するのが基本です。ファイアウォールは送信元・宛先・ポートに基づくアクセス制御を担当し、IDS・IPSはファイアウォールを通過した通信の中身に怪しい挙動がないかを検査します。さらにWebアプリケーション固有の攻撃にはWAFを組み合わせ、3者で階層的に防御するのが推奨構成です。
Q. NDRやEDRが出てきた今、従来のIDS・IPSは不要になりますか?
A. 境界での通信検査という役割は依然として有効で、NDR・EDRはIDS・IPSを置き換えるのではなく補完する位置付けです。境界のIPSが外部からの既知攻撃を遮断し、内部のNDRが侵入後の横展開を可視化し、エンドポイントのEDRが端末挙動を詳細に記録するという多層防御が、現在のセキュリティ運用の標準的な構成になっています。
Q. IDS・IPSはクラウド環境にも導入できますか?
A. クラウド環境向けのIDS・IPS/NDR製品は複数存在しますが、対応環境は製品ごとに異なるため事前確認が必要です。AWS・Azure・GCPのトラフィックミラーリング機能に対応する製品では、クラウド内通信のパケットレベル監視が可能です。クラウド事業者がマネージドサービスとして提供するIDPS機能と、サードパーティNDRを組み合わせる構成も検討対象になります。
不正検知ソリューションの料金・機能を一括チェック
MCB FinTechカタログでは、IDS・IPS/NDR・EDRをはじめとする不正検知ソリューションの最新資料を無料で一括ダウンロードできます。初期費用、月額費用、検知対象範囲、運用体制など、比較に必要な情報をすばやく把握できます。
MCB FinTechカタログに掲載しませんか?
MCB FinTechカタログでは、掲載企業様を募集しています。マネックスグループの金融実務ノウハウを活かした独自の評価軸と検索設計により、導入検討者が最適なサービスを効率的に発見できる法人向け比較プラットフォームです。掲載後は管理画面から料金表や導入事例を随時更新でき、常に最新の情報を訴求可能。まずは下記フォームより、お気軽にお問い合わせください。
