目次
違いのまとめ
| 主な役割 | 主な防御対象 | 主な設置場所 | |
|---|---|---|---|
| ファイアウォール | 不要な通信の通過を防ぐ(アクセス制御) | ネットワーク層・トランスポート層(L3〜L4)の通信 | ネットワークの境界(インターネットと社内LANの間) |
| IDS | 不正アクセスや攻撃の検知 | ネットワーク層〜アプリケーション層全般(検知のみ) | ネットワーク内の監視ポイント |
| IPS | 不正アクセスや攻撃の検知+遮断 | ネットワーク層〜アプリケーション層全般(検知+防御) | ネットワークの境界や重要サーバ前 |
| WAF | Webアプリケーションへの攻撃を防御 | アプリケーション層(L7)、特にHTTP/HTTPS通信 | Webサーバの前(DMZなど) |
ファイアウォール(Firewall)
ファイアウォールとは、ネットワークの境界に設置し、許可された通信だけを通過させ、不正な通信を遮断する仕組みです。
ネットワークの境界で有害な通信の侵入・流出を防ぎます。
インターネット → ファイアウォール → 社内ネットワーク
主な用途
| パケットフィルタリング | 通信の基本情報(IPアドレス、ポート番号、プロトコル)を見て許可・遮断します。例えば、このIPアドレスからの通信は全て遮断、80番ポート(HTTP)だけ許可といったルールを設定します。 |
| ステートフルインスペクション | 通信の状態を追跡し、正当なセッションの一部かどうかを判断します。単純なパケットフィルタリングより高度で、現在のファイアウォールの主流です。 |
| アプリケーション層フィルタリング | HTTPやDNSなどアプリケーションレベルの内容まで検査します。HTTPは許可するが、その中の特定のURLパターンは遮断といった細かい制御が可能です。 |
| NAT | 内部ネットワークのIPアドレスを隠し、外部からは直接アクセスできないようにします。セキュリティ向上と同時にIPアドレスの節約にもなります。 |
種類
| 種類 | 特徴 |
|---|---|
| ネットワーク型FW | ネットワーク全体の境界に設置。企業のルータやアプライアンス機器 |
| ホスト型FW | 個々のPC・サーバにインストール。WindowsのDefenderファイアウォールなど |
| WAF | Webアプリケーション専用。SQLインジェクションやXSSを検知・遮断 |
| 次世代FW(NGFW) | アプリ識別、IPS、URLフィルタリングなどを統合した高機能タイプ |
以下は、PCに入っているWindows10のファイアウォールです。
プロキシサーバとの違い
役割が異なります。
| ファイアウォール | プロキシサーバ | |
|---|---|---|
| 主な役割 | 通信の許可・遮断 | 通信の中継・変換 |
| 動作レイヤー | ネットワーク〜トランスポート層が中心 | アプリケーション層 |
| キャッシュ機能 | なし | あり |
企業ネットワークでは、ファイアウォールとプロキシサーバを組み合わせて多層的な防御を構成するのが一般的です。
IDS (Intrusion Detection System)
IDSとは、不正侵入を検知して管理者に通知するシステムです。遮断までは行いません。
侵入検知システムとも呼ばれます。
検知の仕組み
| シグネチャ型(不正検知) | 既知の攻撃パターン(シグネチャ)のデータベースと照合します。既知の攻撃に強い一方、新しい攻撃(ゼロデイ攻撃)は検知できません。ウイルス対策ソフトのパターンマッチングと似た考え方です。 |
| アノマリ型(異常検知) | 正常な通信の基準値を学習しておき、そこから外れた異常な通信を検知します。未知の攻撃にも対応できますが、誤検知が多くなりやすいという課題があります。 |
種類
| NIDS(ネットワーク型IDS) | ネットワーク上を流れるパケットを監視します。ネットワーク全体を広く監視できるのが特徴です。 |
| HIDS(ホスト型IDS) | 個々のサーバやPCにインストールし、そのホスト上のログやファイルの変化を監視します。内部からの不正操作も検知できます。 |
実際の活用場面
- 社内ネットワークへの不正侵入の検知
- サーバへの攻撃(ポートスキャン、ブルートフォース攻撃など)の検知
- 内部からの不審なデータ持ち出しの監視
- インシデント発生後のログ分析・原因調査
ファイアウォールとの違い
| ファイアウォール | IDS | |
|---|---|---|
| 役割 | 通信を許可・遮断する (入口で遮断する門番) |
不正を検知して通知する (中に入った不審者を監視する警備カメラ) |
| アクション | 自動的に遮断 | 検知・アラートのみ(遮断しない) |
| タイミング | 通信が来た瞬間 | 通信・ログを継続監視 |
IPS (Intrusion Prevention System)
IPSとは、不正侵入を検知し、自動的に遮断まで行うシステムです(IDSに自動遮断機能を加えたもの)。
侵入防止システムとも呼ばれます。
動作の仕組み
通信がIPSを通過する際、リアルタイムで内容を検査します。
インターネット → IPS → 内部ネットワーク
不正と判断した場合、そのパケットをその場で破棄・遮断します。
検知の仕組みはIDSと同様に、シグネチャ型とアノマリ型の両方が使われます。
主な防御対象
- ポートスキャン(攻撃の事前調査)
- ブルートフォース攻撃(パスワードの総当たり)
- バッファオーバーフロー攻撃
- DoS/DDoS攻撃
- マルウェアの通信
- 既知の脆弱性を狙ったエクスプロイト
IPSの課題
誤検知
IPSは、正常な通信を攻撃と誤判断して遮断してしまうリスクがあります。業務システムが突然使えなくなる可能性があるため、ルールの調整・チューニングが重要です。
パフォーマンスへの影響
IDSはネットワークのコピーを監視するアウトオブバンド構成が一般的で、本来の通信に影響を与えにくいです。
一方、IPSは通信経路上にインラインで設置されるため、処理負荷がパフォーマンスに影響する可能性があります。
WAF (Web Application Firewall)
WAF(ワフ)とは、Webアプリケーションへの攻撃を検知・遮断するシステムです。
通常のファイアウォールやIPSでは防ぎきれないWeb特有の攻撃に特化しています。
WAFの設置場所は、Webサーバの手前、リバースプロキシと同じ位置に設置されます。
通常のファイアウォールとの違い
| ファイアウォール | WAF | |
|---|---|---|
| 検査対象 | IPアドレス・ポート番号 | HTTPリクエストの中身 |
| 得意な攻撃 | 不正なIPからの接続など | WebアプリへのSQL攻撃など |
| 動作レイヤー | ネットワーク層 | アプリケーション層 |
通常のファイアウォールはIPアドレスやポート番号レベルで通信を制御します。
Webアプリへの攻撃は、許可された80番(HTTP)や443番(HTTPS)ポートを通じて行われるため、通常のファイアウォールでは検知できません。
主な防御対象
| SQLインジェクション | 入力フォームに悪意のあるSQLを埋め込み、データベースを不正操作する攻撃です。個人情報の流出などに繋がります。 |
| XSS(クロスサイトスクリプティング) | 悪意のあるスクリプトをWebページに埋め込み、閲覧者のブラウザ上で実行させる攻撃です。 |
| CSRF(クロスサイトリクエストフォージェリ) | ログイン済みのユーザーに意図しない操作を実行させる攻撃です。 |
| ディレクトリトラバーサル | ../../etc/passwdのようなパスを使い、公開すべきでないファイルにアクセスする攻撃です。 |
| ボット・クローラー対策 | 不正なスクレイピングや、ログインフォームへのブルートフォース攻撃を遮断します。 |
種類
| 種類 | 特徴 |
|---|---|
| アプライアンス型 | 専用機器をネットワークに設置。高性能だがコストが高い |
| ソフトウェア型 | サーバにインストール。柔軟性が高い |
| クラウド型 | CloudflareやAWS WAFなど。導入が簡単で普及している |
IPSとの違い
対象範囲が異なります。
| IPS | WAF | |
|---|---|---|
| 対象範囲 | ネットワーク全体の通信 | HTTPSのWebアプリ通信に特化 |
| 得意分野 | ネットワーク層の攻撃 | アプリケーション層のWeb攻撃 |
| 役割 | 幅広い攻撃を防ぐ | Web特有の攻撃に深く対応 |
IPSは広く浅く守り、WAFはWebアプリに対して深く守るイメージです。実際の企業では両方を組み合わせて使います。
関連の記事