対象試験と出題頻度
IPS(侵入防止システム)は、ITパスポートから応用情報技術者まで幅広く出題されるセキュリティの重要キーワードです。
「IDS(侵入検知システム)」との違いは鉄板の出題パターンなので、両者の役割を確実に区別できるようにしておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
IPS(Intrusion Prevention System:侵入防止システム)とは、一言で言うと「ネットワークやシステムへの不正アクセスを検知し、リアルタイムで自動的に遮断するセキュリティシステム」のことです。
イメージとしては、「不審者を検知すると自動でドアをロックする警備システム」のようなものです。IDS(侵入検知システム)が「防犯カメラ+警報装置」で「不審者がいます!」と通知するだけなのに対し、IPSは検知した瞬間に「ドアを自動ロック」して侵入を阻止します。
情報処理試験を勉強していると、「IDSとIPSって1文字違いで紛らわしい…」と感じる方も多いのではないでしょうか。覚え方はシンプルです。IDS = Detection(検知)= 見つけるだけ、IPS = Prevention(防止)= 見つけて止める。この違いを押さえれば、試験問題は確実に解けます。
📊 IDSとIPSの決定的な違い
| 項目 | IDS(侵入検知システム) | IPS(侵入防止システム) |
|---|---|---|
| 英語の意味 | Detection = 検知 | Prevention = 防止 |
| 主な機能 | 不正アクセスを検知→管理者に通知 | 不正アクセスを検知→自動で遮断 |
| 通信経路 | 通信のコピーを監視(パッシブ) | 通信経路上に配置(インライン) |
| 例え | 防犯カメラ+警報装置 | 防犯カメラ+自動ロックドア |
| 攻撃への対応 | 人手で対応が必要 | リアルタイムで自動対応 |
解説
IPS(Intrusion Prevention System)は、ネットワーク上を流れる通信をリアルタイムで監視し、不正なアクセスや攻撃を検知した瞬間に、その通信を自動的に遮断するセキュリティシステムです。IDSが「検知して通知するだけ」なのに対し、IPSは「検知して即座にブロック」するのが最大の特徴です。
「自動で止めてくれるなら、IPSだけあればいいのでは?」と思うかもしれません。実際、IPSはIDSの進化形とも言えます。しかし、IPSには「誤検知したときに正常な通信も止めてしまう」というリスクがあります。そのため、状況に応じてIDSとIPSを使い分けたり、併用したりすることがあります。
IPSの配置方式
IPSが攻撃を遮断するためには、通信経路上(インライン)に配置する必要があります。すべての通信がIPSを通過する形になるため、IPSが「通してよい通信」と「遮断すべき通信」を判断してから転送します。
この配置方式がIDSとの大きな違いです。IDSは通信のコピーを受け取って監視するだけなので、通信経路の外側に配置されます。
💡 インライン配置のメリットとデメリット
メリット:攻撃をリアルタイムで遮断できる。人手を介さず即座に対応できるため、被害を最小限に抑えられる。
デメリット:IPSが故障すると通信全体が止まる可能性がある。また、誤検知(フォルスポジティブ)が発生すると、正常な通信まで遮断してしまう。処理負荷が高いと通信遅延の原因にもなる。
IPSの検知方式
IPSの検知方式はIDSと同様で、シグネチャ型とアノマリ型の2種類があります。
シグネチャ型(不正検知型)は、既知の攻撃パターンをデータベース化し、それに一致する通信を遮断します。精度は高いですが、未知の攻撃には対応できません。シグネチャの定期的な更新が必要です。
アノマリ型(異常検知型)は、正常な通信パターンを学習し、そこから逸脱した「異常」を検知・遮断します。未知の攻撃も検知できる可能性がありますが、誤検知のリスクが高くなります。
実際の製品では、両方の方式を組み合わせたハイブリッド型が主流です。
IPSの種類
IPSも監視対象によって種類が分かれます。
NIPS(Network-based IPS:ネットワーク型IPS)は、ネットワークの境界に設置し、通過するすべての通信を検査・制御します。ファイアウォールの後段に配置されることが多いです。
HIPS(Host-based IPS:ホスト型IPS)は、個々のサーバやPCにインストールして、そのホストへの攻撃を検知・遮断します。OSやアプリケーションの挙動を監視し、不正な動作をブロックします。
📊 ネットワーク型とホスト型の比較
| 項目 | NIPS(ネットワーク型) | HIPS(ホスト型) |
|---|---|---|
| 監視対象 | ネットワーク全体の通信 | 個々のホスト上の活動 |
| 設置場所 | ネットワークの境界 | サーバやPCにインストール |
| 暗号化通信 | 中身の検査は困難 | 復号後のデータを検査可能 |
| 管理の手間 | 一括管理が可能 | ホストごとに管理が必要 |
IPSの課題と運用のポイント
IPSは強力な防御機能を持つ一方で、運用には注意が必要です。
最大の課題は誤検知(フォルスポジティブ)です。正常な通信を攻撃と誤判定して遮断してしまうと、業務に支障をきたします。特に導入直後はチューニングが不十分なため、誤検知が発生しやすくなります。
また、IPSが単一障害点(SPOF)になるリスクもあります。通信経路上に配置されるため、IPS自体が故障すると通信全体が停止する可能性があります。そのため、冗長化構成やバイパス機能の設定が重要です。
⚠️ IPSだけでは守れない
IPSは強力ですが万能ではありません。暗号化された通信(HTTPS等)の中身は検査できませんし、ゼロデイ攻撃(未知の脆弱性を突く攻撃)への対応も限界があります。
そのため、ファイアウォール、WAF、EDR(Endpoint Detection and Response)などと組み合わせた多層防御が現代のセキュリティ対策の基本です。
試験ではこう出る!
IPSは、ITパスポートから応用情報技術者まで幅広く出題されます。最頻出は「IDSとの違い」ですが、ファイアウォールやWAFとの役割の違いも問われることがあります。
【試験で狙われるポイント】
- IPS = 検知+自動遮断(ここが最重要!)
- IDS = 検知+通知のみ(遮断しない)
- IPSは通信経路上(インライン)に配置
- 誤検知すると正常通信も止まるリスクあり
- ファイアウォール、WAFとの役割の違いも整理
試験問題で「不正アクセスを検知し、自動的に遮断する」や「リアルタイムで攻撃を防止する」という記述があれば、それは「IPS」に関する記述です。「通知する」「アラートを発する」だけなら「IDS」なので、動詞に注目しましょう。
試験ではここまで押さえておけばOKです。NIPSやHIPSといった細かい分類は、基本情報・応用情報レベルで問われることがあるので、余裕があれば覚えておくとよいでしょう。
📊 セキュリティ機器の比較まとめ(試験対策)
| 機器 | 主な役割 | 遮断機能 |
|---|---|---|
| ファイアウォール | IP/ポートで通信を制御 | あり |
| IDS | 不正アクセスを検知・通知 | なし |
| IPS | 不正アクセスを検知・遮断 | あり |
| WAF | Webアプリへの攻撃を防御 | あり |
📝 IPA試験での出題ポイント
「IDSとIPSの違いは?」と聞かれたら、「遮断するかしないか」の一点で答えられます。英語の意味(Detection vs Prevention)を覚えておけば、迷ったときも正解を導けます。また、「インライン配置」という言葉が出てきたらIPSを連想できるようにしておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. IPS(侵入防止システム)に関する説明として、最も適切なものはどれでしょうか?
- A. ネットワークやシステムへの不正アクセスを検知し、リアルタイムで自動的に通信を遮断するシステム
- B. ネットワークやシステムへの不正アクセスを検知し、管理者にアラートを通知するシステム
- C. IPアドレスやポート番号に基づいて、通信の許可・拒否を制御するシステム
正解と解説を見る
正解:A
解説:
IPS(Intrusion Prevention System:侵入防止システム)は、ネットワークやシステムへの不正アクセスや攻撃を検知し、リアルタイムで自動的に通信を遮断するセキュリティシステムです。「Prevention(防止)」という名前のとおり、検知だけでなく攻撃を止める機能を持っています。通信経路上(インライン)に配置され、すべての通信を検査・制御します。
選択肢Bは「IDS(侵入検知システム)」の説明です。IDSは検知と通知のみで、自動遮断機能を持ちません。選択肢Cは「ファイアウォール」の説明であり、いずれもIPSとは異なります。
