IPS(不正侵入防止システム)は、コンピュータ ネットワークやシステム内での不正アクセス、悪意のある活動、潜在的な脅威を検知し、積極的にブロックまたは軽減するように設計されたセキュリティ技術です。IPSは、他のセキュリティソリューションと連携し、包括的な脅威特定と保護を実現するネットワーク セキュリティ戦略の重要な要素です。
IDPS(不正侵入検知防止システム)としても知られるIPSは、IDS(不正侵入検知システム)の拡張版とされています。これは両者がともにネットワーク トラフィックやシステム活動における悪意のある活動を監視するためです。主な違いは、IPSはインラインに配置され、侵入を防止またはブロックしますが、IDSは悪意のある活動を検知するのみで対応は行いません。
IPSの主な機能は、ネットワーク トラフィックを監視し、事前に定義されたセキュリティルールやシグネチャと比較して、不審または有害な活動を即座に防止または阻止することです。IPS技術はパケットフローを監視し、セキュアなプロトコルを実施し、セキュアでないプロトコルの使用を拒否することができます。また、ブルートフォースアタック、分散型サービス拒否(DDoS)攻撃、脆弱性の悪用などのネットワーク セキュリティ攻撃を検知または防止します。
IPSを定義する主な特長と利点は以下の通りです。
- 強化されたセキュリティ: IPSは他のサイバーセキュリティ ソリューションと並行して動作し、それらのソリューションでは検知できない脅威を特定し、優れたアプリケーション セキュリティを提供します。
- カスタマイズ機能: IPSは企業固有のセキュリティ制御を提供するため、カスタマイズされたセキュリティポリシーで設定できます。
- 効率性: 悪意のある活動が他のセキュリティデバイスに到達する前にフィルタリングすることで、セキュリティチームの負担を軽減し、セキュリティ製品の効率を向上させます。
IPSは、プロトコル活動を分析することでネットワーク全体の不審なトラフィックを監視するネットワークベースの不正侵入防止システムとして導入することができます。また、UTM(統合脅威管理)ソリューションや次世代ファイアウォール(NGFW)に統合することも可能です。
サイバーセキュリティ教育とトレーニングを始めましょう
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
IPSの機能
IPSは、リアルタイムでネットワーク トラフィックを分析し、既知の攻撃パターンやシグネチャと照合することで機能します。IPSの動作の詳細は以下の通りです。
- トラフィックの監視: IPSは継続的にネットワーク トラフィックを監視し、ネットワーク上のデータパケットを分析します。アプリケーション層、トランスポート層、ネットワーク層など、OSI参照モデルの異なる層でトラフィックを検査できます。
- シグネチャベースの検知: IPSが使用する主要な方法の1つがシグネチャベースの検知です。既知の攻撃パターン(シグネチャとして知られる)のデータベースを維持します。これらのシグネチャは、既知のマルウェア、ウイルス、攻撃手法の特徴を表しています。IPSがシグネチャに一致するデータパケットを特定すると、悪意のあるトラフィックをブロックまたは隔離する処置を取ります。
- 異常検知: シグネチャベースの検知に加えて、一部のIPSシステムは異常検知アルゴリズムを使用します。時間の経過とともにトラフィック パターンを監視することで、通常のネットワーク動作のベースラインを確立します。IPSがこのベースラインから侵入や異常な活動を示す可能性のある逸脱を検知すると、アラートを発し、予防措置を講じることができます。
- プロトコル分析: IPSはネットワーク プロトコルを検査し、既存のプロトコル標準に準拠しているかを確認します。これらの標準からの逸脱は潜在的な攻撃を示している可能性があり、IPSは適切に対応できます。
- DPI(ディープ パケット インスペクション): DPIはIPSが使用する技術で、データパケットの内容を深く検査します。パケットのペイロードを分析して、データ内の特定の攻撃パターンやマルウェアのシグネチャを検知できます。
- アクティブな対応: 不審もしくは悪意のある活動を検知すると、IPSは送信元からのトラフィックのブロック、悪意のあるパケットの破棄、接続のリセットなど、さまざまなアクティブな対応を取ることができます。これらの処置はサイバー攻撃に即座に対抗します。
- ログ記録とレポート作成: IPSシステムは通常、検知されたインシデントを記録し、レポートを生成します。この情報は、ネットワーク管理者やセキュリティチームが脅威を分析し、攻撃パターンを把握して適切な決定を下すために重要です。
- 継続的なアップデート: IPSシステムは効果を維持するために、シグネチャ データベースの定期的なアップデートが必要です。これらのアップデートにより、新たに発生する脅威や攻撃手法を検知して対応できるようになります。
- 他のセキュリティ対策との統合: IPSは包括的なネットワーク セキュリティを提供するために、ファイアウォールやIDSなどの他のセキュリティ対策と統合されることが多くあります。これらのシステムが連携することで、多様な脅威の防止と検知が可能になります。
IPSが防止する攻撃の種類
IPSは、さまざまな種類のネットワーク セキュリティ攻撃を検知し防止するように設計されています。IPSが防止する一般的な攻撃には以下のようなものがあります。
- ブルートフォース攻撃: これらの攻撃は、攻撃者が複数のユーザー名やパスワードの組み合わせを試行し、システムへの不正アクセスを試みる攻撃です。
- 分散型サービス拒否(DDoS)攻撃: DDoS攻撃は、複数の送信元から大量のトラフィックを送り込み、ターゲットシステムの正常な動作を妨害する攻撃です。
- 脆弱性の悪用: IPSは、既知のソフトウェア脆弱性を悪用してシステムを制御しようとする攻撃を検知し、防止します。
- ワーム: ワームは自己複製型のマルウェアで、ネットワーク全体に広がり、損害と混乱を引き起こす可能性があります。IPSはワームの拡散を検知しブロックするのに役立ちます。
- ウイルス: IPSは、システムに感染して損害を与える可能性のある悪意のあるプログラムであるコンピュータウイルスの拡散も検知し防止するのに役立ちます。
- セキュアでないプロトコル: IPSは、セキュアなプロトコルを実施し、SSLの古いバージョンや脆弱な暗号を使用するプロトコルなど、セキュアでないプロトコルの使用を拒否できます。
- 悪意のあるコンテンツの削除: 攻撃後、IPSは感染した添付ファイルの削除や置き換え、ペイロードの再パッケージ化、ヘッダー情報の削除を行い、ネットワーク上の悪意あるコンテンツを除去します。
- ゼロデイ攻撃: ゼロデイ攻撃は、まだ知られていないか、パッチがリリースされていない脆弱性を標的とします。IPSがすべてのゼロデイ攻撃を検知し防止できるわけではありませんが、不審な動作を示すトラフィックや既知の攻撃パターンに一致するトラフィックをブロックすることで、追加の保護層を提供できます。
IPSの利点
IPSは組織に以下のような利点を提供します。
ビジネスリスクの低減と追加のセキュリティ
IPSソリューションは、悪意のある活動をフィルタリングすることで、セキュリティチームの負担を軽減し、他のセキュリティ製品の効率を向上させます。また、脆弱性の悪用を効果的に検知・防止し、新たに発見された脆弱性を利用する攻撃を迅速にブロックします。
攻撃の可視性向上と保護の強化
IPSは、さまざまな検知手法を使用して、ファイアウォールやアンチウイルスなどのセキュリティコントロールで検知されにくい攻撃を特定して停止します。また、ポリシー違反やフィッシング詐欺など、組織にとって特に関心のある攻撃や活動を検知するようにカスタマイズできます。
他のセキュリティ コントロールの効率向上
IPSソリューションは、悪意のあるトラフィックが他のセキュリティデバイスやコントロールに到達する前にフィルタリングすることで、セキュリティインフラ全体の効率を改善します。また、着信ネットワーク トラフィックを分析し、不審な活動をブロックすることで、他のセキュリティコントロールの可用性と完全性を維持できます。
自動化された脅威の軽減とインシデントの削減
IPSソリューションは、自動化された脅威の軽減を通じてネットワーク セキュリティ インシデントを削減し、ほとんどのセキュリティ脅威をフィルタリングして、IT担当者をネットワーク トラフィックの手動監視と管理から解放します。また、悪意のあるトラフィックを停止し可用性を維持することで、DoSやDDoS攻撃下でも通常運用を維持できます。
IPSの種類
IPSソリューションは、すべてが同じように動作するわけではありません。実際には、以下の4つの主要なタイプのIPSが存在します。
- NIPS(ネットワークベースの不正侵入防止システム): このタイプのIPSは、プロトコル活動を分析することでネットワーク全体の不審なトラフィックを監視します。すべてのネットワーク トラフィックを監視し、脅威をスキャンするために戦略的なポイントに設置されます。
- WIPS(ワイヤレス不正侵入防止システム): WIPSはWi-Fiネットワークを監視し、不正なデバイスを排除するゲートキーパーとして機能します。
- HIPS(ホストベースの不正侵入防止システム): HIPSは個々のホストやエンドポイントにインストールされ、悪意のある動作を監視します。
- AIPS(アプリケーションベースの不正侵入防止システム): AIPSは、Webサーバーやデータベースなどの特定のアプリケーションやサービスの監視と保護に焦点を当てています。
これらのタイプのIPSは、包括的なネットワーク セキュリティを提供するために、個別にまたは組み合わせて導入できます。また、ネットワークの可視性を向上させ、脅威への対応を自動化するために、Next Generation ファイアウォールや統合脅威管理ソリューションなどの他のセキュリティ ツールと統合されることがよくあります。
IPSとIDSの違い
IPSとIDS(不正侵入検知システム)は、ネットワーク セキュリティ戦略の重要なコンポーネントですが、機能と目的に主要な違いがあります。IPSとIDSの主な類似点と違いは以下の通りです。
類似点
- IPSとIDSは、既知の攻撃シグネチャのデータベースとの比較や、通常のネットワーク動作からの逸脱の監視のいずれかによって、ネットワーク トラフィック分析を通じて脅威を検知することでネットワークインフラを保護します。
- 両システムとも監視された活動と実行されたアクションを記録し、パフォーマンスのレビューと分析を可能にします。
- IPSとIDSは、不審な動作を発見し、誤検知を最小限に抑えることを学習できます。
違い
- IPSは事前に定義されたルールセットに基づいてネットワークパケットを受け入れまたは拒否できるコントロールベースのソリューションであるのに対し、IDSはネットワーク トラフィックを変更しない監視システムです。
- IDSは企業ネットワーク全体で動作し、トラフィックをリアルタイムで監視および分析するのに対し、IPSは通常、脅威を積極的にブロックまたは修復するために、ネットワークパスに直接インラインで導入されます。
- IDSは潜在的なインシデントについてのアラートのみを提供し、適切な対応の決定をセキュリティ チームに委ねるのに対し、IPSは検知された脅威をブロックし、必要に応じて修復します。
- IPSはインライン処理による遅延のため、ネットワーク パフォーマンスに影響を与える可能性がありますが、IDSは非インライン方式で導入されるためネットワーク パフォーマンスに影響を与えません。
- IDSは最初に何もブロックせずにシステムの動作を観察するために使用され、微調整が完了すると、IPSをインラインで導入して完全な保護を提供することができます。
IPSセキュリティ対策ソリューション
Proofpoint Emerging Threats Intelligence(ET Intelligence)は、不審および悪意のある活動に関するタイムリーかつ正確な情報を提供する包括的なソリューションです。より詳細なコンテキスト、履歴、検知情報を含む完全に検証されたインテリジェンスを提供し、組織が脅威を調査しインシデントを解明するのを支援します。
ET Intelligenceは実用的な脅威インテリジェンス フィードを提供し、SIEM、ファイアウォール、IDS、IPS、認証システムなど、さまざまなセキュリティ システムと直接統合することができます。
高度なルールセットと完全に検証されたインテリジェンスにより、Proofpoint ET Intelligenceソリューションは、追加のコンテキストと他のセキュリティ ツールとの統合を提供することでIPSの機能を強化できます。Proofpoint ET IntelligenceとIPSを統合することで、組織はセキュリティ態勢を強化し、進化するサイバー脅威からネットワークとシステムをより適切に保護することができます。
詳細をご希望の方は、今すぐプルーフポイントにお問い合わせください。