不正侵入防御システム（IPS）とは何ですか?

IPSソリューションは、脅威を検知してセキュリティー・チームに報告する侵入検知システム（IDS ）から発展したものです。IPSはIDSと同じ脅威検知および報告機能に加え、自動化された脅威防止機能も備えているため、「侵入検知および防止システム」（IDPS）と呼ばれることもあります。

IPSは悪意のあるトラフィックを直接ブロックできるため、セキュリティー・チームやセキュリティー・オペレーション・センター（SOC）のワークロードが軽減され、より複雑な脅威への対応に集中できるようになります。IPSは、正規ユーザーによる不正な行為をブロックすることで、ネットワーク・セキュリティー・ポリシーの適用を支援し、コンプライアンスへの取り組みをサポートできます。たとえば、IPSは、侵入検知対策に関するPCI-DSS（Payment Card Industry Data Security Standard）要件を満たしています。

IPSは、3つの1次脅威検知メソッドを単独または組み合わせて使用してトラフィックを分析します。

シグネチャベースの検知方法では、ネットワーク・パケットを分析し、攻撃シグネチャ（特定の脅威に関連付けられた固有の特性や動作）を検知します。特定のマルウェアの亜種に現れる一連のコードは、攻撃シグニチャの一例です。

シグネチャベースのIPSは、ネットワーク・パケットと比較する攻撃シグニチャのデータベースを保持します。パケットがシグネチャのいずれかに一致した場合、IPSが応答します。シグネチャ・データベースは、新たなサイバー攻撃が出現したり、既存の攻撃が進化したりすると、新しい脅威インテリジェンスで定期的に更新する必要があります。ただし、シグネチャがまだ分析されていない全く新しい攻撃は、シグネチャベースのIPSを回避する可能性があります。

異常ベースの検知手法では、人工知能と機械学習を使用して、通常のネットワーク・アクティビティのベースライン・モデルを作成し、継続的に改良します。IPSは、進行中のネットワーク・アクティビティをモデルと比較し、通常よりも多くの帯域幅を使用するプロセスや、通常は閉じられているポートを開くデバイスなどの逸脱事象を検出した場合に反応します。

異常ベースのIPSはあらゆる異常な動作に反応するため、シグネチャベースの検知を回避する可能性があるまったく新しいサイバー攻撃をブロックできる場合が多いです。ゼロデイ・エクスプロイト（ソフトウェア開発者がソフトウェアの脆弱性に気づく前、またはパッチを適用する前に、その脆弱性を悪用する攻撃）も検知できます。

ただし、異常ベースの IPS は誤検知が発生しやすい可能性があります。許可ユーザーがセンシティブなネットワーク・リソースに初めてアクセスするなど、無害なアクティビティであっても、異常ベースの IPS がトリガーされる可能性があります。その結果、許可ユーザーがネットワークから起動されたり、IPアドレスがブロックされたりする可能性があります。

ポリシーベースの検出メソッドは、セキュリティー・チームによって設定されたセキュリティー・ポリシーに基づいています。ポリシーベースのIPSは、セキュリティー・ポリシーに違反するアクションを検出すると、その試みをブロックします。

たとえば、SOCは、ホストにアクセスできるユーザーとホストを規定するアクセス制御ポリシーを設定する場合があります。権限を持たないユーザーがホストに接続しようとすると、ポリシーベースのIPSがその接続を阻止します。

ポリシーベースのIPSではカスタマイズが可能ですが、多額の先行投資が必要になる場合があります。セキュリティー・チームは、ネットワーク全体で何が許可され、何が禁止されているかを概説する包括的なポリシー・セットを作成する必要があります。

ほとんどのIPSは上記で概説した脅威検知メソッドを使用しますが、あまり一般的ではない手法を使用するIPSもあります。

レピュテーションベースの検知では、悪意のあるアクティビティまたは不審なアクティビティと関連のあるIPアドレスやドメインからのトラフィックを検知してブロックします。ステートフル・プロトコル分析はプロトコルの動作に焦点をあてます。たとえば、短い時間に多くの同時TCP接続要求を行う単一のIPアドレスを検知することで分散型サービス妨害（DDoS）攻撃を特定することができます。

IPSが脅威を検知すると、そのイベントがログに記録され、セキュリティー情報およびイベント管理（SIEM）ツールを通じてSOCに報告されます（「IPSおよびその他のセキュリティー・ソリューション」を参照）。

しかし、IPSはそれだけではありません。次のような手法を使用して、脅威に対して自動的にアクションを実行します。

IPSソリューションは、エンドポイントにインストールするソフトウェア・アプリケーション、ネットワークに接続する専用のハードウェア・デバイス、またはクラウド・サービスとして提供することができます。IPSは悪意のあるアクティビティをリアルタイムでブロックできなければならないめ、常にネットワーク上の「インライン」に配置されます、つまり、トラフィックはIPSを直接経由してから宛先に到達します。

IPSは、ネットワーク内のどこに存在するか、および監視するアクティビティーの種類に基づいて分類されます。多くの組織は、ネットワーク内で複数のタイプの IPS を使用しています。

ネットワークベースの侵入防止システム（NIPS）は、ネットワーク上のデバイスへの入出力トラフィックを監視し、個々のパケットに不審なアクティビティがないかを検査します。NIPSのモニターはネットワークの戦略的なポイントに設置されています。ネットワーク境界のファイアウォールのすぐ後ろに設置されることが多く、悪意のあるトラフィックが侵入するのを阻止します。NIPSは、クリティカルな データセンター やデバイスなどの重要な資産間のトラフィックを監視するためにネットワーク内に設置することもできます。

ホストベースの不正侵入防御システム（HIPS）は、ノートPCやサーバーなどの特定のエンドポイントにインストールされ、そのデバイスとの間のトラフィックのみを監視します。HIPSは通常、必須のアセットに特別のセキュリティーを追加するためにNIPSと組み合わせて使用されます。HIPS は、感染したデバイスから拡散する ランサムウェア など、侵害されたネットワーク・ノードからの悪意あるアクティビティーをブロックすることもできます。

ネットワーク動作分析（NBA）ソリューションは、ネットワーク・トラフィックのフローを監視します。NBAは他のIPSと同様にパケットを検査する場合がありますが、多くのNBAは送信元と送信先のIPアドレス、使用ポート、送信パケット数など、通信セッションのより高レベルの詳細に重点を置いています。

NBAは異常ベースの検知手法を使用しており、トラフィックに対するDDoS攻撃や、未知のコマンドおよびコントロール・サーバーと通信するマルウェアに感染したデバイスなど、標準から逸脱するフローを検知してブロックします。

ワイヤレス不正侵入防御システム（WIPS）は、会社のWi-Fiにアクセスする無許可ユーザーやデバイスなど、不審なアクティビティーがないかワイヤレス・ネットワーク・プロトコルを監視します。WIPS は、ワイヤレス・ネットワーク上で不明のエンティティーを検出すると、接続を終了することがあります。WIPS は、Wi-Fiネットワーク上の構成が間違っているデバイスやセキュアでないデバイスを検出し、ハッカーがユーザーの通信を密かに監視する中間者攻撃を傍受するのにも役立ちます。

IPSはスタンドアロン・ツールとして利用できますが、総合的なサイバーセキュリティー・システムの一部として他のセキュリティー・ソリューションと緊密に統合されるように設計されています。

IPSアラートは多くの場合、組織のSIEMに集約され、そこで他のセキュリティー・ツールからのアラートや情報と統合され、一元化されたダッシュボードで管理されます。IPSとSIEMを統合すると、セキュリティー・チームはIPSアラートに追加の脅威インテリジェンスを追加し、誤ったアラームを排除し、IPSアクティビティーをフォローアップして脅威が確実にブロックされたことを確認できます。多くの組織が複数のタイプを使用しているため、SIEMSはSOCがさまざまな種類のIPSからのデータを調整する際にも役立ちます。

前述したように、IPSはIDSから進化したもので、同じ機能を多く備えています。組織によっては、IPSとIDSのソリューションを別々に使用している場合もありますが、ほとんどのセキュリティー・チームは、堅牢な検知、ログ、レポート、自動脅威防御機能を備えた単一の統合ソリューションをデプロイしています。多くのIPSは、セキュリティー・チームが防御機能を無効にできるようにしており、組織が望む場合には純粋なIDSとして機能させることができます。

IPSは、ファイアウォールの背後にある第2の防御線として機能します。ファイアウォールは境界で悪意あるトラフィックをブロックし、IPSはファイアウォールを突破してネットワークに侵入しようとするあらゆるものを傍受します。一部のファイアウォール、特に次世代ファイアウォールにはIPS機能が組み込まれています。