対象試験と出題頻度
IDS(侵入検知システム)は、ITパスポートから応用情報技術者まで幅広く出題されるセキュリティの重要キーワードです。
特に「IPS(侵入防止システム)」との違いが頻出なので、両者の役割を明確に区別できるようにしておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
IDS(Intrusion Detection System:侵入検知システム)とは、一言で言うと「ネットワークやシステムへの不正アクセスや攻撃を検知し、管理者に警告を発するセキュリティシステム」のことです。
イメージとしては、「建物に設置された防犯カメラと警報装置」のようなものです。不審者が侵入しようとしたら、それを検知して「侵入者がいます!」と警報を鳴らす。ただし、防犯カメラ自体が不審者を取り押さえるわけではありません。あくまで「検知して通知する」のがIDSの役割です。
情報処理試験を勉強していると、「IDSとIPSって何が違うの?」と混乱しがちです。結論から言えば、IDSは「検知のみ」、IPSは「検知+遮断」。この1点だけ押さえれば、試験問題はほぼ解けます。
📊 IDSとIPSの違い
| 項目 | IDS(侵入検知システム) | IPS(侵入防止システム) |
|---|---|---|
| 正式名称 | Intrusion Detection System | Intrusion Prevention System |
| 主な機能 | 不正アクセスを検知し、管理者に通知 | 不正アクセスを検知し、自動的に遮断 |
| 例え | 防犯カメラ+警報装置 | 防犯カメラ+自動ロック機能 |
| 対応速度 | 人手による対応が必要 | リアルタイムで自動対応 |
| 誤検知時の影響 | 通知が増えるだけ | 正常な通信も遮断される恐れ |
解説
IDS(Intrusion Detection System)は、ネットワークを流れる通信やサーバ上の動作を常時監視し、不正アクセスや攻撃の兆候を検知するセキュリティシステムです。
「Detection(検知)」という名前のとおり、検知と通知が主な役割で、攻撃を自動的に止める機能は持っていません。
「検知だけで意味があるの?」と思うかもしれませんが、実はこれが重要なのです。セキュリティインシデントが発生したとき、「いつ、どこから、どんな攻撃があったか」を把握できなければ、適切な対応ができません。IDSはその「目」の役割を果たします。
IDSの種類
IDSは監視対象によって大きく2種類に分かれます。これは試験でも問われるポイントなので、しっかり押さえておきましょう。
NIDS(Network-based IDS:ネットワーク型IDS)は、ネットワーク上を流れるパケットを監視します。ネットワークの要所に設置し、通過するすべての通信を検査するため、ネットワーク全体を効率的に監視できます。ただし、暗号化された通信(HTTPS等)の中身は検査できないという制限があります。
HIDS(Host-based IDS:ホスト型IDS)は、個々のサーバやPCにインストールして、そのホスト上の活動を監視します。ログファイル、ファイルシステムの変更、プロセスの挙動などをチェックします。暗号化通信の復号後のデータも監視できますが、監視対象ごとにインストールが必要なため、管理の手間がかかります。
💡 試験での出題パターン
「ネットワーク上のパケットを監視して不正を検知するシステムは?」→ NIDS
「サーバにインストールしてログやファイル変更を監視するシステムは?」→ HIDS
このパターンで出題されることが多いので、「ネットワーク型」「ホスト型」の違いを明確にしておきましょう。
IDSの検知方式
IDSが不正アクセスを検知する方法には、主に2つの方式があります。
シグネチャ型(不正検知型)は、既知の攻撃パターン(シグネチャ)をデータベース化し、それに一致する通信を検知します。既知の攻撃に対しては高い精度で検知できますが、未知の攻撃や新種の攻撃には対応できません。ウイルス対策ソフトのパターンマッチングと同じ考え方です。
アノマリ型(異常検知型)は、正常な通信パターンを学習し、そこから逸脱した「異常」を検知します。未知の攻撃も検知できる可能性がありますが、正常な通信を攻撃と誤検知(フォルスポジティブ)するリスクもあります。
📊 シグネチャ型とアノマリ型の比較
| 項目 | シグネチャ型(不正検知型) | アノマリ型(異常検知型) |
|---|---|---|
| 検知方法 | 既知の攻撃パターンと照合 | 正常パターンからの逸脱を検出 |
| 既知の攻撃 | 高精度で検知可能 | 検知可能(逸脱として) |
| 未知の攻撃 | 検知困難 | 検知の可能性あり |
| 誤検知 | 比較的少ない | 発生しやすい |
| 運用の手間 | シグネチャの定期更新が必要 | 正常パターンの学習・調整が必要 |
IDSの限界と他の対策との組み合わせ
IDSは強力な監視ツールですが、単体では完全な防御にはなりません。検知しても自動で遮断しないため、管理者の対応が遅れると被害が拡大する可能性があります。
そのため、実際の運用では、リアルタイムで遮断できるIPS(侵入防止システム)と併用したり、ファイアウォールやWAFと組み合わせた「多層防御」を構築したり、SIEM(Security Information and Event Management)と連携してログを一元管理したりするのが一般的です。
⚠️ フォルスポジティブとフォルスネガティブ
IDSの運用で課題となるのが「誤検知」です。フォルスポジティブ(False Positive)は正常な通信を攻撃と誤検知すること。アラートが多すぎると管理者が疲弊し、本当の攻撃を見逃す原因になります。
フォルスネガティブ(False Negative)は攻撃を見逃してしまうこと。どちらもゼロにはできないため、適切なチューニングが重要です。この2つの用語も試験で問われることがあります。
試験ではこう出る!
IDSは、ITパスポートから応用情報技術者まで幅広く出題されます。
「IPSとの違い」「NIDSとHIDSの違い」「シグネチャ型とアノマリ型の違い」という3つの比較がよく問われるので、それぞれの特徴を整理しておきましょう。
【試験で狙われるポイント】
- IDSは「検知+通知」、IPSは「検知+遮断」
- NIDS = ネットワーク監視、HIDS = ホスト(サーバ)監視
- シグネチャ型 = 既知の攻撃パターンと照合
- アノマリ型 = 正常からの逸脱を検出
- フォルスポジティブ = 誤検知、フォルスネガティブ = 見逃し
試験問題で「ネットワークやシステムへの不正アクセスを検知し、管理者に通知する」という記述があれば、それは「IDS」に関する記述です。「検知して自動的に遮断する」と書いてあれば「IPS」なので、動詞に注目しましょう。
「IDSとIPSの違いは大丈夫だけど、NIDSとHIDSまで覚える必要ある?」と感じた方もいるかもしれません。
正直なところ、ITパスポートレベルではIDSとIPSの違いだけ押さえておけば十分です。基本情報・応用情報を受ける方は、NIDSとHIDSの違いまで覚えておくと安心です。
📊 セキュリティ機器の役割まとめ(試験対策)
| 機器・システム | 主な役割 |
|---|---|
| ファイアウォール | IPアドレス・ポート番号で通信を許可/拒否 |
| IDS | 不正アクセスを検知して管理者に通知 |
| IPS | 不正アクセスを検知して自動的に遮断 |
| WAF | Webアプリへの攻撃(SQLi、XSS等)を防御 |
| UTM | 上記機能を統合した多機能セキュリティ機器 |
📝 IPA試験での出題ポイント
IDSとIPSは「D = Detection(検知)」「P = Prevention(防止)」という英語の意味を覚えておくと、迷ったときに正解を導けます。また、「ファイアウォールをすり抜けた攻撃を検知する」という文脈でIDSが登場することも多いので、多層防御の中での位置づけも理解しておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. IDS(侵入検知システム)に関する説明として、最も適切なものはどれでしょうか?
- A. ネットワークやシステムへの不正アクセスを検知し、自動的に通信を遮断するシステム
- B. Webアプリケーションに対するSQLインジェクションやXSSなどの攻撃を検知・遮断するシステム
- C. ネットワークやシステムへの不正アクセスを検知し、管理者に警告を通知するシステム
正解と解説を見る
正解:C
解説:
IDS(Intrusion Detection System:侵入検知システム)は、ネットワークやシステムへの不正アクセスや攻撃の兆候を検知し、管理者に警告を通知するセキュリティシステムです。「Detection(検知)」という名前のとおり、検知と通知が主な役割であり、攻撃を自動的に遮断する機能は持っていません。監視対象によってNIDS(ネットワーク型)とHIDS(ホスト型)に分類されます。
選択肢Aは「IPS(侵入防止システム)」の説明です。IPSは検知に加えて自動遮断機能を持ちます。選択肢Bは「WAF(Web Application Firewall)」の説明であり、いずれもIDSとは異なります。
