アクセスコントロール
セキュリティ
不正アクセスを防ぐ壁がファイアウォール!IDS・IPS・WAFの違いを覚えよう!
アクセスコントロール
簡単にいうと
不正アクセスを防ぐ壁がファイアウォール!IDS・IPS・WAFの違いを覚えよう!
① ファイアウォール
ファイアウォールは、ネットワークの内部と外部の境界に設置し、不正な通信を遮断するためのセキュリティ装置です。主に以下の機能で構成されます。
パケットフィルタリング
通信データ(パケット)のヘッダ情報(送信元/宛先IPアドレス、ポート番号など)をあらかじめ設定したルールと照合し、許可・拒否を判定します。高速に処理できる反面、パケットの内容(ペイロード)までは検査しないため、巧妙な攻撃は検出できない場合があります。
プロキシサーバ(アプリケーションゲートウェイ)
プロキシサーバは内部ネットワークとインターネットの間に立つ中継サーバで、以下の3つの役割を担います。
- セキュリティ向上: 内部クライアントの情報を外部に直接公開せず、代理で通信する
- アクセス高速化: 過去に取得したWebページをキャッシュし、再アクセス時に高速に返す
- URLフィルタリング: 特定のWebサイトへのアクセスを制限する
② WAF(Web Application Firewall)
WAFは、Webアプリケーションへの攻撃を検知・防御する専用のファイアウォールです。通常のファイアウォールがネットワークレベルで通信を制御するのに対し、WAFはHTTP通信の内容(リクエストの中身)までを解析します。
WAFが防御する代表的な攻撃としては以下があります。
- SQLインジェクション: 入力フォームなどにSQL文を注入しデータベースを不正操作する攻撃
- クロスサイトスクリプティング(XSS): 悪意のあるスクリプトをWebページに埋め込む攻撃
- OSコマンドインジェクション: OS上のコマンドを不正に実行させる攻撃
③ DMZ(非武装地帯)
DMZ(DeMilitarized Zone)は、外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の間に設けられる中間的なネットワークセグメントです。
外部に公開する必要があるサーバ(Webサーバ、メールサーバ、DNSサーバなど)をDMZに設置することで、万が一サーバが攻撃を受けても内部ネットワークへの直接侵入を防ぐことができます。
ファイアウォールを2段構え(外部-DMZ間、DMZ-内部間)で配置するのが典型的な構成で、外部からはDMZ内のサーバにのみアクセスを許可し、内部ネットワークへの直接アクセスは遮断します。
④ IDS vs IPS
IDSとIPSは、ネットワーク上の不正な通信を検知するシステムですが、検知後の動作に決定的な違いがあります。
| 項目 | IDS(侵入検知システム) | IPS(侵入防止システム) |
|---|---|---|
| 正式名称 | Intrusion Detection System | Intrusion Prevention System |
| 検知後の動作 | 管理者に通知するのみ | 自動的に通信を遮断 |
| 設置位置 | ネットワークのコピーを監視(ミラーポート) | 通信経路の途中にインラインで設置 |
| 通信への影響 | なし(監視のみ) | 誤検知時に正常通信も遮断するリスクあり |
| メリット | 通信速度に影響しない | リアルタイムで攻撃を阻止できる |
| デメリット | 検知しても攻撃を止められない | 誤検知による業務影響の可能性 |
IDSは「Detection = 検知」のみ、IPSは「Prevention = 防止」まで行うという違いをアルファベットの意味から覚えると忘れにくくなります。
⑤ SIEM(Security Information and Event Management)
SIEMは、組織内のさまざまなセキュリティ機器やサーバから出力されるログを一元的に収集・管理・分析するプラットフォームです。
ファイアウォール、IDS/IPS、サーバ、アプリケーションなど多数のソースからのログを横断的に相関分析し、個別のログだけでは見つけられない攻撃パターンを検出します。
たとえば「深夜の不審なログイン試行」と「大量データのダウンロード」が同じ時間帯に発生した場合、個別には見落としがちですが、SIEMが相関分析することで「情報漏洩の兆候」として自動的にアラートを発します。
具体例
IDS・IPSの違いを、ビルの防犯に例えて理解してみましょう。
IDS(侵入検知システム)は、ビルに設置された防犯カメラのようなものです。不審者を映像で検知したら、警備室のモニターに表示して警備員に知らせます。ただしカメラ自体は不審者を止めることはできません。警備員が確認して対応するまでの間、不審者は行動を続けます。
IPS(侵入防止システム)は、ビルの入口に立つ自動ゲートのようなものです。不審者を検知したら、ゲートを自動的に閉鎖して侵入を物理的にブロックします。ただし、正当な訪問者を誤って不審者と判断してしまった場合、ゲートが閉まって正当な訪問者も入れなくなるリスクがあります。
実際の運用では、IDSで検知精度を確認しながらチューニングし、十分な精度が確保できた段階でIPSに切り替えるケースも見られます。
DMZの構成も同様に考えてみましょう。DMZは会社のビルの「受付ロビー」のような場所です。外部からの訪問者(インターネットからのアクセス)は受付ロビー(DMZ)まで入れますが、そこから先のオフィスフロア(内部ネットワーク)には入れません。受付ロビーには来客対応用の会議室(Webサーバ)が置かれ、訪問者はそこでのみやりとりを行います。万が一受付ロビーで問題が起きても、オフィスフロアの情報は守られます。
試験のポイント
- ・要は「IDS=検知して通知のみ、IPS=検知して自動遮断の違いが最頻出
- ・DMZ=公開サーバ置き場
- ・WAF=Webアプリ防御」
- ・プロキシサーバの3機能(セキュリティ向上/キャッシュ/URLフィルタリング)、SIEM=ログ一元管理・相関分析も出題される
独学で診断士合格を目指すなら
過去問演習・AI添削・テキストPDFまで
すべて揃ったプレミアムプランで合格を掴む!
予備校代の1/10以下で、独学の不安をまるごと解決
- 📝1次試験 過去問演習(全7科目・年度別)無制限プレミアム限定
- 🤖2次試験 AI添削(事例I〜IV・無制限)最適なフィードバックで実力アッププレミアム限定
- 📄科目別テキストPDFダウンロード。印刷して好きな使い方で学習できるプレミアム限定
- 🔖ブックマーク機能で苦手分野・何度も確認したい部分を管理プレミアム限定
- 📊学習記録・成績管理で自分の進捗を可視化プレミアム限定
プレミアムプラン
¥9,800(税込)
自動更新なし / 1年間有効
決済は Stripe(PCI-DSS準拠)で安全に処理されます。カード情報は当サービスに保存されません。