システム運用においてセキュリティの強化を図りたいと思いIPSを導入したいと思いませんか?
しかし、「IPSとは?」「IPSを導入することのメリットは?」という方も多いと思います。
そんな方に本記事では、IPSの概要や種類、導入するメリット・デメリットを解説します。
IPSとは?
不正侵入防止システムの意味で(Intrusion Prevention System)の略です。IPSは、通信の不正を検知するだけでなく防御する役割もあります。
ネットワークの通信を監視して、未然に外部からの不正な通信を遮断する機能です。
不正を検知してすぐ管理者に通知することで対応ができます。
管理者に通知して終わりではなく、不正な通信をすぐに遮断してブロックすることができます。
また、一般的にファイアウォールだけでは検知できない不正なネットワーク通信においてもカバーして遮断することが可能です。
例えば、ガードマンが不審そうな人物を見つけて危害を加える前に対処し防御するのと同じです。
ネットワークだと、少しでも疑わしい通信を検知して防御するまでがIPSでは可能になります。
IDSとの違い
IDSとIPSとの違いについて解説します。その前に、IDSについて記載します。
IDSは、不正侵入検知システムの意味で(Intrusion Detection System)の略で不正な通信を検知して管理者に通知して遮断したりするシステムです。
不正な通信を検知するためには、「シグネチャ」と呼ばれるパターンのデータベースを使います。
例えば、監視カメラで怪しい人物を検知したら直ぐ警備員に報告して対処をしてもらうイメージです。
IPSとの違いは不正な通信を検知した後にあります。不正な通信を検知して管理者に通知するアクションは同じになります。
では、何が違うのかというと検知した通信に対しての防御です。
管理者に通知するだけでなく不正な通信をブロック、つまり遮断することが出来るため管理者が異常に気づいて対処するのと異なり迅速な対応が可能です。
IDS・IPSの検知方法についてまとめます。
・シグネチャ型
IDSとIPSの検知方法としてメジャーな方法です。シグネチャは日本語で「署名」の意味です。シグネチャは、ブラックリスト形式で誤検知が少ないのが特徴です。
シグネチャ型は高い防御率を誇る検知方法になります。
理由は、あらかじめ異常なアクセスパターンを設定して不正な通信を検知することが出来るからです。
シグネチャ型のメリット・デメリットについて、事前に不正なパターンを登録することで特定のパターンと既知のエラーに対して効果があります。
一方デメリットは、検知したいエラー設定が漏れていた場合は未知のエラーとして見逃してしまう危険性がデメリットです。そのため、特定の攻撃パターンと過去の攻撃パターンを設定して更新する必要があります。
IPSの検知方法は、ジャーナル型です。
・アノマリ型
アノマリ型は、ホワイトリスト形式で誤検知が多いのが特徴です。
検知方法は、あらかじめ正常なパターンを設定してそれ以外の通信を検知することが出来ます。
アノマリ型のメリット・デメリットについて、検知方法がホワイトリスト方式で正常なパターン以外の未知のパターンを検知することから一度も経験のない攻撃に強いです。
一方デメリットは、未知の通信はすべて検知してしまうため正常な通信までも検知してしまいシグネチャ型に比べて誤検知が多くなります。誤検知が多くなると、管理者へ通知がいき負担に繋がります。そのため、その都度正常な通信パターンを設定して対策をする必要があります。
IDSの検知方法は、アノマリ型です。
IPSの種類
IPSの種類には大きく分けて二種類あります。「ネットワーク型」と「ホスト・エンドポイント型」です。
それでは特徴について解説します。
ネットワーク型
ネットワーク型は、ユーザの端末とファイアウォールの間に設置して監視します。ネットワークとユーザとの通信を監視して検知したら管理者に通知して対処する流れになります。
また、通信経路上にIPSを設置する必要がありますので設置する場所は十分注意する必要があります。
ファイアウォールとネットワーク型のIPS両方を使用するには理由があります。
それは、ファイアウォールで全てのパターンとは違う不正な通信を検知することは難しいからです。そのためネットワーク型のIPSでは、通常ではありえない不正な通信を検知することができます。
では、ネットワーク型のメリットとデメリットは何かを解説します。
メリットは、IDS一台で複数のユーザを管理することができ導入のハードルが低い点です。
デメリットは、ネットワークの通信が暗号化されていた場合は検知することが出来ない点です。また、ネットワークの外側の通信は監視することが出来ないため監視したいのであれば設置する必要があります。
ホスト・エンドポイント型
それでは、ホスト・エンドポイント型について見ていきます。
ホスト・エンドポイント型は、ユーザ端末に直接導入して監視するIPSです。
ユーザ側で設定したパターンと一致した、不正な通信やファイルの改ざんからサーバーの不正な動きを検知できます。検知して管理者に通知することが出来る点は同じです。
では、ホスト・エンドポイント型のメリットとデメリットは何かを解説します。
メリットは、ネットワーク通信が暗号化されていたとしてもユーザ端末側で復号化するため検知することが可能な点です。
デメリットは、ネットワーク型と違いユーザ端末ごとに設定する必要がある点です。そのため導入する手間がかかってしまうことがデメリットになります。
IPSを導入するメリット
IPSは不正侵入防止以外にも、さまざまなメリットが存在しています。ここでは、IPSを導入するメリットについて解説します。
メリット1:ファイアウォールが発見できない異常に対応
1つ目のメリットについて、ファイアウォールのみで検知することができない不正な通信を検知することが出来ることです。
ファイアウォールで検知できない理由は、IPアドレスとポート番号単位で内部ネットワークと外部ネットワークとを遮断するか通過させるかを判断しているからです。
つまり、ファイアウォールで許可された攻撃であれば通過させてしまいます。
IPSでは、端末とネットワークの通信を監視して検知しています。そのため不正な通信を検知して防御することが可能だからです。
しかし、ファイアウォールが必要でないわけではありませんのでIPSだけでは検知することが出来ない通信もあります。その逆でファイアウォールだけでは検知できる範囲が限られるため両方必要なことは意識することが大切です。
メリット2:不正アクセスにすぐ対応できる
2つ目のメリットについて、不正なアクセスや通信を検知した場合にリアルタイムで遮断することが出来ることです。
設定しているパターンと一致していることを確認したら、リアルタイムで管理者に通知して遮断することが可能です。
対応可能な攻撃としては下記になります。
・DoS攻撃(DDoS攻撃)
Webサーバーに大量にアクセスして、サーバーに負荷かける攻撃です。
Webサイトを見られなくしたりネットワークの遅延がおきます。そのため、攻撃を受けた企業は復旧対応に追われ金銭面や企業の信頼損失となりますので対策が必要です。
・マルウェア
悪意のあるソフトウェア総称です。悪意のある制作者が作ったソフトやプログラムが感染したPC上で起動して、PCロックや解除のために金銭の要求を行ったりします。
・SYNフラッド
インターネットにおけるDDoS攻撃の1つです。インターネットに公開されているサーバーの負荷を増やして一時的にサイトを使えなくさせる攻撃です。
どれもサーバーやネットワーク通信に多大な影響を与える攻撃になります。最悪の場合、サーバーダウンやシステムの破壊を起こしかねない攻撃です。
そのため不正な通信を検知して遮断するまでにリアルタイムで対処できるメリットは非常に大きいです。
メリット3:状況に合わせて柔軟に対応可能
3つ目のメリットについて、状況に合わせて柔軟に対応が出来ることです。
IPSは不正な通信を検知して遮断まですると解説しましたが、状況に応じて検知のみか遮断のみとどちらかだけ使用することが出来ます。
例えば、正常な通信をブロックしたくない場合、中断を許容出来ないのであれば「IDS」を使用するや攻撃と判断した通信は全て遮断したい場合は「IPS」と使い分けが可能です。
基本的には、両方を併用することが推奨されています。
また、都度検知させたい通信や攻撃に合わせて設定を変更することが出来ます。そのことを「チューニング」と言います。
チューニングを行わないと問題があります。
それは不正な通信を遮断するだけでなく、正常な通信を遮断してしまう誤検知や不正な通信を見逃してしまう危険性があるのです。
日々通信のログに蓄積された情報を基に、防止対象となるパターンを柔軟に変更することが可能です。
IPSを導入するデメリット
IPSとはネットワークセキュリティシステムのことです。
管理者が意図していない不正なアクセスを通信内容から判断して遮断するシステムで、IDSとは違って不正な通信を検出した際に、通知するだけでなく他にその通信をブロックしてくれます。
コンピュータネットワークは生活する上で欠かせないシステムとなっています。多くの人が利用するためそこには危険も潜んでいます。
大事な情報資産への攻撃を防ぐためにはネットワークセキュリティシステムは必要不可欠なものと言えます。しかし、IPSを導入するにあたってデメリットももちろんあります。
デメリットもしっかり理解した上で、それぞれにあったIPS製品の導入を検討してみてください。
デメリット1:誤って攻撃・ブロックすることがある
IPSを導入するデメリットの一つに、正常な通信を不正な通信だと誤って検知する「誤検知」があります。誤検知が発生することによってIPSが正常な通信を攻撃されていると判断してブロックしてしまうのです。
必要な通信であるのにも関わらず、遮断されてしまうのは大変困りますよね。誤検知は完全になくすことはできませんが、頻繁に起きることを防ぐ方法はあります。
その誤検知を頻繁に起こらないようにするための対策としてチューニングがあります。悪意をもってサイバーを攻撃しようとする人はブロックされないような侵入方法を次から次へと生み出します。
このような多様化する攻撃に対応できるようにIPSをチューニングしておく必要があります。
これを怠ってしまうと誤検知が起こりやすくなり、必要な通信やシステムであっても遮断されてしまうということが起こります。
この誤検知はIPSのデメリットの一つとも言えますし、対策するためのチューニングも手間だといえるでしょう。
デメリット2:Webアプリには未対応
IPSはWebアプリケーションを狙った攻撃には対応していません。サーバーやネットワーク全般という広い範囲を守ってくれていますが、Webアプリを狙うような高い精度の検出が必要となる攻撃に関しては弱い部分があります。
他にもOSコマンドインジェクションやSQLインジェクション、クロスサイトスクリプティングといった特殊な攻撃には対応できません。
こういったIPSの弱みの対策としては、IPSとは異なった他のセキュリティ製品と組み合わせて使用することがあげられます。
IPSを導入する際の確認ポイント
情報資産を守る上で大きく活躍してくれるIPSですが万能ではないことがわかります。
では、いざIPSを導入するにあたって確認しておくポイントをご紹介します。
さまざまなタイプのIPSがありますので参考にしてみてください。
導入価格
IPSのようなセキュリティを守るための製品は決して安くはありません。
初期費用だけでなく、運用コストも考えた上で検討していきましょう。
個別に機器を守るようなホスト型は、ネットワークを守るネットワーク型のIPSよりもコストがかかります。また、各種サービスやサポート内容によっても費用は変わってきます。
安いからよくない、高いからいいということでもありません。必要ない機能やサポートがついていて高価な場合もあります。
また、セキュリティにあまり詳しくないという方はクラウド型のサービスを導入するのも良いと言えます。
導入方法
異常の検知方法には大きく2つの型があります。
異常な通信のパターンを登録しておくシグネチャ型。
多くのセキュリティ製品はシグネチャ型です。ただ、未知の通信だと正常と判断してしまうので、定期的に更新する必要があります。
そして、正常な通信のパターンを登録しておくアノマリ型です。
シグネチャ型と違って未知な通信には強いです。しかし、登録していないものはすべてブロックしてしまうのでその都度更新が必要となってきます。
つまり、どちらの型であっても、日々使用している通信が誤検知なのかそうではないのか定義・分析しておく必要があります。
どちらの型にも強みと弱みがあるので組み合わせて使用することで大きな効果が期待できると言えます。
導入形態
IPSの導入形態は2種類あります。
まずはネットワーク型です。
これは特定のネットワーク上の通信内容を監視したい時におすすめの形態です。
ネットワーク上にIPSを設置することで、ネットワーク内を透データやパケットの中身を監視します。あくまで中身を監視するので外側の監視はできません。監視対象が複数あるのであればそれぞれに設置する必要があります。
次にホスト型です。
サーバーの中まで高精度に異常を検知したい時におすすめの形態です。
監視対象のサーバーに設置することで、不正侵入検知の他にサーバー内で不審な動きがないか、ファイルの改ざんを行おうとしていないかまで監視することは可能です。
サーバーに直接設置するのでコンピュータへの通信履歴やファイルへのアクセス状況まで監視することができるというわけです。
この2種類の他にクラウドサービス型というものもあります。
導入しやすく、運用も任せることができ、コストも抑えることができます。
ただ、運用を任せてしまっているので、そこで対応が遅れてしまうと自分達に影響が出てしまうというのがデメリットでもあります。
サポート体制
IPSを導入する際に一緒に確認しておきたいのは保守サービス、サポート体制の内容です。
セキュリティ面を守る上で、万が一トラブルがあった時には迅速に対応する必要があります。
トラブル以外にも検知パターンのチューニングや更新は自分たちで行うのか、サービスで行ってくれるのかも確認しましょう。
サービスで行ってくれる場合には、チューニングの更新自体も迅速に行ってもらう必要があります。いざという時にセキュリティに穴がある状態では導入した意味がなくなってしまいます。
迅速性という意味では導入開始から運用までの時間も確認したいところですね。
セキュリティ系がわからないひとにとっては導入する時のサポートも重要となってきます。
IPSは万能ではないと説明しましたが、不足しているシステムも一緒に導入できるところもあるので確認してみてください。
多少コストが高くなったとしても、手厚いサポートや迅速な対応、実績がある製品を選ぶことをおすすめします。
搭載機能
一言にIPSといってもさまざまな製品があります。
Webアプリに対応していないとご説明しましたが、そんなWebアプリに強いセキュリティのWAF機能が付いているもの。
クラウド監視機能が付いているもの。
BYODと呼ばれる、いわゆる自分のデバイスを持ち込むことに対策した機能があるもの。
必要機能が通常で付いている製品を選ぶことで、オプションで追加するよりもコストを抑えることができるのです。
おすすめのIPS3選
続いては、おすすめのIPSを3つ解説します。特徴や価格をまとめていますので、ぜひ参考にしてみてください。
L2Blocker
特徴 | ・許可していないPCやデバイスをブロック ・社内端末の台帳管理も可能 ・いまあるネットワークの構成を変更することなく導入可能 |
価格 | ¥380,000〜 |
無料トライアル | × |
L2Blockerは、これまでに1万社以上に導入実績のあるISPです。許可していないPCやタブレットなど、各種デバイスをブロックすることで、ウィルスの侵入を防ぎます。
また、未許可端末を接続させないというシンプルなシステムのため、社内端末の台帳もスムーズに管理可能です。ただし、無料トライアル期間は設けられていないため、あらかじめ注意しておきましょう。
イージス
特徴 | ・面倒な設置工事不要!追加料金もなし! ・速度遅延やサーバーダウンのリスクが少ない ・定額制なので最短1ヶ月から利用可能! |
価格 | ¥50,000〜 |
無料トライアル | ○ |
イージスは上場企にも業実績が多数ある、24時間365日高セキュリティを実現するIPSです。面倒な設置工事なく、追加料金をかけることなく社内に導入できます。
また、速度遅延やサーバーダウンのリスクが少ないにも関わらず、定額制で最短1ヶ月から導入が可能です。無料トライアルも用意されていますので、興味のある方はぜひ導入してみてください。
AppGuard Small Business Edition
特徴 | ・Webアプリへの攻撃にも対応! ・OSに影響を与える動作を無効にするOSプロテクト型 ・導入支援サービス、教育支援サービスも充実しているのでセキュリティ初心者でも安心して導入可能! |
価格 | ¥6,000〜 |
無料トライアル | × |
AppGuard Small Business Editionは、多くの中小企業に導入されているIPSです。OSプロテクト型を採用しており、Webアプリに対しての攻撃もガードします。
また、導入前の支援や導入後の教育サポートなど、幅広いサービスが充実しているため、初めてIPSを導入する企業でも安心です。無料トライアルはありませんが、導入費用も比較的安価な設定となるため、興味のある方はぜひチェックしてみてください。
まとめ
ネットワークなくしては生きていけない現代で、情報を悪意あるものから守ることはとても大切なことです。
IPSなどのネットワークセキュリティシステムを導入することで、不正アクセス等のリスクを抑えられます。
しかし、IPSはWebアプリには対応できない弱点や、誤検知、誤検知を防ぐためのチューニングをしなければならないという手間もあります。
いまではそういった弱点にも対応したIPS製品がたくさんあります。
値段だけではなく、自分の目的やサポートの充実性なども踏まえた上で検討してみてください。
