IPS(不正侵入防止システム)とは何か
IPSとは「Intrusion Prevention System」の略称で、Intrusion(侵入)をPrevention(防止)するシステムのことです。
サーバーやネットワークを監視し、不正なアクセス・異常な通信があれば管理者へ通知し、通信をブロックする役割があります。
IPSは、異常な通信をブロックするために通信経路に設置されるのが一般的です。
また、企業がやるべき情報セキュリティ対策をまとめた14分野30項目のチェックシートを無料で配布しています。
貴社ではどれくらいセキュリティ対策ができているのか、あとは何が必要なのか、ご確認ください。
IDS(不正侵入検知システム)とは何か
IDSとは「Intrusion Detection System」の略称で、Intrusion(侵入)をDetection(検出)するシステムのことです。
IDSを設置して通信を監視し、通信に異常があれば管理者へ通知します。
IDSには、「ネットワーク型」と「ホスト型」と言われる2つのタイプがあります。
ネットワーク型は、ネットワークを流れる通信パケットを監視することが特徴です。通常は、企業の外側と内側のネットワークの境界に設置し、外からアクセスしてくるパケットに怪しいものがあれば検知します。
一方、ホスト型は、監視対象のサーバーで通信の結果生成されたサーバー上の受信データやログを監視するタイプのシステムです。
ファイルやログの改ざんを監視し、不正行為を検知次第、管理者に通知します。
ホスト型のIDSは、監視したいPCすべてにインストールする必要があり、ネットワーク型に比べると手間がかかるでしょう。
IPSとIDSの違いとは
では、IPSとIDSでは一体何が異なるのでしょうか。
その違いは、「不正行為を検出後のアクション」によって区分されます。
IDSは、不正行為を検出後、指定されたアクション(管理者への通知)を起こすものの防御措置は取りません。一方、IPSは不正行為を検出後、直ちにトラフィックを遮断するなどの防御措置を取ります。
このように、不正行為を検出して通知するのがIDS、防御措置を行うのがIPSというのが違いです。
「防御措置まで対応したいのに、IDSを設置してしまった」となっては、セキュリティ事故にもなりかねないため、それぞれの違いはしっかり認識しておきましょう。
IPSが動作する仕組み
IPSは「不正検出」と「異常検出」を行い、動作する仕組みになっています。
不正検出は、事前に登録した「シグネチャ」と言われるパターン・ルールと照合して侵入検出を行う仕組みです。IDSがシグネチャに登録されたパケットを検出すると、不正行為とみなして検知します。
そのため、シグネチャによる不正検出は既知の手法での不正行為しか検知できません。
一方、異常検出は、通常とは異なるトラフィックを検出可能な仕組みになっており、未知の手法での不正行為も検知可能です。例えば、トラフィック状況やログイン時刻などに対し、通常時の閾値を用意し、閾値とは異なる値が検出された場合に異常と判断します。
このように、IPSでは不正検出により既知の不正行為を、異常検出により未知の不正行為に対応可能です。
IPSを導入しない場合のリスクについて
IPSの導入やその他のセキュリティ対策を行わないと、様々なリスクが生まれます。
まず、不正な通信を検出できないため社内の重要情報が不正に入手されたり、社内サーバーに攻撃を仕掛けられることが考えられます。
また、IPSは不正行為を検出したら通信を遮断できますが、IDSは遮断できません。そのため、IDSを導入していれば安全だと考えている場合は注意が必要でしょう。
IPSとその他のセキュリティ対策との違いを比較
IPS以外にも不正な通信を検出可能なセキュリティ対策はあります。
ここでは、「ファイアウォール(FW)」「WAF」との違いを比較してみましょう。
ファイアウォール(FW)との違い
FWは、送信元と送信先の情報(IPアドレスやポート番号など)を元にアクセスを制限します。
一般的には、内部環境と外部環境の境界に専用機器を設置して利用し、その名の通り「防火壁」の役割を果たします。IPSとは異なり、通信の中身までは検査しません。
WAFとの違い
WAFは「Web Application Firewall」の略称で、Webサイト・Webアプリケーションに特化したセキュリティ対策です。
WAFは、IPアドレスやポート番号よりも上位階層にある「アプリケーション層」を保護し、不正通信や許可していない通信を遮断できます。
WAFによって、「DDoS攻撃」や「SQLインジェクション」、「クロスサイトスクリプティング」などのサイバー攻撃を防ぐことが可能です。
IPSで対応可能な攻撃の種類
IPSで対応可能な攻撃の種類は次の3つです。
- DDoS
- SYNフラッド
- マルウェア
1つずつ解説します。
DDoS
DDoS攻撃は、複数のコンピュータから大量のリクエストを一斉に送信し、サーバーに負荷をかける攻撃のことです。サーバーやネットワークに多大な負荷がかかると、Webサイトへアクセスできなくなったり、ネットワーク遅延が起こったりします。
上記の被害は、金銭面や会社の信用面にも重大なダメージを被ることになるため対策は必須です。
IPSではこのようなDDoS攻撃にも対応できます。
SYNフラッド
SYNフラッド攻撃は、DoS攻撃の中の1つの攻撃手法でTCPの特性を悪用した攻撃のことです。
TCPはセッションを確立する際に「3ウェイ・ハンドシェイク」と言われる、以下の3段階のプロセスを踏みます。
- ユーザーがSYNパケットを送信
- 受信したサーバが、SYN/ACKパケットをユーザーに返す
- SYN/ACKパケットを受信したユーザーがACKパケットを送信し、サーバとの通信を開始
SYNフラッドは、SYNパケットを大量に送信し、ACKパケットの返信を無視・放置してサーバを待機状態する攻撃です。これによりシステムはメモリを浪費し、サーバに新規接続ができなくなります。
具体的な被害には、サーバダウンやサービスの停止、最悪の場合、システムを破壊することもあるのです。
マルウェア
マルウェアは「malicious software(悪意のあるソフトウェア)」の略称で、不具合を引き起こす目的で作成されたソフトやプログラムを指します。
マルウェアには様々な種類があり、「ワーム」や「トロイの木馬」、「ランサムウェア」といったものが代表的です。
特に、ワームは自身で増殖ができる特徴があり、ネットワークに侵入すると次々と増殖しPCリソースを占拠するため厄介な攻撃です。
このマルウェアにもIPSは対応でき、不正な侵入を検知した時点で通信を遮断します。
IPSのおすすめ製品
L2Blocker
株式会社ソフトクリエイトが提供するクラウド型のIDS・IPSです。
許可したPC機器のネットワーク接続のみを可能にすることに特化したセキュリティ製品になっています。
BYOD(Bring Your Own Device)など、情報漏えいの原因になりがちな持ち込み機器の対策を検討したい会社にぴったりでしょう。
攻撃遮断くん
株式会社サイバーセキュリティクラウドが提供するクラウド型のWAF+IDS・IPSです。
日本で自社開発されており、国産WAFベンダーが日本のセキュリティ情勢に合わせてサービス提供や運用をしているといった特徴があります。
サイバー攻撃をリアルタイムで可視化するため、侵入を防止した攻撃をすぐに確認可能です。
24時間365日電話サポートが可能で、プランによっては解説付きの月次レポートも提供されます。
イージス
株式会社ロケットワークスが提供するクラウド型のWAF/IPSです。
新しい攻撃に対して日々のシステム更新情報の共有や、攻撃情報を「攻撃時の防御証明メール」「月次レポート」で提供してくれる特徴があります。
機械学習で攻撃元IPやシグネチャパターンを学習するため、性能向上が期待できるでしょう。
