近年ますます巧妙化するサイバー攻撃に対応するには、侵入者に対する単一のセキュリティ戦略だけでは十分ではありません。従来のファイアウォールに頼ったセキュリティでは、侵入を許したが最後、組織の重要な情報資産を守ることは困難です。本記事では、ファイアウォールの穴を補完して組織のセキュリティをさらに強化するソリューションである「IPS」について分かりやすく解説します。
IPSとは?
IPSとは、ネットワークやサーバー上のトラフィックをリアルタイムに監視し、不正侵入を検知して、管理者への通知やブロックなどの対策を講じるセキュリティツールのことです。IPSは「Intrusion Prevention System」の略称で、日本語では「不正侵入防止システム」と訳されます。
・IPSとIDSとの違い
IDS(Intrusion Detection System)は「不正侵入検知システム」と訳されます。その名の通り、悪意あるアクセスを検知し、管理者にその異常を通知することを目的としたシステムです。一方のIPSは、IDSの機能に加えて、管理者の判断を待たずして自動的に不正アクセスをブロックする機能も持っています。これによって、IPSはIDSよりも迅速に攻撃を防ぐことが可能です。
・IPSとファイアウォールとの違い
ファイアウォールとは、ネットワークの外部と内部との境界に設置され、基本的に外部から内部へと侵入しようとする不正トラフィックを監視・ブロックするセキュリティです。ファイアウォールもIPSも、攻撃の排除を目的としている点は共通していますが、その仕組みが大きく異なります。
ファイアウォールが不正トラフィックを検知する際に参照するのは、IP アドレスやポートといった「どこからアクセスしているのか」という情報です。これに対してIPSまたはIDSは、疑わしいパターンやシグネチャー(兆候)を特定して攻撃をブロックします。それぞれで役割や監視対象が異なるため、ファイアウォールとIPSの両方を使って複数の方法で不正トラフィックを特定できるようにすることで、セキュリティをより強化することが可能です。
・IPSとWAFの違い
WAFとは「Web Application Firewall」の略称で、WebサイトやWebアプリケーションを防御するセキュリティのことです。IDSやIPS は、OSやミドルウェアといったプラットフォームに対する不正アクセスや攻撃を防御するため、WAFとIDS/IPSでは防御できる層が異なります。
ファイアウォールがネットワークの最前線に展開される防御網だとすれば、その背後にIDS/IPS、さらにWAFが展開される形です。強力な多層防御を構築するためには、ファイアウォールとIDS/IPSに加えて、WAFも導入すると良いでしょう。Webサイトは最も外部ユーザーにさらされている部分のひとつであるため、特にWebサイト運用している企業にとってWAFの導入は非常に重要です。
【関連記事】Cloudbric(クラウドブリック) Webセキュリティ
IPSの種類
IPSには複数の種類があり、セキュリティ対象や設置方法に応じて違いがあります。そこで以下ではIPSの種類ごとの違いを解説します。
・IPSの検知対象に関する違い
IPSには不正アクセスを検知する機能がありますが、「どのような方法で検知するのか」という点で、アノマリ型とシグネチャー型の2種類に分けることが可能です。両者の違いを簡単に説明すると、アノマリ型は「正常なトラフィック」を検知し、シグネチャー型は「不正なトラフィック」を検知するという点で分けられます。
ーアノマリ型
アノマリ型は、あらかじめ正常なトラフィックパターンを定義し、その定義から外れた挙動をすべて異常と検知する方法です。具体的には、プロトコルやトラフィック量が登録している値と異なる場合などに、不正アクセスと判断します。シグネチャー型と比べ、未知の脅威を検知しやすい点がアノマリ型の特長です。
ーシグネチャー型
シグネチャー型は、過去に経験した攻撃のシグネチャー(兆候)に基づいて正確に攻撃をブロックします。システムに登録された攻撃の不正パターンと照合して不正アクセスを特定するため、既知の攻撃に対して正確かつ自動化された防御が可能です。また、誤検知の発生を抑えられるメリットもあります。
・IPSの監視対象に関する違い
IPSは、設置する場所によってネットワーク型とホスト型に分けることが可能です。どちらに設置されるかによって、IPSの監視対象や監視範囲が異なります。
ーネットワーク型
ネットワーク型はその名の通りネットワーク上に設置され、そこを流れるトラフィックを監視するIPSです。設置された区画内のネットワークしか監視できない一方、ホスト型と比べて広範なトラフィックをカバーします。複数のネットワークを運用している場合は、その数だけIPSの設置が必要です。
ーホスト型
ホスト型は、サーバーなどのハードウェアにインストールして、そのハードウェア自体を監視するIPSです。ネットワーク型に対して監視できる範囲は狭いものの、個々のハードウェアを詳細に監視できる点に特長があります。単に不正アクセスを検知するだけでなく、ファイルの改ざん防止なども検知することが可能です。
まとめ
IPSとは、ネットワークやホスト上で不正アクセスを検知し、防御する機能を持ったセキュリティソリューションです。不正アクセスを検知するという点ではIDSと共通していますが、管理者に異常を通知するだけでなく、自動でブロックできる点に特長があります。
IPSは、ファイアウォールやWAFとは異常を検知する方法や、防御できる層が異なります。近年のサイバー攻撃はますます巧妙化しているため、ファイアウォールだけでなく、IPSやWAFを併用して多層的に防御する必要があります。複数のセキュリティツールを組み合わせることで、たとえひとつの防御網が突破されたとしても、他の部分で攻撃を検知・ブロックし、被害を抑えることが可能です。