IPSとは? IDSとの違い、防げるサイバー攻撃も解説
IPSとは、ネットワークやサーバーへの不正アクセスを防止するためのセキュリティ対策システムです。近年、企業内のシステムへ外部から不正アクセスされ、情報漏えいやサービス停止などが発生する被害が大きな問題となっています。IPSはこれらの被害を未然に防ぎ、企業の情報セキュリティを強化するために欠かせないシステムです。本記事では、IPSの特長やIDSとの違い、種類、検知・防御できる攻撃の種類などについて詳しく解説します。
目次
IPSとは
IPS(Intrusion Prevention System)とは、不正侵入防御システムとも呼ばれる、ネットワークやホスト内の通信や動作を監視して不正なアクセスをブロックするシステムです。不正なアクセスや異常な動作を検知した場合、管理者へ通知し必要に応じて通信をブロックします。
IPSとIDSの違い
IDS(Intrusion Detection System)とは、不正侵入検知システムとも呼ばれる、ネットワークやホスト内の通信や動作を監視して不正なアクセスやその兆候を検知して管理者に通知するシステムです。
IPSとIDSの違いは、不正アクセスやその兆候を検知した後のアクションです。IDSは不正行為を検出した場合、管理者への通知を行いますが、ブロックなどの防御措置は取りません。一方、IPSは管理者への通知を行った上で、通信をブロックするなどの防御措置を取ります。
IDSの場合、通知を受けた管理者が対処する必要がありますが、IPSはシステムが検知後に自動的に対処するため迅速な対応ができます。しかしIPSは誤検知が発生した場合、不要なシステム停止などが発生するため、業務影響が生じるという側面もあります。
IPSの重要性
IPSやIDSを導入することで、企業は自社システムに対するサイバー攻撃の検知・遮断が可能になります。万が一システムに不正侵入されてしまった場合、サーバ内に保存されていたデータが改ざん、削除、漏洩されてしまったり、他のシステムへアクセスするための踏み台にされたり、バックドアを仕掛けられることでいつでも侵入可能な状態にされてしまったりと、大きな被害につながりかねません。そうした不正侵入を検知・防御するIDS・IPSは、企業をサイバー攻撃の被害から守るために重要な役割を果たします。
それに加え、検知した情報を蓄積・分析することで、サイバー攻撃の傾向を把握することができます。IDS・IPSを導入すれば全ての攻撃を防止できるというわけではありませんが、自社に対する攻撃や脅威を検知し防御するなかで、自社システムを守るために追加でどのような対策を行うべきなのかも検討しやすくなるでしょう。
IDS・IPSの種類
IDS・IPSには不正アクセスの検知方法、システムの監視方法それぞれに以下のような種類があります。
検知方法
IDS・IPSは大きく分けて以下の3つの仕組みで異常を検知します。
シグネチャ型
あらかじめ不正なアクセスパターンを登録しておき、これらと合致した通信を異常と判断する方法です。シグネチャのチューニング・更新が必要なことと、登録されていないパターンは見逃してしまうことがデメリットです。
アノマリ型
システムやユーザの振る舞いを監視し、「通常ではない振る舞い」を異常と判断する方法です。未知の脅威を検知できる一方で、正常なアクセスを異常と判断する場合があることがデメリットです。
ポリシー型
組織の管理者が構成したセキュリティポリシーに従って、そのポリシーに反するものを異常と判断する方法です。組織のポリシーに合わせた柔軟で詳細なコントロールができますが、設定と運用にノウハウが必要で手間がかかります。
導入方法
IDS・IPSの監視方法は、導入の方法によって以下の2つに分類されます。
ネットワーク型
ネットワーク上の通信パケットを監視します。ネットワーク上に設置することで、複数のホストを対象に広範囲で監視できる反面、ホストごとの細かな設定や監視には不向きです。ファイアウォールやURLフィルタリングなど複数の機能を併せ持つ「UTM(Unified Threat Management:統合脅威管理)」製品として提供されている場合も多いです。
ホスト型
監視対象のサーバー上にソフトウェアとして導入し、サーバー上の受信データやログ、ファイルの中身などを監視します。ネットワーク型では監視できないファイルの改ざんなども検知できますが、サーバーごとにインストール・設定が必要です。
IDS・IPSで検知・防止できる攻撃
IDS・IPSで対応できる攻撃の種類には以下のようなものがあります。
DoS攻撃(DDoS攻撃)
DoS攻撃(DDoS攻撃)とは、Webサイトやサーバーに対して大量のデータやアクセスを送りつけ、サーバーに負荷をかけることでサーバーダウンやサービス停止に追い込む攻撃です。DoS攻撃は1台のコンピュータから行われますが、DDoS攻撃は複数のコンピュータから一斉に攻撃が行われます。
SYNフラッド攻撃
SYNフラッド攻撃とは、DoS攻撃の一種です。TCPがセッションを確立する際に最初に送信されるSYNパケットを大量に送信し、サーバーが返すACKパケットを無視してサーバーを待機状態にします。これによりサーバーダウンやサービス停止する可能性があります。
バッファオーバーフロー攻撃(BOF)
バッファオーバーフロー攻撃(BOF)とは、サーバーに許容量以上のデータを送りつけて誤作動を起こさせる攻撃です。バッファとは一時的にデータを保持するメモリ領域のことで、OSやアプリケーションに脆弱性があった場合、本来想定していない他の領域が上書きされてデータ破損が起こります。
また、攻撃者によって書き込まれた不正なプログラムを実行してしまい、さらに被害が拡大する恐れもあります。
マルウェア感染
マルウェアとは攻撃対象に不具合を引き起こす目的で作成されたプログラムです。「ワーム」「トロイの木馬」「ランサムウェア」といったさまざまな種類があり、ネットワークに侵入すると次々と増殖して被害が拡大する可能性があります。
脆弱性を狙った攻撃
OSやサーバーの放置された脆弱性を狙い、ネットワーク内に侵入して悪意のあるスクリプトを実行する攻撃です。データの改ざんや情報漏えいなどの可能性があります。
IDS・IPSを導入するメリット
IDS・IPSの導入によって得られる具体的なメリットは以下のとおりです。
セキュリティ対策の強化
IDS・IPSは、シグネチャ型やアノマリ型など検知方法は複数ありますが、通信の内容や振る舞いを監視し不正アクセスを検知します。そのため、今までファイアウォールなどでは防げなかった攻撃にも対応できます。
迅速な検知・防御ができる
IDS・IPSなどで不正侵入を監視していない場合、実際にトラブルが発覚して初めて不正アクセスに気付くといったケースが多くあります。IDS・IPSはリアルタイムで不正アクセスを検知するため、迅速な対応が可能で被害の拡大防止に有効でしょう。
柔軟な設定ができる
不正アクセスを検知した際のアクションを柔軟に設定できます。IPSは通常検知・防御を即座に実施しますが、遮断せず検知だけを行うようにするなど状況に応じて設定することも可能です。
まとめ
IPSは、ネットワークやサーバーへの不正アクセスを検知・防御するシステムです。悪意のある攻撃者からの不正アクセスによる被害は年々増加しており、企業にとっては業績や信用問題に直結するリスクが高まっています。そのため、情報セキュリティ対策は企業規模を問わず急務です。
セキュリティ対策の一つとして、不正アクセスをリアルタイムで検知・防止できるIDS・IPSの導入がおすすめです。今までファイアウォールなどでは防げなかった攻撃を検知でき、企業の状況に応じて柔軟な設定も可能なため、ぜひ導入を検討されてみてはいかがでしょうか。
