質問
検知の仕組みにIDSとIPSがありますが、なぜIDSが必要なのですか? IPSだけあれば十分ではないですか? |
解答
とても良い着眼点です 👌 「攻撃を止められるなら IPS(Intrusion Prevention System)だけで十分では?」と思えますよね。 でも実際には IDS(Intrusion Detection System)も必要 とされる理由があります。 ✅ IDS と IPS の違い(整理) * IDS(検知型) * 攻撃や不審な通信を 監視・検知 してログに残す * ネットワークやホストに影響を与えず「見るだけ」 * IPS(防御型) * 攻撃を 検知したら即座に遮断・防御 * 通信経路にインラインで入り込むため、通信そのものに介入 ✅ なぜ IDS が必要か?(IPS だけで十分でない理由) 1. 誤検知(False Positive)のリスク * IPS は「怪しい」と思ったら通信を止めます。 * 誤検知で 正しい通信を遮断してしまう(サービス停止) 危険がある。 * IDS なら止めずに「まず検知・記録」できるので、検知ルールの調整 が可能。 2. フォレンジック・監査目的 * IDS は「過去にどんな攻撃を受けたか」をログに残せる。 * たとえ攻撃を止められなかった場合でも、侵入経路や攻撃パターンの分析 ができる。 * IPS は基本「止める」ことが目的なので、監査性は弱い。 3. IPS の導入リスク回避 * IPS は通信のボトルネックになる(インライン構成)。 → 障害時に通信断の原因になることも。 * IDS は「ミラーポートで監視」するだけなので、システムに影響を与えない。 → 本番環境でいきなり IPS を入れる前に、まず IDS で検知精度を確認するのが安全。 4. 役割分担 * IDS → 攻撃の 検知・分析 に特化(セキュリティチーム向けの情報源) * IPS → 攻撃の 即時防御 に特化(運用で止める) * どちらか一方では「検知だけ」「防御だけ」に偏ってしまう。 ✅ まとめ * IPS は「即時防御」で強力だが、誤検知によるサービス影響リスク がある。 * IDS は「監視・記録・分析」ができ、セキュリティ運用や監査に必須。 * 実運用では IDS で監視・検知 → IPS で自動防御 を組み合わせるのが一般的。 |
 |
 |
この記事へのコメント