不正侵入防御システム(IPS)は、脅威の可能性がないかネットワーク・トラフィックを監視し、セキュリティー・チームに警告を発したり、危険な接続を終了したり、悪意あるコンテンツを除去したり、他のセキュリティー・デバイスをトリガーすることによって、それらをブロックするためのアクションを自動的に実行します。
IPSソリューションは、脅威を検知してセキュリティー・チームに報告する 侵入検知システム(IDS)から発展したものです。IPS は、IDSと同じ脅威検知およびレポート・ファンクションに加えて、自動化された脅威防御機能を備えているため、IPS は「侵入検知および防御システム」(IDPS)と呼ばれることがあります。
IPSは悪意あるトラフィックを直接ブロックできるため、セキュリティー・チームや セキュリテー・オペレーション・センター (SOC)のワークロードが軽減され、より複雑な脅威に集中できるようになります。IPS は、正当なユーザーによる無許可のアクションをブロックすることで ネットワーク・セキュリティーのポリシーを適用するのに役立ち、コンプライアンスへの取り組みをサポートできます。たとえば、IPSは、侵入検知対策に関するペイメント・カード業界データ・セキュリティー基準(PCI-DSS_)要件を満たします。
IPSは、3つの1次脅威検知メソッドを単独または組み合わせて使用してトラフィックを分析します。
シグネチャベース型検知メソッドは、ネットワーク・パケットを分析して、アタック・シグニチャー(特定の脅威に関連する固有の特性や動作)を検知します。特定の マルウェアのバリアントに現れるコードのシーケンスは、アタック・シグニチャーの一例です。
シグネチャベース型IPS は、ネットワーク・パケットを比較するアタック・シグニチャーのデータベースを維持します。パケットがいずれかのシグネチャとの一致をトリガーした場合、IPSはアクションを実行します。シグネチャ・データベースは、新たな サイバー攻撃の出現や既存の攻撃の進化に伴い、新たな脅威インテリジェンスにより定期的に更新されなければなりません。ただし、シグネチャがまだ分析されていない全く新しい攻撃は、シグネチャベース型 IPS を回避する可能性があります。
異常ベースの検出メソッドでは、人工知能と 機械学習を使用して、通常のネットワーク・アクティビティーのベースライン モデルを作成し、継続的に改良します。IPSは、進行中のネットワーク・アクティビティーをモデルと比較し、通常よりも多くの帯域幅を使用するプロセスや、通常は閉じているポートを開いているデバイスなどの逸脱を検出すると、アクションを開始します。
異常ベースのIPSはあらゆる異常な動作に対応するため、多くの場合、シグネチャベース型検知を回避する可能性のある全く新しいサイバー攻撃をブロックできます。ソフトウェアのデベロッパーが気づく前に、あるいは パッチを当てる時間がないうちに、ゼロデイ・エクスプロイト( ソフトウェアの脆弱性を利用した攻撃)をcatchすることもあります。
ただし、異常ベースの IPS は誤検知が発生しやすい可能性があります。許可ユーザーがセンシティブなネットワーク・リソースに初めてアクセスするなど、無害なアクティビティであっても、異常ベースの IPS がトリガーされる可能性があります。その結果、許可ユーザーがネットワークから起動されたり、IPアドレスがブロックされたりする可能性があります。
ポリシーベースの検出メソッドは、セキュリティー・チームによって設定されたセキュリティー・ポリシーに基づいています。ポリシーベースのIPSは、セキュリティー・ポリシーに違反するアクションを検出すると、その試みをブロックします。
たとえば、SOC は、どのユーザーとデバイスがホストにアクセスできるかを命令するアクセス制御ポリシーを設定する場合があります。無許可ユーザーがホストに接続しようとすると、ポリシーベースのIPSが接続を停止します。
ポリシーベースのIPSではカスタマイズが可能ですが、多額の先行投資が必要になる場合があります。セキュリティー・チームは、ネットワーク全体で何が許可され、何が禁止されているかを概説する包括的なポリシー・セットを作成する必要があります。
ほとんどのIPSは上記で概説した脅威検知メソッドを使用しますが、あまり一般的ではない手法を使用するIPSもあります。
レピュテーションベースの検出により、悪意あるアクティビティーまたは不審なアクティビティーに関連するIPアドレスおよびドメインからのトラフィックにフラグを立ててブロックします。ステートフル・プロトコル分析は、プロトコルの動作に焦点を合わせます。たとえば、単一IPアドレスが短期間に多数の同時TCP接続要求を行ったことを検出することで、分散型サービス拒否(DDoS)攻撃を特定することができます。
IPSは脅威を検出すると、イベントをログ記録し、多くの場合 セキュリティー情報およびイベント管理(SIEM) ツールを通じてSOCに報告します (下記の「IPS およびその他のセキュリティー・ソリューション」を参照)。
しかし、IPSはそれだけではありません。次のような手法を使用して、脅威に対して自動的にアクションを実行します。
IPSは、ユーザーのセッションを終了したり、特定のIPアドレスをブロックしたり、ターゲットへのすべてのトラフィックをブロックしたりする場合があります。一部のIPSは、トラフィックをハニーポットにリダイレクトできます。ハニーポットは、実際には SOC が監視しているにもかかわらず、ハッカーに成功したと思わせるおとり資産です。
IPSはトラフィックの継続を許可しますが、ストリームから悪意あるパケットをドロップしたり、メールから悪意ある添付ファイルを削除したりするなど、危険な部分をスクラブします。
IPSは、ファイアウォールのルールを更新して脅威をブロックしたり、ルーター設定を変更してハッカーがターゲットに到達するのを防ぐなど、他のセキュリティー・デバイスに動作をプロンプトする場合があります。
一部のIPS は、攻撃者や無許可ユーザーが会社のセキュリティー・ポリシーに違反する行為を防ぐことができます。たとえば、ユーザーが機密情報をデータベースから転送しようとした場合、IPSはその情報をブロックします。
IPSソリューションは、エンドポイントにインストールされるソフトウェア・アプリケーションであったり、ネットワークに接続された専用ハードウェア・デバイスであったり、またはクラウド・サービスとして配信される場合があります。IPSは悪意あるアクティビティーをリアルタイムでブロックできる必要があるため、ネットワーク上の常に「インライン」に配置されます、すなわちトラフィックは宛先に到達する前にIPSを直接通過します。
IPSは、ネットワーク内のどこに存在するか、および監視するアクティビティーの種類に基づいて分類されます。多くの組織は、ネットワーク内で複数のタイプの IPS を使用しています。
ネットワークベースの侵入防御システム (NIPS) は、ネットワーク上のデバイスへの受信トラフィックとアウトバウンド・トラフィックを監視し、個々のパケットに不審なアクティビティーがないか検査します。NIPSはネットワークの戦略的ポイントに設置されます。多くの場合、ネットワーク境界のファイアウォールのすぐ後ろに配置され、侵入する悪意あるトラフィックを阻止できます。NIPSは、重要なデータ・センター やデバイスなどの重要なアセットとの間のトラフィックを監視するためにネットワーク内に配置する場合もあります。
ホストベースの不正侵入防御システム(HIPS)は、ラップトップやサーバーなどの特定のエンドポイントにインストールされ、そのデバイスとの間のトラフィックのみを監視します。HIPSは通常、必須のアセットに特別のセキュリティーを追加するためにNIPSと組み合わせて使用されます。HIPS は、感染したデバイスから拡散するランサムウェアなど、侵害されたネットワーク ノードからの悪意あるアクティビティーをブロックすることもできます。
ネットワーク動作分析(NBA)ソリューションは、ネットワーク・トラフィック・フローを監視します。NBAは他の IPS と同様にパケットを検査する場合がありますが、多くのNBAは、送信元と宛先のIPアドレス、使用されるポート、送信されたパケット数など、通信セッションのより高いレベルの詳細に焦点を合わせています。
NBAは異常ベースの検知メソッドを使用し、DDoS攻撃トラフィックまたは無効なコマンドとコントロール・サーバーと通信するマルウェアに感染したデバイスなど、標準から逸脱するフローにフラグを立ててブロックします。
ワイヤレス不正侵入防御システム(WIPS)は、会社のWi-Fiにアクセスする無許可ユーザーやデバイスなど、不審なアクティビティーがないかワイヤレス・ネットワーク・プロトコルを監視します。WIPS は、ワイヤレス・ネットワーク上で不明のエンティティーを検出すると、接続を終了することがあります。WIPS は、Wi-Fiネットワーク上の構成が間違っているデバイスやセキュアでないデバイスを検出し、ハッカーがユーザーの通信を密かに監視する中間者攻撃を傍受するのにも役立ちます。
IPSはスタンドアロン・ツールとして利用できますが、総合的なサイバーセキュリティー・システムの一部として他のセキュリティー・ソリューションと緊密に統合されるように設計されています。
IPSアラートは多くの場合、組織のSIEMに送られ、単一の集中型のダッシュボードで他のセキュリティー・ツールからのアラートや情報と組み合わせることができます。IPSとSIEMを統合すると、セキュリティー・チームは追加の脅威インテリジェンスによりIPSアラートを強化し、誤ったアラームを除外し、脅威が確実にブロックされたことを確認するためにIPSアクティビティーをフォローアップできます。多くの組織が複数のタイプを使用しているため、SIEMSは、SOCがさまざまな種類のIPSからのデータを調整するのにも役立ちます。
前述したように、IPSはIDSから進化したもので、同じ機能を多く備えています。組織によっては、個別のIPSソリューションとIDSソリューションを使用している場合もありますが、ほとんどのセキュリティー・チームは、堅固な検出、ログ、レポート、自動脅威防御を提供する単一の統合ソリューションをデプロイしています。多くのIPSを使用すると、セキュリティー・チームは防御機能をシャットオフでき、組織が望む場合には純粋なIDSとして機能できるようになります。
IPSは、ファイアウォールの背後にある第2の防御線として機能します。ファイアウォールは境界で悪意あるトラフィックをブロックし、IPSはファイアウォールを突破してネットワークに侵入しようとするあらゆるものを傍受します。一部のファイアウォール、特に次世代ファイアウォールにはIPS機能が組み込まれています。
手遅れになる前に、ネットワークに潜む隠れた脅威を見つけ出します。IBM Security QRadarネットワークでの検知と対応(NDR)は、ネットワーク・アクティビティーをリアルタイムで分析することで、セキュリティー・チームを支援します。深く幅広い可視性と高品質のデータおよび分析を組み合わせて、実用的な洞察と対応を促進します。
IBM Securityのインシデント対応リテーナーのサブスクリプションを利用して、組織が侵害への備えを強化するために必要なセキュリティー保護を入手してください。IRコンサルタントのエリート・チームと契約を結べば、信頼できるパートナーが待機し、インシデント対応にかかる時間を短縮し、その影響を最小限に抑え、サイバーセキュリティー・インシデントが疑われる前に早期復旧を支援します。
ゼロトラスト アプローチにより、ランサムウェアによるビジネス継続の中断を阻止し、攻撃が発生した場合には迅速に復旧します。これにより、ランサムウェアをより迅速に検出して対応し、ランサムウェア攻撃の影響を最小限に抑えることができます。
企業ネットワークが拡大するにつれて、サイバー攻撃のリスクも増大します。ネットワーク・セキュリティー・ソリューションが内部および外部のセキュリティー脅威からコンピューター・システムをどのように保護するかを学習します。
SIEMは、セキュリティー関連のイベントをリアルタイムで監視および分析し、コンプライアンスまたは監査の目的でセキュリティー・データを記録および追跡します。
NDR は、人工知能、機械学習、行動分析を使用して、不審なネットワーク・アクティビティーを検出し、対応します。