IPS(不正侵入防止システム)

導入

ネットワークやサーバーを監視し、不正なアクセスを検知して通信を遮断する


皆さんはIDSとIPSをご存知ですか?
IDSとIPSはWebセキュリティを行う上では必要不可欠なシステムです。
今回はそのIDSとIPSについてご紹介します。


IPSとは「Intrusion Prevention System」の略称で、Intrusion(侵入)をPrevention(防止)するシステムのことです。


IPS とは、不正な通信によるネットワークへの侵入を防止する機能をもったネットワークセキュリティシステムです。正式名称は「Intrusion Prevention System」、日本語では「侵入防止システム」と訳されることが一般的です。

ネットワーク上やホスト上に設置する機器や装置といった形式で提供されます。









とは

IPSは、Intrusion Prevention Systemの頭文字をとった用語で、不正侵入防止システムと訳される。ネットワークやサーバーを監視し、不正なアクセスを検知して管理者に通知する役割を担うシステムとしてIDS(Intrusion Detection System:不正侵入検知システム)が知られている。IPSはIDSと同様に不正なアクセスを検知するが、検知した通信を遮断する役割を担う点で異なる。IDSは不正な通信を検知しても通信自体は許可するため、IPSはIDSよりセキュリティレベルが高い。

一般的に、ファイアウォールはIPアドレス、ポート、プロトコル(TCP/UDP)レベルでパケットをフィルタリングするため、これらが許可されている通信のDos攻撃やワーム侵入などの異常な通信は防ぐことができない。そこで、IPSやIDSがファイアウォールを補完する形で導入される。IPSは通信内のパケットの中身もチェックできるため、ファイアウォールが許可した通信において安全性を確認する役割を担う。


IPSはIntrusion Prevention Systemのことで、不正侵入防止システムとも呼ばれます。

IPSはIDSより一歩進んで、異常な通信があれば、管理者へ通知するだけでなく、その通信をブロックするところまで動作します。
したがって、管理者が異常に気づいてから対処するのと異なり、迅速な対処が可能となります。

また、IDSでは本来の通信のコピーを監視して、異常を通知していましたが、IPSでは、異常な通信をブロックする必要があることから、通信経路の間に入ることになるというように、ネットワーク構成上の違いもあります。
なお、IPSの機器が故障した際は、通信を維持することを優先することから、基本動作は全ての通信が許可となります。

また、IDS/IPSだけでは、カバーできる範囲に限りがあるため、全ての攻撃を遮断することはできません。
少なくともファイアウォールと併せて利用されます。

また、IDS/IPSはWebアプリケーションレベルの内容まで見るには限界があるので、そこまでをカバーしようとする場合はWAFを検討する必要があります。

以上のことから、サイバー攻撃に対する防御を考える場合、発生し得る攻撃手法と守るべきシステム構成の関係性、システム運用の状況から、採用する製品を選択していくことになります。


サーバーやネットワークを監視し、不正なアクセス・異常な通信があれば管理者へ通知し、通信をブロックする役割があります。
IPSは、異常な通信をブロックするために通信経路に設置されるのが一般的です。


侵入検知システム(しんにゅうけんちシステムIntrusion Detection System略して IDS)はシステムやネットワークに発生するイベントを監視し、それを分析する事で、ホストやポートをスキャンするような偵察行為や不正侵入などインシデントの兆候を検知し、管理者に通知するシステムである[1][2]。一方侵入防止システム(しんにゅうぼうしシステム、: Intrusion prevention system 略称: IPS)も不正侵入の兆候を検知するところまではIDSと同様だが、検知した不正を自動的に遮断するところに違いがある。両者を合わせてIDPSという場合もある[3]

IDPSは誤検知を起こす事があるので、誤検知を減らすようIDPSの設定を変更してチューニングする必要がある[4]。特にIPSの場合、正常な侵入を遮断してしまうとシステムの動作に問題が生じる可能性があるので、誤検知が少なくなるようより保守的なチューニングが必要になる。

IDPSは「しばしば攻撃にさらされる事が多いので、その構成要素を保護する事は非常に重要である」[5]


IPS(Intrusion Prevention System)とは、日本語に直すと「不正侵入防止システム」です。

似たようなシステムにIDS(Intrusion Detection System)というものがあり、通信を監視して不正な通信や攻撃と思われる通信がないかを随時監視します。

このIDSの場合は問題のありそうな通信を検知(Detection)するだけですが、さらに一歩踏み込んで防止(Prevention)まで行うのがIPSです。

IPSは、侵入防止の対象によって以下の2つに大別されます。

・NIPS(Network-based IPS):ネットワーク型IPS
 →ネットワークの境界に設置され、そこを通過する通信を監視・防御の対象とする
・HIPS(Host-based IPS):ホスト型IPS
 →サーバ等のコンピュータに配置され、そのサーバが送受信する通信を監視・防御の対象とする

NIPSは個別のサーバやコンピュータに導入する必要がなく、ネットワーク全体を監視できるのがメリットです。

対してHIPSは、OSレベルの攻撃やソフトウェアの脆弱性を防御する、変更・更新させたくないファイルを監視し変更を防止するなど、コンピュータ上の設定部分にまで踏み込んで監視対象とできるのがメリットです。

IPSに求める要件に応じて、上記2つのどちらが適切かを検討のうえ導入することが重要です。


IPSは、「Intrusion Prevention System」の略で、日本語では侵入防御システムと言います。IDSとの決定的な違いは、不正な通信を検知するだけでなく、防御・遮断するところまで対応する点です。その代わりにIPSでは定期的に設定の調整が必要となる場合が多く、もし不適切な設定がされていた場合、正常な通信も不正なパケットとみなし遮断してしまい、事業活動を妨げる恐れがあります。


IPSは不正侵入検知防御システムと呼ばれ、FWが許可した通信のパケットを監視し、内容を含む全体を解析する。結果、怪しい振る舞いや攻撃、不正侵入の可能性を検出した場合に遮断/破棄する。


IPS はネットワーク上およびシステムを通過するトラフィックを監視し、不正な通信を防止する機能を機能を持ちます。

具体的には、ネットワークパケットの内容を確認することで、存在する疑わしい不正なアクティビティや既知の脅威を検索、情報を収集し、該当する通信を検知した場合にはアクセスを遮断するなどの対策を実施します。

IPS のこの機能は先日ご紹介した IDS とよく似ています。
では、機能のどこに違いがあるのでしょうか。

IPS と IDS の機能の違いは不正な通信を検知した後の動作です。

IDS は不正な通信を検知した後、管理者側にアラートを通知します。
つまり通信を防止、遮断するなどの対策は実施しません。

対して、IPS は防止、遮断等の対応を実施します。
簡単に整理すると以下の通りになります。

機能
IDS不正な通信を検知し、アラートを送信する
IPS不正な通信を検知し、通信を防止する

IDS と IPS はその機能が相互補完の関係性にも有り「IDPS」(不正侵入検知防御サービス)と総称されることもあります。

それでは IPS は具体的にどのようなアクションで不正な通信に対処するのでしょうか。

具体的には以下のような動作をします。

検知の動作

  • シグネチャ型: 既知の不正な通信パターンや攻撃方法にマッチングするものを対象として検知する。
  • アノマリ型: ネットワークパケットやトラフィックを分析し、統計的に異常なパケットを攻撃として検知する。

防止の動作

  • 悪意のあるネットワークパケットをドロップ(意図的に遮断)する
  • 送信元アドレスからのトラフィック(接続)をブロックする
  • ネットワーク接続をリセットする
  • 管理者にアラートを送信する(IDS と同様の機能)

さらに重要なことは IPS は検知、防止すべき通信パターンについて、随時設定の変更を行うなどのチューニング(調整)が必要であるということです。

このチューニングが適切にされていない場合、不正な通信を見逃してしまったり、逆の正常な通信を不正な通信として検知してしまう誤検知(False Positive)などの自体が発生します。

そのため、IPS を日々運用する中で通信を記録しているログなどの情報から、不正なアクセスの可能性や傾向を見極め適切なチューニングを施していきます。





H2候補

  • 誤検知が業務に与える影響が大きいIPS
  • IDS(不正侵入検知システム)とは?
  • ネットワーク型とホスト型
  • データ収集方法について
  • IDS(不正侵入検知システム)とは何か
  • IPSとIDSの違いとは
  • IPSが動作する仕組み
  • IPSを導入しない場合のリスクについて
  • IPSとその他のセキュリティ対策との違いを比較
  • ファイアウォール(FW)との違い
  • WAFとの違い
  • IPSで対応可能な攻撃の種類
  • DDoS
  • SYNフラッド
  • マルウェア
  • IPSのおすすめ製品
  • L2Blocker
  • 攻撃遮断くん
  • イージス
  •   a) Firewall(ファイアウォール)とは
  •   b) WAF(Web Application Firewall)とは
  • 2. Firewall, WAF, IPSの違いは?初心者にもわかりやすく解説
  •   a) Firewall・WAF・IPS、それぞれどんな時に必要?
  •   b) Firewall・WAF・IPS、どれか一つを導入するだけではダメ?
  • IDS/IPSとは何か?仕組みの違い
  • IDS(侵入検知システム)とは?
  • IDS/IPSの違いとは
  • IDS/IPSの種類
  • ネットワーク型(NIDS・NIPS)
  • ホスト型(HIDS・HIPS)
  • クラウド型
  • IDS/IPSの検知方法
  • シグネチャ型
  • アノマリ型
  • IDS/IPSで防げる攻撃の種類
  • 不正なプログラム(バックドア・トロイの木馬等)
  • DoS攻撃/DDoS攻撃
  • SYNフラッド攻撃
  • バッファオーバーフロー攻撃(BOF)
  • IDS/IPSで防ぎにくい攻撃の種類
  • IDS/IPS製品の選び方
  • IPSの活用シーンについて
  • IPS の種類
  • ネットワーク型
  • ホスト / エンドポイント型
  • IPS で検知・防御できる攻撃の種類
  • DDoS 攻撃 / DoS 攻撃
  • Smurf attack(スマーフ攻撃)
  • Ping of Death(PoD 攻撃)
  • Syn フラッド攻撃
  • 検知回避を狙う SSL を用いた攻撃
  • IP フラグメンテーション攻撃
  • ポートスキャン
  • ARP スプーフィング
  • バッファオーバーフロー攻撃
  • IPS では検知できない攻撃

まとめ

※ このページは現在準備中です。記述内容は、以下の参考リンクより抜粋したものです。

参考

  • https://eset-info.canon-its.jp/malware_info/term/detail/00124.html
  • https://www.shadan-kun.com/blog/measure/303/
  • https://www.lrm.jp/security_magazine/about_ips/
  • https://ja.wikipedia.org/wiki/%E4%BE%B5%E5%85%A5%E6%A4%9C%E7%9F%A5%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0
  • https://www.wafcharm.com/blog/difference-between-firewall-waf-ips/
  • https://www.amiya.co.jp/column/ids_ips_20200908.html
  • https://www.secuavail.com/SANEWS/vol05/sanews02.html
  • https://yamory.io/blog/what_is_ips/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です