IPS(侵入防止システム)は、悪意ある第三者の社内ネットワークへの侵入を検知し、防止する仕組みです。多くの場合、UTMに搭載されています(関連記事:UTMを使うと、どのようなセキュリティ対策ができる?)。IPSが普及する前は、侵入の検知だけが可能なIDS(侵入検知システム)が用いられていました。このIDSですが、現在もIPSと共にUTMなどに搭載されています。本来、侵入はIPSでブロックすべきものなのに、検知だけのIDSが今も使われているのはなぜでしょうか?
IDSの存在意義を例え話で考えてみる
IPSとIDSの違いは、ファイアウオールも交えて例え話で説明されることがあります。
ファイアウオールは、「社内ネットワークとインターネット」など異なるネットワークの境界に置かれ、反対側のネットワークに通してはいけない通信を遮断するのが役割です。IDSは火災警報器に例えられます。その役割は、火災が発生したことを検知して警報を出すことです。IPSはスプリンクラーと考えればよいでしょう。火災発生を検知したら警報を出し、さらに消火のために自動散水を行います。
つまりIDSとIPSの一番の違いは、侵入を警告するにとどまるか、自動的に防止策まで取るかという点です。