IPSはIDSより運用コストがかかる

　一方，IPSはIntrusion Prevention (またはProtection) Systemの略であり，侵入防御システムと訳されている。

　では，IDSとIPSの違いは何だろうか。Detection(検知)とPrevention(防御)の単語の違いの通り，IDSは攻撃などの事象を検知した際にアラートを通知するのに対して，IPSにはアラートを通知するだけでなく，攻撃自体をブロック(遮断)する機能が備わっている。

　ネットワーク型IDSにもTCP ResetやICMP Unreachable等の通信切断要求による遮断機能が備わっているが，攻撃者によって切断要求パケットを受信拒否されたり，攻撃元のIPアドレスを偽造されると効果がないため，完全に防御できるとは言えない。

　このように書くと，IDSの機能に加え遮断による防御機能も備わっているIPSを導入すればよいと思われるかも知れないが，一概にそうとは言い切れない。なぜならIDS/IPSには誤検知（過剰反応）が付きものだからだ。不正なアクセスを遮断できるIPSの場合，誤検知によって正常な通信や動作を遮断・停止してしまう恐れがある。

　また，ネットワーク型の場合，通信を遮断するためにIPSはルーターやファイアウォールなどと同じ構成で配置されるため，誤検知や障害が管理するネットワーク全体に影響を及ぼす事も考えられる。IDS以上に可用性や正確性が求められる事から運用コストが大きくなる。

　一般的に，商用製品ではIDSとIPSのどちらで動作させるかが選択できるようになっている。設置する際には，監視するシステムの要件などを考慮した上でどちらの機能を利用するか選択する必要があるだろう。

事前に貸出機で運用して機能を確認する手も

　続いて，WAF，IDS/IPSを導入する際，注意するポイントを紹介していく。

　WAF，IDS/IPSともに自社運用なのかアウトソースなのかを決定しなければならない。WAF，IDS/IPSを自社運用する場合，次の項目が問題になってくる。

　いずれの機器も，適切なチューニングと迅速な対応体制が必要である。このため，運用負荷が高くなってしまう。また，機器が発するアラートが正常通信か攻撃なのかを判断するには高度な技術力が必要である。

　適切なチューニングや攻撃検知時のアラート分析を行うにはセキュリティに関する高度な知識が必要となる。自社で十分な知識を持ったエンジニアの確保，対応体制の確保が難しい場合には，監視サービスなどのアウトソースを有効に使いたい。

　また，自社で運用する場合は，ユーザビリティやレポーティング機能も気になるところであるが，実際に操作してみないと良し悪しが分かりづらい。そのような場合には，各メーカーが用意している貸出機を借りてみるのも良いだろう。