IPSとは？ わかりやすく10分で解説

社内ネットワークやクラウド利用が当たり前になった今、攻撃者は脆弱性の悪用だけでなく、権限奪取や横展開など多様な手口で侵入を狙います。こうした「侵入の入口」をできるだけ早い段階で止める仕組みとして、IPS（Intrusion Prevention System：侵入防止システム）が利用されています。

IPSとは？

IPS（Intrusion Prevention System）は、ネットワークやシステムへの不正侵入（侵害）につながる通信や挙動を検知し、必要に応じて遮断・制限などの防御動作まで実行するセキュリティ機能です。マルウェア感染の起点となる通信、脆弱性を突く攻撃、認証の不正試行などを早期に捉え、被害拡大を防ぐことを目的とします。

IPSが果たす役割

IPSの特徴は、脅威を検知するだけで終わらず、ネットワーク上の通信を止めたり、セッションを切断したりするなど、介入して被害を未然に抑える点にあります。攻撃は短時間で成立するケースも多く、「気づいてから対応」では間に合わない場面があるため、IPSは予防的な対策として有効です。

一方で、IPSは万能ではありません。誤検知や性能要件、暗号化通信の増加など、運用上の配慮が必要です。導入時は「どこで」「何を」「どの程度止めるか」を設計し、監視・調整を継続することで効果が安定します。

IPSでできることと限界

IPSが得意なのは、既知の攻撃パターン、明らかに不正な通信、公開サーバーや重要セグメントに向かう不審な振る舞いを早い段階で止めることです。特に、境界や重要な通信経路で「成立させたくない攻撃」を絞って防ぐ用途に向いています。

一方で、暗号化された通信の中身、端末内部だけで進む不正、正規権限を悪用した操作などは、IPSだけでは十分に捉えきれないことがあります。実運用では、ファイアウォールやEDR、ログ監視と役割を分け、どこで止め、どこで検知するかを決めておく必要があります。

IPSの主な機能

IPSは「怪しい通信を見つける」だけでなく、組織の運用ルールに沿って通信を制御し、被害に直結しやすい挙動を止める役割を担います。代表的な機能を整理します。

異常検知と侵入兆候の判定

IPSはネットワークトラフィックやホストの挙動を監視し、攻撃の兆候を判定します。検知方法は製品・方式により異なりますが、一般的には次の考え方が中心です。

• シグネチャ（パターン）検知：既知の攻撃手法・マルウェア通信に一致する特徴を検出
• プロトコル検査：HTTP、DNSなどの仕様から外れた不正・異常な振る舞いを検出
• 振る舞い（アノマリ）検知：平常時と比べて不自然な頻度・量・接続先などを検出（製品によって強弱あり）

検知結果だけで脅威と決めつけず、どのルールに一致したのか、どの資産に向かった通信なのかをあわせて見ることが重要です。

セキュリティポリシーの適用

IPSは、組織が定義したセキュリティ方針（例：公開サーバーへの許可ポート、外部への通信先制限、特定プロトコルの制約など）に従って通信を制御します。単に「攻撃っぽい通信を止める」だけでなく、自社環境で止める対象と例外を具体的に決めておくことが実運用では重要です。

脅威の防止（ブロック／遮断／隔離）

検知した脅威に対して、IPSは次のような防御動作を実行できます（実際にどこまで可能かは方式・製品によります）。

• パケット破棄：不正と判断したパケットを破棄して到達させない
• セッション切断：TCPリセットなどで通信を中断させる
• レート制限：過剰なリクエストやスキャンのような動作を抑制する
• 遮断ルールの自動適用：一定期間のブロック、ブラックリスト登録（運用設計が重要）

ただし、防止機能は強力な反面、誤検知が業務影響につながることがあります。導入初期は「検知のみ（IDS相当）」の運用から始め、影響範囲を把握したうえで段階的にブロックを強める設計が現実的です。

IPSの種類

IPSは、どこで監視し、どこで防止動作を行うかにより分類されます。代表的な類型として、ネットワーク型、ホスト型、ワイヤレス型、ネットワーク挙動分析型が挙げられます。

ネットワーク型IPS（NIPS）

ネットワーク型IPS（NIPS）は、ネットワーク上の要所（インターネット境界、データセンター入口、拠点間回線など）に配置し、流れる通信を検査して脅威を防止します。ネットワーク全体に対して横断的に効かせやすく、可視化と制御を集約しやすいのが特徴です。

一方で、暗号化通信が多い環境では、可視化のためにSSL/TLS復号（いわゆるSSLインスペクション）を使うかどうか、個人情報・業務影響・性能の観点での設計が欠かせません。

ホスト型IPS（HIPS）

ホスト型IPS（HIPS）は、サーバーやPCなどエンドポイント上で動作し、その端末上の挙動（プロセス、ファイル操作、通信など）を監視して不正を防止します。NIPSでは見えにくい「端末内部の動き」を捉えやすい反面、端末ごとの導入・管理が必要で、資産規模が大きいと運用負荷が増える傾向があります。

ワイヤレスIPS（WIPS）

ワイヤレスIPS（WIPS）は、無線LAN環境に対して不正アクセスポイント（なりすましAP）、不審な端末接続、無線特有の攻撃や設定不備を検知・防止する仕組みです。無線は「物理的に届く範囲」が攻撃面になるため、オフィス移転やフロア変更、ゲストWi-Fi運用など、環境変化に合わせた見直しが重要です。

ネットワーク挙動分析型（NBA）

ネットワーク挙動分析型（NBA）は、個々のパケット内容だけでなく、通信量、接続先、フローの偏りといったネットワーク全体の挙動から異常を見つける考え方です。DoS攻撃やワームのように、通信の流れ自体に異常が出やすい脅威を補足しやすい一方、通常時の通信傾向を踏まえて運用する必要があります。

IPSとIDSの違い

侵入対策としてよく並べて語られるのが、IDS（Intrusion Detection System）とIPS（Intrusion Prevention System）です。両者は目的が近い一方で、運用の前提が異なります。

IDSとは

IDS（侵入検知システム）は、不正な活動やポリシー違反の兆候を検知し、管理者に通知する仕組みです。基本的には検知と可視化が中心で、通信そのものを止めることは主目的ではありません（製品によっては連携により遮断を行うケースもあります）。

IPSとIDSの比較

IPSは、検知に加えて通信の遮断などの防止動作を行える点が最大の違いです。たとえば、脆弱性を突く攻撃パターンを検出した瞬間にセッションを切断し、攻撃成立を抑えます。

ただし、IPSは「止める」ことで効果が出る一方、誤検知があると業務通信まで止めてしまいます。そのため、導入時は誤検知の傾向、対象システムの重要度、許容できる停止リスクを踏まえ、ルール適用の強さを設計することが重要です。

ファイアウォールとの違い

ファイアウォールは、主に送信元・宛先・ポート番号・プロトコルなどの条件に基づいて通信を許可または拒否します。これに対してIPSは、通過を許可した通信の中身や振る舞いを見て、不審な攻撃パターンや異常な動きを見つけて止める役割を担います。

つまり、ファイアウォールは「通してよい通信の境界を決める」装置で、IPSは「通した通信の中にある攻撃を見つけて止める」仕組みです。両者は置き換え関係というより、守る層が異なるため併用が前提になりやすいと考えるほうが実務に合います。

どちらを選ぶべきか

結論としては、どちらか一方で完結させるというより、目的に応じて組み合わせる考え方が現実的です。

• まず可視化を優先したい：IDS（またはIPSを検知モードで運用）
• 境界で確実に止めたい・攻撃面が大きい：IPS（段階的に防止を強化）
• 資産が分散・端末側の挙動も見たい：HIPS／EDR等との併用を検討

IPS導入の基本設計

IPS導入は「設置して終わり」ではありません。どの経路を守り、どの通信を止めるのかを最初に設計しておくと、誤検知による混乱を減らし、効果を出しやすくなります。

配置（どこに置くか）を決める

IPSは、狙いたい脅威に応じて配置の考え方が変わります。代表的な配置例は次の通りです。

• インターネット境界：外部からの攻撃やボット通信の入口を抑える
• 公開サーバー帯（DMZ）周辺：公開サービスへの攻撃成立を抑える
• 重要セグメントの入口：横展開や内部不正の影響範囲を縮める

また、導入方式としては、通信経路上に入るインライン方式がIPSの基本です。通信を実際に止めるには、監視対象のトラフィックが装置を通過する構成が必要になるためです。

一方、コピーした通信を監視するアウトオブバンド方式は、影響を抑えて傾向把握やチューニングを進めやすい構成です。ただし、コピー監視だけでは確実な遮断がしにくいため、防止を主目的にする場合はインライン配置か、外部機器と連携した遮断設計を前提に考える必要があります。

ルール（何を止めるか）を設計する

IPSのルールは、最初から最大強度で適用すると業務影響が出やすくなります。導入初期は次のような段階設計が現実的です。

• 初期：検知中心でログを取り、誤検知と実攻撃の傾向を把握する
• 安定化：被害に直結しやすいルール（高確度）からブロックを有効化する
• 最適化：業務上必要な通信の例外を整理し、監視・ブロックの精度を上げる

特に、誤検知が出やすいプロトコルや、業務アプリ独自の通信がある場合は、運用チームとアプリ担当が連携して「許容する通信」を言語化しておくと、調整が早くなります。

テストとフェイル設計

IPSはネットワーク経路に関わるため、テストと冗長化（障害時のふるまい）を設計に組み込むことが重要です。たとえば、IPS障害時に通信を通す（フェイルオープン）か止める（フェイルクローズ）かは、業務継続とセキュリティの優先度で判断します。

IPSが向くケースと注意が必要なケース

IPSが特に向くのは、公開サーバー、VPN入口、重要セグメントの境界など、攻撃が通過する経路を絞って監視・遮断したい場合です。既知の脆弱性攻撃や不審なスキャン、明らかに不要な通信を早い段階で止めたいときは、導入効果を出しやすくなります。

一方で、暗号化通信が大半を占める環境、業務アプリの独自通信が多い環境、止めてはいけない通信が多い基幹系では、誤検知と業務影響の見極めがより重要になります。こうした環境では、まず検知中心で傾向を把握し、対象経路やルールを絞って段階的に強化する設計が現実的です。

IPSの効果的な運用法

IPSの効果は、導入後の運用で大きく差が出ます。継続的に更新・調整し、「止めるべきものを止め、止めてはいけないものを止めない」状態に近づけることが重要です。

ポリシーの定期見直し

新しいサービスの追加、クラウド移行、拠点増設など、ネットワークは常に変化します。変化があるのにルールが昔のままだと、誤検知が増えたり、逆に抜け道が生まれたりします。四半期や半期ごとにルールと例外を見直し、不要な設定を整理すると運用が安定しやすくなります。

シグネチャ／エンジンの更新と脆弱性対応

IPSは、攻撃手法の変化に追随するために更新が欠かせません。シグネチャ更新だけでなく、エンジン更新やOSアップデートも含めて計画し、メンテナンス手順（バックアップ、ロールバック、検証環境）を整備しておくと、更新作業が止まりにくくなります。

アラートの整流化（ノイズを減らす）

アラートが多すぎると、本当に見るべき事象が埋もれます。重要度（高・中・低）や対象資産（重要サーバー／一般端末など）で分類し、「まず見るべきアラート」を運用で固定化すると、検知の価値が上がります。誤検知をゼロにするのではなく、対応すべき優先順位を明確にすることが現実的です。

まとめ

ここまで、IPS（Intrusion Prevention System）の概要、主な機能、種類、IDSとの違い、導入設計、運用の要点を見てきました。

IPSの利点と課題

IPSは、侵入の兆候を捉え、必要に応じて通信を遮断できる点が強みです。境界・重要セグメント・公開サーバー周辺などに適切に配置することで、被害拡大を抑える効果が期待できます。

一方で、課題として代表的なのが誤検知による業務影響と、性能・暗号化通信の可視化です。特にTLS通信が増える現代では、復号の有無や範囲、プライバシー・コンプライアンスへの配慮を含めた設計が重要になります。

今後の運用で意識したいこと

攻撃が高度化するほど、単一の対策だけで防ぎ切るのは難しくなります。IPSは重要な防御レイヤーですが、脆弱性対策、ログ監視、EDR/NDR、ゼロトラストの考え方などと組み合わせ、止める、検知する、復旧するという役割を分けて運用することが大切です。IPSを導入して終わりにせず、継続的に調整と見直しを続けることで、ネットワーク防御の基盤として機能しやすくなります。

FAQ