「IDS と IPS は名前が似てるけど、別物なの?」
「WAF や UTM、DMZ も出てきて混乱する…」
そんな疑問を抱える、基本情報技術者を目指すあなたへ。
結論から言えば、
FWは通信の出入口で許可と遮断、IDSは攻撃を検知、IPSは検知して遮断する仕組みです。
この記事ではFW・IDS・IPSの違い、WAFやUTMの位置づけ、多層防御の考え方まで、基本情報技術者の試験範囲を初心者向けに整理します。前提として ネットワーク機器の基礎 を押さえると理解が進みます。
1. ファイアウォールとは — 通信の出入口を管理する
まずあなたに ファイアウォール(FW)の基本イメージから掴んでもらいます。
FWとは、ネットワーク境界に設置し、通過する通信を あらかじめ決めたルールに沿って許可/遮断する 仕組みです。社内ネットとインターネットの境目に置かれます。
イメージは「ビルの受付」です。来訪者の名前と用件を確認して通してよい人だけを中へ。FWはこれを通信に対して行います。
判定方法は2つあります。パケットフィルタ型 はヘッダ情報だけで判定する方式で、速い一方、文脈を読まず柔軟性に欠けます。ステートフルインスペクション型 はセッション状態を記憶し、行きと戻りの整合性まで判定する方式で現在の主流です。
関連用語のDMZ(DeMilitarized Zone)は、社外公開のWebサーバを置く中間エリアです。「社外 ↔ DMZ ↔ 社内」をFWが2段構えで制御するのが定番です。
FWの要点:出入口でルール判定 / パケットフィルタ型はヘッダのみ / ステートフルインスペクション型はセッション状態も加味 / DMZで公開サーバを隔離。無線LANのセキュリティ と合わせると入口防御の全体像が掴めます。
2. IDS と IPS の違い — 検知だけか、遮断までやるか
次にあなたが押さえたいのが、名前が似て混同しやすい IDS と IPS です。
IDS(Intrusion Detection System、侵入検知システム)は通信を監視して 不審な動きや既知の攻撃パターンを検知して通知する 仕組みです。あくまで検知役で、通信を止める権限は持ちません。
一方のIPS(Intrusion Prevention System、侵入防止システム)は、IDSと同じ検知に加え該当通信を 遮断するところまで担当します。検知から対処まで一気にやる能動的な仕組みです。
イメージで整理すると、FWは「ビルの受付」、IDSは「監視カメラ」、IPSは「警備員」です。受付で許可された人の中に不審な動きが紛れていないかを後段で見張る役割です。
検知方式は2種類です。シグネチャ型は既知パターンと照合する方式で、確実性が高い一方、未知に弱い特徴があります。アノマリ型は普段と違う異変を検知する方式で、未知に対応しやすい反面、誤検知が起きやすい傾向があります。
IPSは遮断まで行うため誤検知で業務通信を止めかねません。「検知のみで運用開始 → チューニング後に遮断へ」の段階導入が一般的です。プロンプトインジェクション のような新しい攻撃も登場し、検知ルールの継続更新が要となります。
IDS/IPSの要点:IDSは検知のみ(通知役)/ IPSは検知+遮断(対処役)/ 検知方式はシグネチャ型とアノマリ型 / IPSは誤検知の影響が大きく段階導入が一般的。
3. WAF と UTM の位置づけ — 用途別に層を分ける
FW・IDS・IPSの整理ができたあなたに、次に押さえてほしいのが WAF と UTM です。
WAF(Web Application Firewall)は、名前の通り Webアプリケーション層に特化したFW です。SQLインジェクションやクロスサイトスクリプティング(XSS)など、アプリの脆弱性を狙う攻撃の検知と遮断を得意とします。
通常のFWはIPアドレスやポート番号で判定し、HTTP/HTTPSの中身は見ません。WAFはURLやパラメータの中身まで解析して悪意ある内容を見抜きます。HTTPSの中身解析には 暗号化 通信を一度復号する仕組みが必要で、運用設計の難所でもあります。
UTM(Unified Threat Management、統合脅威管理)は、FW・IDS/IPS・アンチウイルス・Webフィルタなど複数機能を1台に統合した装置で、専門運用者が常駐しない中小オフィスで使われます。
UTMの利点は「導入・運用がシンプル」、課題は「1台集中で故障時の影響が大きい」「大規模環境ではスペック限界が出やすい」点です。組織規模に応じ、UTM1台で済ませるか、FW・IDS/IPS・WAFを分けるかを選びます。
つまりWAFとUTMは「どの層を守るか」「機能を統合するか分けるか」で位置づけが異なります。試験では「Webアプリ層=WAF」「中小向け統合機器=UTM」と紐づければ迷いません。
4. 組み合わせ運用の考え方 — 多層防御
ここまでを踏まえ、あなたに最後に伝えたいのが 多層防御(Defense in Depth)の考え方です。
多層防御とは、1つの対策に頼らず性質の違う複数の仕組みを重ねる 設計思想です。1段目を突破されても次の段で防げる冗長性で安全性を高めます。認証と認可 のような利用者側の対策とも並走させて全体のセキュリティが成立します。
典型構成は、入口にFW、内側でIDS/IPSが通信を監視、Webサーバ手前にWAFでアプリ層攻撃に備える形です。それぞれ別の観点で守るため互いを補完する関係になります。
大切なのは「FWがあればIDSは不要」と単純化しないことです。各機器の守備範囲は違い、外せばその範囲は無防備になります。
多層防御の要点:性質の違う対策を重ねる / FW=入口・IDS/IPS=監視と遮断・WAF=アプリ層・UTM=統合 / 1台で全てを賄う発想は持たない / 導入後の運用調整が要。
5. まとめ: 今日からできる、最初の一歩
ここまでをあなたと一緒に振り返ります。
FW・IDS・IPSの整理ポイントは 3つの役割 でした。
(1)FW:出入口でルール許可/遮断
(2)IDS:通信を監視して検知(通知役)
(3)IPS:検知+遮断(対処役)
そして WAFはアプリ層特化、UTMは統合機器、DMZは公開サーバの中間エリア。これらを多層防御で組み合わせるのが現代の基本で、基本情報技術者 情報セキュリティ の頻出テーマです。
今日からできる最初の一歩はシンプルです。
1. 「FW=入口・IDS=検知・IPS=検知+遮断」を声に出して覚える(2分)
2. 自宅ルータの管理画面を開き、フィルタ設定を眺める(5分)
3. 下の問題集で1問だけ解いてみる(10分)
たった17分で、あなたのネットワークセキュリティ基礎は動き出します。ここまで読んだあなたなら、本番でこの分野が出ても落ち着いて答えを選べるはずです。
次のステップ
- ネットワーク機器の基礎 — ハブ・スイッチ・ルータの違い
- 無線LANのセキュリティ — Wi-Fi防御とFWを組み合わせる視点
- 認証と認可とは — 利用者側の防御策
- マルウェアとは — FW/IDS/IPSが防ごうとする脅威の正体
- 標的型攻撃とは — 多層防御で備える、特定組織を狙う攻撃
- 情報セキュリティマネジメントとは — 機器を含む組織全体の守りの仕組み
- 基本情報技術者 セキュリティ問題集(T2)
- 基本情報技術者試験 全体概要(T1)
