IPS(侵入防止システム)とは?
はじめに
多くの組織活動において、不正アクセスや障害、即時の脅威を早期に発見する仕組みは不可欠です。現代の脅威は複雑化しており、最も堅固なセキュリティ対策をも突破する可能性があります。ここでは、侵入防止システムの仕組みについて学びます。
侵入防止システムとは?
侵入防止システム(IPS)は、組織のセキュリティ装置で、予測される脅威を自動で検知し、対応する機能を備えています。IPSは侵入検知システム(IDS)と同様にネットワークトラフィックを監視し、脅威を見つけ出します。各組織の定めたルールに沿い、攻撃が始まると迅速な自動対処を行う仕組みです。
IPSはどのように動作する?
侵入防止システムは、特定のネットワークデータを詳細に調べることで、悪意ある動きや攻撃手法を識別します。IPSエンジンはトラフィックを解析し、内蔵された署名データと突き合わせることで攻撃パターンを検出します。攻撃と判断された場合、該当パケットを破棄し、攻撃元のIPやポートからの今後の通信を遮断することがあります。本来の通信はそのまま継続され、業務に支障をきたすことはありません。
通常、IPSは検出した出来事のログを記録し、セキュリティ管理者へ通知し、レポートを作成します。また、セキュリティパッチやアップデートを自動で受信し、最新の脅威を監視することで、組織を守る役割を果たします。
侵入防止システムの種類
IPSにはいくつかの種類があり、それぞれ独自の機能を持ちます。
- WIPS
WIPSは、リモート侵入防止システムとも呼ばれ、Wi-Fiネットワーク上で不正なデバイスを検出し、排除するタイプです。
- NIPS
NIPSはネットワーク侵入防止システムとして知られ、企業内の全ての通信を監視し、脅威を検出するために使用されます。
- NBA
NBA(ネットワーク行動分析)は、DDoS(Distributed Denial of Service)攻撃など、通常とは異なるトラフィックパターンを解析します。
- HIPS
NIPSとは異なり、HIPSはPCなどの単一エンドポイント上に導入され、そのPCの送受信トラフィックのみを監視します。NIPSと併用することで、組織の最後の防衛線としての役割を果たします。
侵入防止システム技術の比較
| IPS技術の種類 | 検出される悪意ある動作の種類 | センサーごとの範囲 | 特徴 |
|---|---|---|---|
| ネットワークベース | ネットワーク、トランスポート、アプリ層のTCP/IP動作 | 複数の企業サブネットに対応 | 最も広範な使用パターンを解析可能なIDPS。 |
| リモート | リモートプロトコルの動作;不正なリモートエリア(WLAN)の利用 | 異なるWLANおよびリモートクライアントグループ | リモートプロトコルの動作検知に特化。 |
| NBA | アプリ、ネットワーク、トランスポート層の特性;TCP/IP層の動作による影響 | 少数の企業サブネットおよびグループ | 監視活動やDoS攻撃、深刻なマルウェアの発生を検知するのに優れる |
| ホストベース | ネットワーク、トランスポート、アプリ層のTCP/IP動作;アプリおよびOS(オペレーティングシステム)の動作 | 各ホストで個別対応 | 暗号化された端から端までの通信内容を解析可能。 |
IPSの検知方法
一般的に、IPSはファイアウォールの直後、送信元と宛先の間に配置されます。IPSは様々な方法で脅威を検出します。
- 異常検知方式
この方式は通常のネットワーク動作を学習し、そこから逸脱する異常な振る舞いを捉えます。署名方式よりも信頼性は高いものの、誤検知が発生する場合があります。近年の高度なIPSは、機械学習やAI技術を用いて異常検知を補完しています。
- 署名方式
トラフィックを既知の脅威署名と照合する方法です。ただし、新たな攻撃には対応できない点が欠点です。
- ポリシー方式
事前に設定されたセキュリティポリシーに反する動作を検出します。ポリシーは管理者が設定する必要があります。
IPSが有害な動作を検出すると、管理者への通知、パケットの破棄、通信元の遮断、あるいは接続のリセットなど、様々な自動対応を実行します。また、一部のIPSは攻撃者をおびき寄せるために「ハニーポット」や偽の高価値データを用いることもあります。
侵入防止システムの利点は?
IPSの利用には多くの利点があります。
- より高い安全性: IPSは他のセキュリティ対策と連携し、他の手法では検知できない脅威も識別します。特に、異常検知方式との組み合わせにより、アプリの安全性が向上します。
- 他のセキュリティ対策の効率向上: IPSは攻撃トラフィックを事前にふるい落とすことで、他の対策の負担を減らし、効果的な運用をサポートします。
- 人的リソースの節約: 多くの処理が自動化されているため、ITチームの工数を削減できます。
- APIセキュリティとの高い相性: APIセキュリティとの連携が容易です。
- PCI DSS、金融サービス向けWallarm、医療向けWallarmなどの規制基準に準拠し、詳細なログ情報を提供します。
- カスタマイズ性: 組織のニーズに合わせた独自のセキュリティルールを設定可能です。
侵入防止システムの欠点
IPSはセキュリティ面で優れたツールですが、いくつかの欠点も存在します。以下に例を挙げます。
- 全てのIPSが正確に脅威を検知できるわけではなく、誤検知の可能性もあります。不正な動作を攻撃と誤判すると、DoS攻撃のリスクが高まります。
- IPSは資源を多く消費し、十分な帯域幅やネットワーク容量が必要です。不足するとシステム全体の動作が遅くなります。
- 複数のIPSを連携させると、各IPSを通過するため通信速度が低下する可能性があります。
- IPSの導入および運用には高いコストがかかるため、全ての組織に適しているわけではありません。
- 侵入を未然に防ぐ仕組みであるため、一度侵入された場合の脅威検知には別途、検知システムを導入する必要があり、コストやリソースが増大します。
このシステムの重要性
安全で信頼性の高い通信環境を実現するため、現代のビジネス環境では高度なセキュリティが求められます。従来の技術に加え、侵入防止システムは柔軟な防御手段として機能し、自動で攻撃を防ぐことでコスト削減と生産性向上に寄与します。今後ますます複雑化するサイバー攻撃に対応するため、セキュリティ対策は常に進化する必要があります。
IDS vs IPS - 違いは何か?
IPSを導入する際、侵入検知システム(IDS)との違いを理解することが大切です。潜在的な脅威が検出された場合の対応が、IPSとIDSの大きな違いとなります。
IPSはネットワークアクセスを管理し、不正アクセスや攻撃から組織を守るため、通信を監視し自動で対処します。一方、IDSは攻撃を防ぐのではなく、脅威を検知して管理者へ通知することを目的としています。
- 侵入防止システムは、ネットワークアクセスを管理し、不正アクセスや攻撃から守るために、トラフィックを監視し自動で対応します。
- 侵入検知システムは、攻撃を防止するのではなく、組織やシステムに対する脅威を検知し、管理者に通知します。
FAQ
参考資料
最新情報を購読
