IDS・IPSとファイアウォールとWAFの違いをわかりやすく解説

IDS/IPSとファイアウォールとWAFの違いを簡単に解説

IDS/IPSは「見張り役」、ファイアウォールは「攻撃を防ぐための壁」というイメージを持っていただくと、この先の内容を理解しやすいかと思います。また、WAFはWebアプリケーションの脆弱性の隙を突いた攻撃などからシステムを保護するものです。

IDS	不正侵入検知システム。インターネットからの不正なアクセスと正当なアクセスを識別し、不正なアクセスを検知して管理者に通知する
IPS	不正アクセス検知機能と不正な通信を防御する機能を備えている
ファイアウォール	外部ネットワークから内部ネットワークへの攻撃を守るセキュリティ対策。インターネットを経由してサーバーやPC、データを狙った攻撃を防ぐ
WAF	webアプリケーションの脆弱性を突いた攻撃へのセキュリティ対策

IDS/IPSとは？

ここでは、IDS/IPSについて、ファイアウォールやWAFとの違いにも触れながら解説していきます。

IDSの働き・検出の仕組み

IDSは正常な通信と不正が疑われる通信を判別し、不正な通信を検知可能です。パケットを基に不正な通信を検知する仕組みとなっており、基本的にはファイアウォールで許可済みのポートとIPアドレスを通過したパケットを識別します。

IDSが検知可能な不正な通信は、脆弱性を突いたコードや攻撃に利用される、異常のある通信や標準仕様のプロトコルではないパケットなどです。ファイアウォールは内部ネットワークを防御するものなので、IDSのような検知機能は備わっていません。

IPSの働き・防げる攻撃

IPSはIDSと検出機能の部分は変わりません。しかし、IDSは不正な通信を検知するだけですが、IPSは検知から防御まで対応可能です。

そのため、IDSはネットワークへ影響を与えないようにネットワークからパケットをコピーする形で導入しますが、IPSはファイアウォールのようにネットワークにインラインで導入します。

ファイアウォールは、不正な通信を検知する機能がないので防御することもできません。

IDS/IPSの働く場所

IPS/IDSにはホスト型とネットワーク型があり、それぞれ設置場所が異なります。

• ホスト型：ファイアウォールの内側（内部ネットワークにあるコンピュータ上）
• ネットワーク型：ファイアウォールの外側・DMZ上・内部ネットワーク上

また、IPS/IDSはファイアウォールの外側に設置する場合と、内側に設置する場合で目的が違います。

• ファイアウォールの外側に設置する場合：ログを取得することでサイバー攻撃などを把握・解析することが目的
• ファイアウォールの内側に設置する場合：ファイアウォールと防御力を補い合い、防御を重視することが目的

ファイアウォールとは？

ファイアウォールは、インターネットと企業内LANの間に設置されるものです。 あらかじめ設定してあるルールに基づいて情報を遮断するかどうかを判断し、不正な通信やサイバー攻撃を防止する仕組みとなっています。

専用の機器を設置する導入方法があり、その他にルーターやネットワーク機器に実装されているものもあるので覚えておきましょう。また、ソフトウェアをインストールすることでも使用できます。

Windowsの場合はファイアウォールが標準搭載されていますが、Windows に標準搭載されているファイアウォールはあくまでインターネットからパソコンへの不正な通信を防御するものであり、 企業内ネットワークのすべてを保護するには不十分です。 企業内ネットワークを安全に保護するには、 別途ファイアウォールを導入しなければなりません。

ファイアウォールの働き

ファイアウォールは基本的に、外部から内部ネットワークへの不正が疑われる通信を断ち、内部から外部への通信と、その戻りの通信のみを許可するようになっています。送信元情報・送信先情報（IPアドレス・ポート番号）を基に、内部ネットワークへのアクセスを制限することが可能です。

しかし、ファイアウォールは正常なパケットと不正が疑われるパケットを識別できない場合があります。最近のサイバー攻撃は多様化しているため、確実に識別するのは難しいです。ステートフルインスペクション機能が備わっているファイアウォールの場合は見極められることもあります。

それでも、外部から通常の通信を短時間で大量に送りつける攻撃を仕掛けられると、パケット自体は正常なパケットなのでステートフルインスペクションでも不正なパケットであることの判断が難しくなります。

ファイアウォールの働く場所

現在は、ファイアウォールとIDS/IPSを併せて導入してセキュリティの強化を図っている企業が多いです。基本的には、外部ネットワークと内部ネットワークおよびDMZの間にファイアウォールを設置して、外部からの攻撃を防御します。

また、IPS/IDSはホスト型の場合、ファイアウォールの内側、つまり内部ネットワークにあるコンピュータ上に設置するのが一般的です。ネットワーク型は、ファイアウォールの外側・DMZ上・内部ネットワーク上に設置します。

WAFの場合は、Webアプリケーション内に設置するのではなく、ネットワークやWebアプリケーションの周辺に設置するのが基本です。

WAFとは？

ファイアウォールの防御の対象は内部ネットワークですが、WAFはWebアプリケーションを主に防御してくれます。また、 セキュリティ上の不備を悪意を持って利用するSQLインジェクションや、脆弱性なWebサイトの閲覧者に対して、不正なスクリプトを読み込ませて被害を与えるクロスサイトスクリプティングなどを検知することが可能です。ファイアウォールは、これらの脅威には対応できません。

WAFの防げる攻撃

掲示板などのWebサイトに不正なスクリプトを書き込み、Webサイトを攻撃する「クロスサイトスクリプティング」というものがあります。クロスサイトスクリプティングは、WAFを導入していれば不正なスクリプトの挿入を防ぐことが可能です。

また、Webアプリケーションに対するバッファオーバーフロー・SQLインジェクション・OSコマンドインジェクション・ブルートフォースアタック・ディレクトリトラバーサルなどの脅威もWAFで対応できます。

IDS/IPSとファイアウォールとWAFの違いまとめ

以下では、IDS/IPSとファイアウォールとWAFの違いを表にまとめていますので、それぞれの違いを比較してみてください。

	IDS/IPS	ファイアウォール	WAF
概要	正常な通信と不正が疑われる通信を判別し、不正な通信を検知・防御する	あらかじめ設定してあるルールに基づいて情報を遮断するかどうかを判断し、不正な通信やサイバー攻撃を防止する	webアプリケーションの脆弱性を狙った攻撃を防御してくれる
設置場所	ホスト型：ファイアウォールの内側（内部ネットワークにあるコンピュータ上） ネットワーク型：ファイアウォールの外側・DMZ上・内部ネットワーク上	外部ネットワークと内部ネットワークおよびDMZの間	ネットワークやWebアプリケーションの周辺

まとめ

IDS/IPS・ファイアウォール・WAFには、それぞれ特徴があり、果たす役割が異なります。そのため、どれか一つを設置すればいいというわけではありません。いずれもセキュリティ対策を行う上では重要なものです。

今回の記事の内容を参考に、それぞれの違いを理解して導入してみてください。