IT用語集

IPSとは? わかりやすく10分で解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

社内ネットワークやクラウド利用が当たり前になった今、攻撃者は脆弱性の悪用だけでなく、権限奪取や横展開など多様な手口で侵入を狙います。こうした「侵入の入口」をできるだけ早い段階で止める仕組みとして、IPS(Intrusion Prevention System:侵入防止システム)が利用されています。

IPSとは?

IPSIntrusion Prevention System)は、ネットワークやシステムへの不正侵入(侵害)につながる通信や挙動を検知し、必要に応じて遮断・制限などの防御動作まで実行するセキュリティ機能です。マルウェア感染の起点となる通信、脆弱性を突く攻撃、認証の不正試行などを早期に捉え、被害拡大を防ぐことを目的とします。

IPSの役割と重要性

IPSの特徴は、脅威を検知するだけで終わらず、ネットワーク上の通信を止めたり、セッションを切断したりするなど、介入して被害を未然に抑える点にあります。攻撃は短時間で成立するケースも多く、「気づいてから対応」では間に合わない場面があるため、IPSは予防的な対策として有効です。

一方で、IPSは万能ではありません。誤検知や性能要件、暗号化通信の増加など、運用上の配慮が必要です。導入時は「どこで」「何を」「どの程度止めるか」を設計し、監視・調整を継続することで効果が安定します。

IPSの主な機能

IPSは「怪しい通信を見つける」だけでなく、組織の運用ルールに沿って通信を制御し、被害に直結しやすい挙動を止める役割を担います。代表的な機能を整理します。

異常検知と侵入兆候の判定

IPSはネットワークトラフィックやホストの挙動を監視し、攻撃の兆候を判定します。検知方法は製品・方式により異なりますが、一般的には次の考え方が中心です。

  • シグネチャ(パターン)検知:既知の攻撃手法・マルウェア通信に一致する特徴を検出
  • プロトコル検査:HTTP、DNSなどの仕様から外れた不正・異常な振る舞いを検出
  • 振る舞い(アノマリ)検知:平常時と比べて不自然な頻度・量・接続先などを検出(製品によって強弱あり)

重要なのは、検知結果は「脅威の確定」ではなく、根拠(どのルールに一致したか)と文脈(どの資産に向けた通信か)をあわせて判断する点です。

セキュリティポリシーの適用

IPSは、組織が定義したセキュリティ方針(例:公開サーバーへの許可ポート、外部への通信先制限、特定プロトコルの制約など)に従って通信を制御します。単に「攻撃っぽい通信を止める」だけでなく、環境の前提に合わせて“止めるべき通信”を明確化することが実運用では重要です。

脅威の防止(ブロック/遮断/隔離)

検知した脅威に対して、IPSは次のような防御動作を実行できます(実際にどこまで可能かは方式・製品によります)。

  • パケット破棄:不正と判断したパケットを破棄して到達させない
  • セッション切断:TCPリセットなどで通信を中断させる
  • レート制限:過剰なリクエストやスキャンのような動作を抑制する
  • 遮断ルールの自動適用:一定期間のブロック、ブラックリスト登録(運用設計が重要)

ただし、防止機能は強力な反面、誤検知が業務影響につながることがあります。導入初期は「検知のみ(IDS相当)」の運用から始め、影響範囲を把握したうえで段階的にブロックを強める設計が現実的です。

IPSの種類

IPSは、どこで監視し、どこで防止動作を行うかにより分類されます。代表例として、ネットワーク型・ホスト型・ワイヤレス型が挙げられます。

ネットワーク型IPS(NIPS)

ネットワーク型IPS(NIPS)は、ネットワーク上の要所(インターネット境界、データセンター入口、拠点間回線など)に配置し、流れる通信を検査して脅威を防止します。ネットワーク全体に対して横断的に効かせやすく、可視化と制御を集約しやすいのが特徴です。

一方で、暗号化通信が多い環境では、可視化のためにSSL/TLS復号(いわゆるSSLインスペクション)を使うかどうか、個人情報・業務影響・性能の観点での設計が欠かせません。

ホスト型IPS(HIPS)

ホスト型IPS(HIPS)は、サーバーやPCなどエンドポイント上で動作し、その端末上の挙動(プロセス、ファイル操作、通信など)を監視して不正を防止します。NIPSでは見えにくい「端末内部の動き」を捉えやすい反面、端末ごとの導入・管理が必要で、資産規模が大きいと運用負荷が増える傾向があります。

ワイヤレスIPS(WIPS)

ワイヤレスIPS(WIPS)は、無線LAN環境に対して不正アクセスポイント(なりすましAP)、不審な端末接続、無線特有の攻撃や設定不備を検知・防止する仕組みです。無線は「物理的に届く範囲」が攻撃面になるため、オフィス移転やフロア変更、ゲストWi-Fi運用など、環境変化に合わせた見直しが重要です。

IPSとIDSの違い

侵入対策としてよく並べて語られるのが、IDS(Intrusion Detection System)とIPS(Intrusion Prevention System)です。両者は目的が近い一方で、運用の前提が異なります。

IDSとは

IDS(侵入検知システム)は、不正な活動やポリシー違反の兆候を検知し、管理者に通知する仕組みです。基本的には検知と可視化が中心で、通信そのものを止めることは主目的ではありません(製品によっては連携により遮断を行うケースもあります)。

IPSとIDSの比較

IPSは、検知に加えて通信の遮断などの防止動作を行える点が最大の違いです。たとえば、脆弱性を突く攻撃パターンを検出した瞬間にセッションを切断し、攻撃成立を抑えます。

ただし、IPSは「止める」ことで効果が出る一方、誤検知があると業務通信まで止めてしまいます。そのため、導入時は誤検知の傾向、対象システムの重要度、許容できる停止リスクを踏まえ、ルール適用の強さを設計することが重要です。

どちらを選ぶべきか

結論としては、どちらか一方で完結させるというより、目的に応じて組み合わせる考え方が現実的です。

  • まず可視化を優先したい:IDS(またはIPSを検知モードで運用)
  • 境界で確実に止めたい・攻撃面が大きい:IPS(段階的に防止を強化)
  • 資産が分散・端末側の挙動も見たい:HIPS/EDR等との併用を検討

IPS導入の基本設計

IPS導入は「設置して終わり」ではありません。どの経路を守り、どの通信を止めるのかを最初に設計しておくと、誤検知による混乱を減らし、効果を出しやすくなります。

配置(どこに置くか)を決める

IPSは、狙いたい脅威に応じて配置の考え方が変わります。代表的な配置例は次の通りです。

  • インターネット境界:外部からの攻撃やボット通信の入口を抑える
  • 公開サーバー帯(DMZ)周辺:公開サービスへの攻撃成立を抑える
  • 重要セグメントの入口:横展開や内部不正の影響範囲を縮める

また、導入方式としては、通信経路上に入るインライン方式(止めやすいが性能・冗長化が重要)と、コピーした通信を監視するアウトオブバンド方式(止めにくいが影響を出しにくい)があります。どちらが正解というより、守りたい対象と許容できるリスクで選びます。

ルール(何を止めるか)を設計する

IPSのルールは、最初から最大強度で適用すると業務影響が出やすくなります。導入初期は次のような段階設計が現実的です。

  • 初期:検知中心でログを取り、誤検知と実攻撃の傾向を把握する
  • 安定化:被害に直結しやすいルール(高確度)からブロックを有効化する
  • 最適化:業務上必要な通信の例外を整理し、監視・ブロックの精度を上げる

特に、誤検知が出やすいプロトコルや、業務アプリ独自の通信がある場合は、運用チームとアプリ担当が連携して「許容する通信」を言語化しておくと、調整が早くなります。

テストとフェイル設計

IPSはネットワーク経路に関わるため、テストと冗長化(障害時のふるまい)を設計に組み込むことが重要です。たとえば、IPS障害時に通信を通す(フェイルオープン)か止める(フェイルクローズ)かは、業務継続とセキュリティの優先度で判断します。

IPSの効果的な運用法

IPSの効果は、導入後の運用で大きく差が出ます。継続的に更新・調整し、「止めるべきものを止め、止めてはいけないものを止めない」状態に近づけることが重要です。

ポリシーの定期見直し

新しいサービスの追加、クラウド移行、拠点増設など、ネットワークは常に変化します。変化があるのにルールが昔のままだと、誤検知が増えたり、逆に抜け道が生まれたりします。四半期や半期など区切りを決めて棚卸しを行い、例外や不要ルールを整理すると安定します。

シグネチャ/エンジンの更新と脆弱性対応

IPSは、攻撃手法の変化に追随するために更新が欠かせません。シグネチャ更新だけでなく、エンジン更新やOSアップデートも含めて計画し、メンテナンス手順(バックアップ、ロールバック、検証環境)を整備しておくと、更新作業が止まりにくくなります。

アラートの整流化(ノイズを減らす)

アラートが多すぎると、本当に見るべき事象が埋もれます。重要度(高・中・低)や対象資産(重要サーバー/一般端末など)で分類し、「まず見るべきアラート」を運用で固定化すると、検知の価値が上がります。誤検知をゼロにするのではなく、対応すべき優先順位を明確にすることが現実的です。

まとめ

本記事では、IPS(Intrusion Prevention System)の概要、主な機能、種類、IDSとの違い、導入設計と運用ポイントを解説しました。

IPSの利点と課題

IPSは、侵入の兆候を捉え、必要に応じて通信を遮断できる点が強みです。境界・重要セグメント・公開サーバー周辺などに適切に配置することで、被害拡大を抑える効果が期待できます。

一方で、課題として代表的なのが誤検知による業務影響と、性能・暗号化通信の可視化です。特にTLS通信が増える現代では、復号の有無や範囲、プライバシー・コンプライアンスへの配慮を含めた設計が重要になります。

IPSのこれから

攻撃が高度化するほど、単一の対策だけで防ぎ切るのは難しくなります。IPSは重要な防御レイヤーですが、脆弱性対策、ログ監視、EDR/NDR、ゼロトラストの考え方などと組み合わせ、多層で「止める・検知する・復旧する」を整えることが現実的です。IPSを「入れて終わり」にせず、継続的に調整・改善することで、ネットワーク防御の基盤として機能し続けます。

FAQ

Q.IPSはファイアウォールと何が違いますか?

ファイアウォールは主に許可・拒否のルールで通信を制御し、IPSは通信内容や挙動を検査して攻撃兆候を検知・遮断します。

Q.IPSは暗号化(TLS)通信も検知できますか?

暗号化されたままでは中身を詳細に検査できません。必要に応じて復号を行う設計や、メタ情報で補完する運用を検討します。

Q.誤検知が多いと聞きますが対策はありますか?

検知ログを基に例外を整理し、高確度ルールから段階的にブロックを有効化すると業務影響を抑えられます。

Q.IPSは未知の攻撃も防げますか?

得意なのは既知パターンやプロトコル異常の検知です。未知の攻撃は他の監視や多層防御と併用してカバーします。

Q.IPSはどこに設置するのが一般的ですか?

インターネット境界、公開サーバー帯の入口、重要セグメントの入口など「止めたい入口」に置くのが一般的です。

Q.インライン方式とアウトオブバンド方式の違いは?

インラインは通信経路上で遮断でき、アウトオブバンドは通信コピーを監視するため影響が小さい反面、遮断は連携が必要です。

Q.IPSの性能選定で見るべき点は何ですか?

想定トラフィック量、検査機能の有効化時の実効性能、冗長化構成、暗号化通信の扱いを基準に評価します。

Q.IDSだけでは不十分ですか?

可視化が主目的ならIDSは有効です。止める必要がある経路ではIPSを併用すると防御力が上がります。

Q.IPSの運用で最も重要な作業は何ですか?

ルール更新と例外整理、アラートの優先順位付け、環境変更に伴う棚卸しを継続することが重要です。

Q.IPS導入時にまずやるべきことは?

守る対象と設置場所を決め、まずは検知中心でログを集めて誤検知傾向を把握し、段階的に遮断を有効化します。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article