侵入防止システムとは
侵入防止システム(IPS)は、悪意のあるアクティビティに対してネットワークを継続的に監視し、対処すべきイベントが発生した場合に、レポート、ブロック、削除などの防止対策を実行するネットワーク セキュリティ ツール(ハードウェア デバイスやソフトウェアなど)です。
IPS は侵入検知システム(IDS)をさらに高度化したソリューションです。IDS は悪意のあるアクティビティを検知するのみで、管理者に警告する以外のアクションを実行できません。IPS は次世代ファイアウォール(NGFW)や統合脅威管理(UTM)ソリューションの一部として含まれている場合もあります。多くのネットワーク セキュリティ テクノロジーと同様に、ネットワーク パフォーマンスを低下させることなく、大量のトラフィックをスキャンできる十分な性能が求められます。
VMware NSX Distributed IDS/IPS ソリューションの概要
分散ファイアウォール
侵入防止システムの仕組み
侵入防止システムは、送信元と宛先の間のネットワーク トラフィック フローにインラインで配置され、通常はファイアウォールのすぐ内側に設置されます。侵入防止システムでは次の手法を使用して脅威を特定します。
- シグネチャベース:この方法では、検知したアクティビティを既知の脅威のシグネチャと照合します。この方法の欠点は、過去に特定された攻撃しか防止できず、新しい攻撃を認識できない点です。
- アノマリーベース:この方法では、ネットワーク アクティビティのランダムなサンプルをベースラインの基準と比較することで、異常な振る舞いの発生を監視します。シグネチャベースのモニタリングよりも強力ですが、誤検知が発生することがあります。最近の高度な侵入防止システムのなかには、人工知能や機械学習のテクノロジーを使用してアノマリーベースのモニタリングをサポートするものもあります。
- ポリシーベース:この方法はシグネチャベースやアノマリーベースのモニタリングほど一般的ではありません。企業が定義したセキュリティ ポリシーを使用して、そのポリシーに違反するアクティビティをブロックします。この方法では、管理者がセキュリティ ポリシーをセット アップして構成する必要があります。
IPS は悪意のあるアクティビティを検知すると、管理者へのアラート送信、パケットのドロップ、送信元アドレスからのトラフィックのブロック、接続のリセットなど、さまざまな自動アクションを実行します。侵入防止システムのなかには、「ハニーポット」(おとりとなる高価値のデータ)を使用して攻撃者をおびき寄せ、標的への攻撃を阻止するものもあります。
侵入防止システムの種類
IPS には次のように複数の種類があり、それぞれ少しずつ異なる目的を持っています。
- ネットワーク侵入防止システム(NIPS):NIPS は戦略上重要なポイントにのみ設置され、すべてのネットワーク トラフィックを監視し、脅威をプロアクティブにスキャンします。
- ホスト侵入防止システム(HIPS):NIPS とは対照的に、HIPS はエンドポイント(PC など)に設置され、設置されたエンドポイントのみのインバウンド/アウトバウンド トラフィックを監視します。NIPS を突破した脅威に対する最後の防衛ラインとして機能するため、NIPS と組み合わせて使用するのがもっとも効果的です。
- ネットワーク振る舞い分析(NBA):ネットワーク トラフィックを分析し、分散型サービス拒否(DDoS)攻撃などの異常なトラフィック フローを検知します。
- 無線侵入防止システム(WIPS):WIPS は、不正なアクセスがないか Wi-Fi ネットワークをスキャンするシンプルな手法により、不正なデバイスをネットワークから遮断します。
侵入防止システムのメリット
侵入防止システムには次のように多くのメリットがあります。
- セキュリティの強化:IPS はほかのセキュリティ ソリューションと連携して機能し、ほかのソリューションでは特定できない脅威を特定します。これは特に、アノマリーベースの検知を使用しているシステムに当てはまります。また、高度なアプリケーション認識機能により、優れたアプリケーション セキュリティを実現します。
- ほかのセキュリティ コントロールの効率性の向上:IPS は、悪意のあるトラフィックがほかのセキュリティ デバイスやセキュリティ制御システムに到達する前にフィルタリングするため、これらの制御システムの負荷が軽減され、より効率的に機能するようになります。
- 時間の節約:IPS は機能の大部分が自動化されているため、IT チームは時間をかけずにセキュリティを強化できます。
- コンプライアンス:IPS は、PCI DSS や HIPAA などで規定されるコンプライアンス要件の多くを満たしています。また、有益な監査データを提供します。
- カスタマイズ:IPS ではセキュリティ ポリシーをカスタマイズできるため、それぞれの企業に特化したセキュリティ コントロール システムを構築できます。
侵入防止システムが重要な理由
IPS がエンタープライズ セキュリティ システムにおいて重要な要素である理由はいくつかあります。マルチクラウド ネットワークには多くのアクセス ポイントがあり、大量のトラフィックを処理しているため、手動によるモニタリングや対応は現実的な対策とは言えません(特にクラウド セキュリティでは、環境が高度に接続されているため攻撃対象領域が大きくなり、脅威に対する脆弱性が高まります)。さらに、エンタープライズ セキュリティ システムが直面する脅威は、かつてないほど増加し、巧妙化しています。このような状況において IPS の自動機能は不可欠であり、これにより企業は IT チームの負担を増やすことなく、迅速に脅威に対応できます。企業のセキュリティ インフラストラクチャに IPS を組み込むことは、非常に深刻な被害をもたらす高度に巧妙な攻撃を防ぐための重要な手段です。
侵入防止システムを既存のセキュリティ インフラストラクチャに組み込むには
侵入防止システム(IPS)は堅牢なセキュリティ ソリューションの一部に過ぎず、最大の効果を得るためにはほかのテクノロジーと連携させる必要があることを忘れてはなりません。実際、IPS は統合された脅威管理ソリューションや次世代ファイアウォール ソリューションの機能のひとつとして提供されることがよくありますが、単体製品で提供される場合もあります。一般的なセキュリティ アーキテクチャにおいて、IPS は通常ファイアウォールのすぐ内側に配置され、ファイアウォールと連動して動作することで、セキュリティ レベルを向上させ、ファイアウォールだけでは捕捉できない脅威を防御します。また IPS は、ほかのセキュリティ コントロール システムを攻撃から保護するだけでなく、悪意のあるトラフィックがそれらのシステムに到達する前にフィルタリングすることで、システムのパフォーマンスを向上させるのにも役立ちます。もっとも重要なのは、セキュリティ インフラストラクチャのほかの部分では検知できない脅威を特定しフィルタリングすることで、IPS が追加のセキュリティ レイヤーを提供することです。
