IDS、IPSとは
IDS(Intrusion Detection System)は、言葉の通り、「侵入(Intrusion)」を「検知(Detection)」する「システム(System)です。
また、IPS(Intrusion Prevention System)も同じく言葉の通りで、「侵入(Intrusion)」を「防御(Prevention)」する「システム(System)です。
両者の違いは、検知(Detection)だけでなのか、検知したものを防御(Prevention)するかです。

ただ、実際の製品としては、防御までできるIPS製品がほとんどです。製品例としては、McAfee社のNSPやIBM社のIBM Security Network IPS(旧Proventia)、HP社のTippingPointなどがあります。

どちらも、従来のFWでは防げない高度な攻撃を検知、防御します。

※最近のネットワークスペシャリスト試験では、あまり問われていません。

なぜファイアウォールでは防げないのか
情報セキュリティスペシャリスト試験を目指す女性SE

ファイアウォールで、外部からの攻撃は防げますよね。
それでもIPSは必要なのでしょうか?
良く分かっていないので、教えてください。
きちんとしたセキュリティ対策のためには必要だ。
それは、ファイアウォールでは防げない攻撃があるからだ。
ファイアーウォールは,IPアドレス,プロトコル,ポート番号などのヘッダのみを確認し,データの中身を確認しない。
送信元IP
アドレス
宛先IP
アドレス
プロト
コル
送信元
ポート番号
宛先
ポート番号
データ   
    
つまり、通常のWebアクセス(80や443)による通信であれば、すべて許可してしまう。そうなると、クロスサイトスクリプティングやバッファオーバフローなどの攻撃を防ぐことができない。
一方,IDSやIPSはデータの中身もチェックすることができる。

次の過去問を見てみよう。これをじっくり考えると、ファイアウォールでは防げない攻撃が分かる。
問41 パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく妨げるものはどれか。
ア 外部に公開していないサービスへのアクセス
イ サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃
ウ 電子メールに添付されたファイルに含まれるマクロウィルスの侵入
エ 電子メール爆弾などのDos攻撃
(H23AP秋)
同時に、ファイアウォールでなければ、何を導入すれば防げるかも同時に考えよう。
正解はアである。フィルタリングルールだけでは、イ~エの攻撃が防げない、そこで、IPSであたり、WAFの仕組みが必要になる。イはWAFやホスト型IPSが必要、ウはUTMによるウイルスチェックが必要であろう。エはIPSが必要。