「検知」と「遮断」の違い — 監視型とインライン型の使い分け

セキュリティ製品の説明には「不審な通信を検知します」「脅威を遮断します」という言葉が並びます。似た文脈で使われるため混同しがちですが、この2つは別の能力です。検知はできるが遮断はできない製品も、その逆の構成もあります。この違いを押さえておかないと、「アラートは出ていたのに被害が進んだ」「導入したら業務が止まった」という、正反対の失敗のどちらかを踏みやすくなります。この記事で整理します。

アラートを出す力と、通信を止める力は別物

ネットワーク型のセキュリティ機器は、配置の仕方で大きく2つに分かれます。

型	配置	できること	代表的な呼び名
監視型	回線のコピーを受け取る（ミラーポート等）	観測してアラートを出す	IDS（侵入検知システム）など
インライン型	回線に直列に入り、全通信が通過する	観測に加えて、その場で通信を止める	IPS（侵入防止システム）、ファイアウォールなど

IDSとIPSの違いとしてよく説明される区別ですが、本質は製品カテゴリではなく配置です。通信のコピーを見ている機器は、どれだけ高精度に検知しても物理的に通信を止められません。止めるには、通信がその箱を通過している必要があります。

監視型の長所と限界

監視型の最大の長所は、業務影響ゼロで始められることです。回線のコピーを見るだけなので、機器が故障しても通信は影響を受けません。検知ロジックが誤っても（誤検知）、起きるのは「不要なアラートが1件増える」ことだけで、業務は止まりません。だからこそ、現状を把握する第一歩として監視型から入るのは合理的な選択です。

限界は2つあります。第一に、見ているだけでは被害は止まらないこと。深夜にアラートが出ても、人が気づいて対処するまでの間、通信は流れ続けます。第二に、アラート疲れです。誤検知を許容できる設計は、裏を返せばアラートが出やすい設計でもあり、大量のアラートに埋もれて本当に重要な1件を見逃す——監視型の運用で最も多い失敗です。

インライン型の長所とコスト

インライン型の長所は明快で、被害の進行を実際に止められることです。情報の持ち出しや外部の指令サーバーへの接続は、宛先に到達できなければ成立しません。人の対応を待たずに、機械的に進行を断てます。

そのぶんコストも明確です。誤検知が誤遮断になり、正常な業務通信を止めてしまえば、それは業務障害です。また、全通信が通過する構造上、機器自体が可用性の単一障害点になり得ます。障害時に通信を止めるか通すかは導入前に決めておくべき論点で、fail-closed と fail-open で詳しく扱っています。

対立ではなく段階 — 観測してから止める

「監視型かインライン型か」は二者択一ではありません。実務的な答えの一つは、インライン型を監視モードから始めることです。

機器を回線に挿入しても、最初は観測だけを行い、次に「ポリシーを適用したら遮断されるはずの通信」をアラートとして洗い出し、誤遮断の芽を潰してから実遮断に進む——この段階導入なら、監視型の安全さで始めて、インライン型の止める力に橋を架けられます。具体的な進め方は would-block という段階導入 で解説しています。

どちらから始めるかの判断軸

• まず現状が見えていない → 観測から。何が流れているか分からないまま遮断ポリシーは書けません
• 守る対象の通信が小さく安定している（サーバー、AIエージェント用セグメントなど） → 誤遮断のリスクが小さく、インライン型の遮断まで進める価値が大きい
• 通信が多様で予測しにくい（一般オフィスの人間の利用） → 監視・アラート中心の運用に比重を置き、遮断は明確に不要な宛先に絞る
• 止まったら困る度合い → 高いほど、段階導入と障害時挙動の合意が重要

まとめ

• 「検知」と「遮断」は別の能力。通信を止めるには、通信が機器を通過している必要がある
• 監視型は業務影響ゼロで始められるが、見ているだけでは止まらず、アラート疲れのリスクがある
• インライン型は被害の進行を止められるが、誤遮断＝業務影響であり、単一障害点にもなり得る
• 対立ではなく段階。観測 → would-block → 遮断という橋を架ける導入が実務的
• どちらに比重を置くかは、通信の安定性と「止まったら困る度合い」で決める

Tate（盾）は回線に挿入するインライン型のアプライアンスですが、観測から始めて段階的に遮断へ進む運用を前提に設計されています。導入の流れは導入の流れをご覧ください。