IPSって何?不正侵入を防止するシステムのことです!

「IPS(あいぴーえす:Intrusion Prevention System)」や「IDS(あいでぃーえす:Intrusion Detection System)」は、ネットワークへの不正なアクセスを検知し、防御するシステムです。

IDSが通信を監視してシステム管理者に警告を行うのに対し、IPSはそれに加えて通信の遮断まで行います。

IPSの特徴は?どのように監視・検知・防止するのかチェック!

IPSには監視方法や検知方法によってさまざまな種類があります。

IPSの監視方法には大きく分けて「ネットワーク型」「ホスト型」「クラウド型」があります。

ネットワーク型

「ネットワーク型」は通信パケットを収集し、データを解析します。
ネットワークの集まるゲートウェイ付近に設置し、ネットワーク全体を監視します。
ホストごとの細かな設定はできません。

ホスト型

サーバーにインストールして、サーバーの受信データやログ、ファイルの改ざんを監視します。
複数のサーバーに対しては、サーバーごとにインストールして設定する必要があります。

クラウド型

「クラウド型」は、IPSの仕組みをクラウドサービスとして提供します。
導入しやすいのがメリットですが、その反面、サービスを提供する事業者に依存してしまうデメリットがあります。

続いて検知の仕組みに関しても解説します。IPSは、「シグネチャ型」と「アノマリ型」の2つの仕組みで通信の異常を検知します。

シグネチャ型

「シグネチャ型」は「不正検出」とも呼ばれます。
「シグネチャ」とは、不正な通信や攻撃を識別するためのルール集です。

シグネチャ型では事前に登録したシグネチャと通信データを照合して不正な通信の検出を行い、シグネチャに登録されたパケットを検出すると不正とみなして検知します。
このため、シグネチャ型では既知の手法での不正行為しか検知できません。
また、あらたなシグネチャが発生するたびに登録しなければならず、頻繁な更新が必要となります。

アノマリ型

「アノマリ型」は「異常検出」とも呼ばれます。
トラフィックや使用したコマンドを確認し、通常とは異なる振る舞いをした場合に異常と判断して検出します。
シグネチャ型でのように頻繁な更新は必要ありませんが、誤検出が多くなるため、チューニングが重要です。

IPSは、セキュリティの強化を課題としている場合や、個人情報などの重要なデータを取り扱う場合、サービスを止めることなく連続稼働することが必要な場合などに非常に効果を発揮します。
IPSを導入していれば、サイバー攻撃を受けても即座に検知機能、防御機能が働き、問題なくサービスの継続ができる可能性が高くなるでしょう。

IPSを導入しないリスク・導入することによるメリットをご紹介!

IPSなどのセキュリティ対策を行わない場合、さまざまなリスクが生じます。
例えば、不正な通信を検知できないと、社内の機密情報を入手されたり、サイバー攻撃を受ける危険があります。

ネットワークへの不正なアクセスを防ぐセキュリティシステムにはファイアウォールなどがありますが、その中でIPSを導入することによるメリットにはどのようなものがあるのでしょうか。

ファイアウォールでは検知できない攻撃を検知できる

ファイアウォールは、外部のネットワークから送られてくるパケットからIPアドレスやポート番号を読み取り、接続可否を判断しています。
これに対し、IPSは通信の内容まで監視して接続可能かどうか判断するので、ファイアウォールで防げない攻撃も検知して遮断することができます。

リアルタイムで攻撃を防御できる

IPSは不正な通信を検知するだけでなく、自動で通信を遮断します。そのため、IDSよりも不正に対してすぐに対処できます。

柔軟な対応ができる

IPSは不正な通信を検知して遮断まで行えますが、検知・遮断のどちらかだけの対応も可能で、状況に合わせて柔軟に対応できます。

IPSで防げる攻撃を解説!

では、IPSで防げる攻撃についてみていきましょう。

バッファオーバーフロー

Webサーバーに大量のデータを一斉に送信し、システムの停止や誤作動をおこす攻撃です。

マルウェア感染

「マルウェア」とは「malicious software(悪意のあるソフトウェア)」の略称です。
代表的なものに「トロイの木馬」「ワーム」「ランサムウェア」があり、システムに不具合を引き起こす目的で作成されたプログラムをさします。

SYNフラッド攻撃

「SYNフラッド攻撃」は、SYNパケットを大量に送信し、 ACKパケットの返信を無視してサーバーを待機状態にしてしまいます。これによりシステムはメモリを消費し、サーバーへの接続ができなくなります。最悪の場合、システムを破壊することもあります。

IPSを導入することで、これらの攻撃を未然に防ぐことが可能です。

IPSとIDSの違いをチェック!

IPSと同様に、ネットワークやサーバーを監視し、不正なアクセスを検知し、システム管理者に通知するシステムに「IDS」があります。

IDSは検知した不正アクセスを通知はしますが、通信自体は許可します。それに対してIPSは検知したアクセスを自動で遮断するのが大きな違いで、IPSはIDSよりセキュリティレベルが高いといえます。

ただし、IPSの場合は不正な通信の遮断まで行うので、誤検知が発生した場合に業務への影響が大きくなってしまいます。
そのため、IPSの運用は、誤検知がおきないように対応する必要があります。

また、IDSでは本来の通信のコピーを監視して、異常な通信を検知します。これに対し、IPSでは状況によって通信を遮断するため、通信経路の間に設置します。

失敗しない!IPS製品の選び方

最後に、IPSを導入する際の選び方についてみていきましょう。

コスト

システムを導入するとき、費用対効果の検証は重要です。
IPSは検知方法や監査方法によってそれぞれ種類があり、数万円で利用できるものから数十万円以上するような大規模なものまであります。
一般的に、導入コストはネットワーク型、クラウド型が安くなります。
また、運用コストは、どのような機能を使うかによって異なってきます。よく比較検討し、自社に必要な機能を持つ製品を選ぶことでコストの抑制につながるでしょう。

サポート

IPSの運用では、問題が発生したときにどう対処するかが非常に重要です。
特に社内にセキュリティ担当者がいない場合は、万が一問題が発生したときに適切なサービスが受けられるかが非常に大切なポイントになるでしょう。

また、IPSの運用には、設定のチューニングが欠かせません。チューニングが適切に行われていないと、誤検知や不正な通信を見逃したりする可能性が高くなります。
セキュリティ担当者がいない場合、事業者に代行を依頼できるか確認しておきましょう。

IPS以外のサービスの有無

セキュリティシステムは、それぞれ防御できる範囲やセキュリティに対する強度が違います。
IPSだけでなく、ファイアウォールやWAFなど、さまざまなセキュリティシステムを使い分けたり、組み合わせることが必要になるでしょう。
自社に必要なものをよく検討し、導入しましょう。

近年ではサイバー攻撃の脅威も多様化しており、1つのセキュリティ対策ですべてをカバーするのは難しくなっています。
複数のツールを適切に組み合わせて、ネットワークの安全性を高めましょう。

この記事を書いた人