ホーム

Topics

不正侵入防御システム

 不正侵入防御システム(IPS)とは何ですか?
IBMのIPSソリューションの詳細はこちら セキュリティーの最新情報を購読する
IBM Securityを使うオフィス従業員を示すアイソメトリック画像
IPSとは

侵入防止システム(IPS)は、ネットワーク・トラフィックを監視して潜在的な脅威を検知すると、セキュリティー・チームへの警告発信、危険な接続の切断、悪意のあるコンテンツの削除、他のセキュリティー・デバイスの起動を行うことで、検知した脅威を自動的にブロックします。

IPSソリューションは、脅威を検知してセキュリティー・チームに報告する侵入検知システム(IDS )から発展したものです。IPSはIDSと同じ脅威検知および報告機能に加え、自動化された脅威防止機能も備えているため、「侵入検知および防止システム」(IDPS)と呼ばれることもあります。

IPSは悪意のあるトラフィックを直接ブロックできるため、セキュリティー・チームやセキュリティー・オペレーション・センター(SOC)のワークロードが軽減され、より複雑な脅威への対応に集中できるようになります。IPSは、正規ユーザーによる不正な行為をブロックすることで、ネットワーク・セキュリティー・ポリシーの適用を支援し、コンプライアンスへの取り組みをサポートできます。たとえば、IPSは、侵入検知対策に関するPCI-DSS(Payment Card Industry Data Security Standard)要件を満たしています。
データ侵害のコスト

最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
IPS脅威検知メソッド

IPSは、3つの1次脅威検知メソッドを単独または組み合わせて使用してトラフィックを分析します。
シグネチャベース型検知

シグネチャベースの検知方法では、ネットワーク・パケットを分析し、攻撃シグネチャ(特定の脅威に関連付けられた固有の特性や動作)を検知します。特定のマルウェアの亜種に現れる一連のコードは、攻撃シグニチャの一例です。

シグネチャベースのIPSは、ネットワーク・パケットと比較する攻撃シグニチャのデータベースを保持します。パケットがシグネチャのいずれかに一致した場合、IPSが応答します。シグネチャ・データベースは、新たなサイバー攻撃が出現したり、既存の攻撃が進化したりすると、新しい脅威インテリジェンスで定期的に更新する必要があります。ただし、シグネチャがまだ分析されていない全く新しい攻撃は、シグネチャベースのIPSを回避する可能性があります。
異常ベースの検出

異常ベースの検知手法では、人工知能と機械学習を使用して、通常のネットワーク・アクティビティのベースライン・モデルを作成し、継続的に改良します。IPSは、進行中のネットワーク・アクティビティをモデルと比較し、通常よりも多くの帯域幅を使用するプロセスや、通常は閉じられているポートを開くデバイスなどの逸脱を検出した場合に反応します。

異常ベースのIPSはあらゆる異常な動作に反応するため、シグネチャベースの検知を回避する可能性があるまったく新しいサイバー攻撃をブロックできる場合が多いです。ゼロデイ・エクスプロイト(ソフトウェア開発者がソフトウェアの脆弱性に気づく前、またはパッチを適用する前に、その脆弱性を悪用する攻撃)も検知できます。

ただし、異常ベースの IPS は誤検知が発生しやすい可能性があります。許可ユーザーがセンシティブなネットワーク・リソースに初めてアクセスするなど、無害なアクティビティであっても、異常ベースの IPS がトリガーされる可能性があります。その結果、許可ユーザーがネットワークから起動されたり、IPアドレスがブロックされたりする可能性があります。
ポリシーベースの検出

ポリシーベースの検出メソッドは、セキュリティー・チームによって設定されたセキュリティー・ポリシーに基づいています。ポリシーベースのIPSは、セキュリティー・ポリシーに違反するアクションを検出すると、その試みをブロックします。

たとえば、SOCは、ホストにアクセスできるユーザーとホストを規定するアクセス制御ポリシーを設定する場合があります。権限を持たないユーザーがホストに接続しようとすると、ポリシーベースのIPSがその接続を阻止します。

ポリシーベースのIPSではカスタマイズが可能ですが、多額の先行投資が必要になる場合があります。セキュリティー・チームは、ネットワーク全体で何が許可され、何が禁止されているかを概説する包括的なポリシー・セットを作成する必要があります。
あまり一般的ではない脅威検知メソッド

ほとんどのIPSは上記で概説した脅威検知メソッドを使用しますが、あまり一般的ではない手法を使用するIPSもあります。

レピュテーションベースの検知では、悪意のあるアクティビティまたは不審なアクティビティと関連のあるIPアドレスやドメインからのトラフィックを検知してブロックします。ステートフル・プロトコル分析はプロトコルの動作に焦点をあてます。たとえば、短い時間に多くの同時TCP接続要求を行う単一のIPアドレスを検知することで分散型サービス妨害(DDoS)攻撃を特定することができます。
IPS脅威防止メソッド

IPSが脅威を検知すると、そのイベントがログに記録され、セキュリティー情報およびイベント管理(SIEM)ツールを通じてSOCに報告されます(「IPSおよびその他のセキュリティー・ソリューション」を参照)。

しかし、IPSはそれだけではありません。次のような手法を使用して、脅威に対して自動的にアクションを実行します。
悪意あるトラフィックのブロック

IPSはユーザーのセッションを終了させたり、特定のIPアドレスをブロックしたり、さらには標的へのすべてのトラフィックをブロックしたりすることができます。一部のIPSは、トラフィックをハニーポットにリダイレクトできます。ハニーポットは、ハッカーに成功したと思わせるためのおとり資産で、実際にはSOCがハッカーを監視しています。
悪意あるコンテンツの削除

IPSはトラフィックの継続を許可しますが、ストリームから悪意あるパケットをドロップしたり、メールから悪意ある添付ファイルを削除したりするなど、危険な部分をスクラブします。
他のセキュリティー・デバイスのトリガー

IPSは、ファイアウォールのルールを更新して脅威をブロックしたり、ルーター設定を変更してハッカーがターゲットに到達するのを防ぐなど、他のセキュリティー・デバイスに動作をプロンプトする場合があります。
セキュリティー・ポリシーの適用

一部のIPS は、攻撃者や無許可ユーザーが会社のセキュリティー・ポリシーに違反する行為を防ぐことができます。たとえば、ユーザーが機密情報をデータベースから転送しようとした場合、IPSはその情報をブロックします。
不正侵入防御システムのタイプ

IPSソリューションは、エンドポイントにインストールするソフトウェア・アプリケーション、ネットワークに接続する専用のハードウェア・デバイス、またはクラウド・サービスとして提供することができます。IPSは悪意のあるアクティビティをリアルタイムでブロックできなければならないめ、常にネットワーク上の「インライン」に配置されます、つまり、トラフィックはIPSを直接経由してから宛先に到達します。

IPSは、ネットワーク内のどこに存在するか、および監視するアクティビティーの種類に基づいて分類されます。多くの組織は、ネットワーク内で複数のタイプの IPS を使用しています。
ネットワークベースの不正侵入防御システム(NIPS)

ネットワークベースの侵入防止システム(NIPS)は、ネットワーク上のデバイスへの入出力トラフィックを監視し、個々のパケットに不審なアクティビティがないかを検査します。NIPSはネットワークの戦略的なポイントに設置されています。ネットワーク境界のファイアウォールのすぐ後ろに設置されることが多く、悪意のあるトラフィックが侵入するのを阻止します。NIPSは、クリティカルなデータセンターやデバイスなどの重要な資産間のトラフィックを監視するためにネットワーク内に設置することもできます。
ホストベースの不正侵入防御システム(HIPS)

ホストベースの侵入防止システム(HIPS)は、ノートPCやサーバーなどの特定のエンドポイントにインストールされ、そのデバイス間のトラフィックのみを監視します。HIPSは通常、重要な資産にさらなるセキュリティーを追加するためにNIPSと併用されます。HIPS は、感染したデバイスから拡散するランサムウェアなど、侵害されたネットワーク・ノードからの悪意のあるアクティビティをブロックすることもできます。
ネットワーク動作分析(NBA)

ネットワーク動作分析(NBA)ソリューションは、ネットワーク・トラフィックのフローを監視します。NBAは他のIPSと同様にパケットを検査する場合がありますが、多くのNBAは送信元と送信先のIPアドレス、使用ポート、送信パケット数など、通信セッションのより高レベルの詳細に重点を置いています。

NBAは異常ベースの検知手法を使用しており、トラフィックに対するDDoS攻撃や、未知のコマンドとコントロール・サーバーと通信するマルウェアに感染したデバイスなど、標準から逸脱するフローを検知してブロックします。
ワイヤレス不正侵入防御システム(WIPS)

ワイヤレス不正侵入防御システム(WIPS)は、会社のWi-Fiにアクセスする無許可ユーザーやデバイスなど、不審なアクティビティーがないかワイヤレス・ネットワーク・プロトコルを監視します。WIPS は、ワイヤレス・ネットワーク上で不明のエンティティーを検出すると、接続を終了することがあります。WIPS は、Wi-Fiネットワーク上の構成が間違っているデバイスやセキュアでないデバイスを検出し、ハッカーがユーザーの通信を密かに監視する中間者攻撃を傍受するのにも役立ちます。
IPSおよびその他のセキュリティー・ソリューション

IPSはスタンドアロン・ツールとして利用できますが、総合的なサイバーセキュリティー・システムの一部として他のセキュリティー・ソリューションと緊密に統合されるように設計されています。
IPSおよびSIEM(セキュリティー情報およびイベント管理)

IPSアラートは多くの場合、組織のSIEMに集約され、そこで他のセキュリティー・ツールからのアラートや情報と統合され、一元化されたダッシュボードで管理されます。IPSとSIEMを統合すると、セキュリティー・チームはIPSアラートに追加の脅威インテリジェンスを追加し、誤ったアラームを排除し、IPSアクティビティをフォローアップして脅威が確実にブロックされたことを確認できます。多くの組織が複数のタイプを使用しているため、SIEMSはSOCがさまざまな種類のIPSからのデータを調整する際にも役立ちます。
IPSおよびIDS(侵入検知システム)

前述したように、IPSはIDSから進化したもので、同じ機能を多く備えています。組織によっては、IPSとIDSのソリューションを別々に使用している場合もありますが、ほとんどのセキュリティー・チームは、堅牢な検知、ログ、レポート、自動脅威防御機能を備えた単一の統合ソリューションをデプロイしています。多くのIPSは、セキュリティー・チームが防御機能を無効にできるようにしており、組織が望む場合には純粋なIDSとして機能させることができます。
IPSおよびファイアウォール

IPSは、ファイアウォールの背後にある第2の防御線として機能します。ファイアウォールは境界で悪意あるトラフィックをブロックし、IPSはファイアウォールを突破してネットワークに侵入しようとするあらゆるものを傍受します。一部のファイアウォール、特に次世代ファイアウォールにはIPS機能が組み込まれています。
関連ソリューション
X-Forceインシデント対応チーム

IBM Securityのインシデント対応リテーナーのサブスクリプションを利用して、組織が侵害への備えを強化するために必要なセキュリティー保護を実現してください。IRコンサルタントの精鋭チームは、サイバーセキュリティーのインシデントが疑われる前にインシデント対応時間を短縮し、影響を最小限に抑え、より迅速な復旧を支援する、信頼できるパートナーとして待機しています。

 X-Forceインシデント対応の詳細はこちら
ランサムウェア対策ソリューション

ランサムウェアによる事業継続性の中断を阻止し、攻撃が発生した場合にも迅速な復旧を実現します。ゼロトラスト・アプローチにより、ランサムウェアの検知と対応を迅速化し、ランサムウェア攻撃による影響を最小限に抑えることができます。

 ランサムウェア保護ソリューションの詳細はこちら
参考情報 ネットワーク・セキュリティーとは

企業ネットワークが拡大するにつれて、サイバー攻撃のリスクも増大します。ネットワーク・セキュリティー・ソリューションが内部および外部のセキュリティー脅威からコンピューター・システムをどのように保護するかを学習します。

 セキュリティー情報およびイベント管理(SIEM)とは何か?

SIEMは、セキュリティー関連のイベントをリアルタイムで監視および分析し、コンプライアンスまたは監査の目的でセキュリティー・データを記録および追跡します。

 ネットワークでの検知と対応(NDR)とは何か?

NDR は、人工知能、機械学習、行動分析を使用して、不審なネットワーク・アクティビティーを検出し、対応します。

次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

 サイバーセキュリティー・サービスはこちら Thinkニュースレターの購読