侵入防御システムとは

侵入検知防御システム(IDPS)とも呼ばれる 侵入防御システム (IPS)は、疑わしい活動がないか、ネットワーク トラフィックを継続的に監視し、防御するための手段を講じるネットワーク セキュリティ テクノロジであり、あらゆるエンタープライズ セキュリティ システムの中核を成します。広く自動化されたIPSソリューションは、他のセキュリティ デバイスやコントロールに到達する前にこの悪意のある活動をブロックすることにより、セキュリティ チームの手動での作業を効果的に減らし、他のセキュリティ製品のより効率的な動作を可能にします。

またIPSソリューションは、脆弱性エクスプロイトの検出と防御についても非常に有効です。脆弱性が発見されると、通常はセキュリティ パッチが適用されるまで、脅威アクターはその脆弱性を悪用する機会を得ます。ここで侵入防御システムを使用することにより、この種の攻撃をすばやくブロックできます。

IPSアプライアンスは当初、2000年代半ばにスタンドアロン デバイスとして構築、リリースされました。現在この機能は、中小企業向けの統合脅威管理(UTM)ソリューションおよびエンタープライズ レベル向けの次世代ファイアウォールに組み込まれています。次世代のIPSソリューションは、クラウドベースのコンピューティングおよびネットワーク サービスに接続されるようになり、世界中のローカルおよびグローバルな組織が直面している、増え続けるサイバーセキュリティ脅威に対して、高度な防御手段の提供を可能にしています。

侵入防御の仕組み

トラフィックをスキャンして脅威について報告する受動的なシステムである、前身の 侵入検知システム(IDS)とは異なり、IPSはインライン、つまり送信元と宛先の間のネットワーク トラフィック フローに直接配置されます。通常はファイアウォールのすぐ背後に配置されるIPSは、ネットワークに進入するすべてのトラフィック フローを能動的に分析し、以下のような自動化されたアクションを実行します。

• 管理者にアラームを送信する(IDSと同様)
• 悪意のあるパケットを廃棄する
• 送信元アドレスからのトラフィックをブロックする
• 接続をリセットする
• 今後の攻撃を防ぐようにファイアウォールを設定する

インライン セキュリティ コンポーネントとして、IPSは、ネットワーク パフォーマンスを低下させないように効率的に動作する必要があります。さらに、エクスプロイトはほぼリアルタイムに発生する可能性があるため、IPSには高速な動作が必要であり、また脅威と誤検知(正当なパケットが脅威と誤認されること)を排除するために、正確に検出および対応できなければなりません。これを確実に行うために、エクスプロイトを検出し、不正なアクセスからネットワークを防御する、以下のような複数の手法を使用します。

• シグネチャベースの検出は、各エクスプロイトのコードに含まれる一意に識別可能なパターン(シグネチャ)のディクショナリに基づいています。エクスプロイトが発見されると、拡大し続けるシグネチャのディクショナリにそのシグネチャが記録、保存されます。IPSのシグネチャ検出は、2つのタイプに分類できます。
  • エクスプロイト対応シグネチャ は、特定のエクスプロイト試行の固有のパターンに対してトリガーすることで、個々のエクスプロイトを識別します。IPSは、トラフィック ストリーム内でエクスプロイト対応シグネチャとの一致を探すことで、特定のエクスプロイトを識別できます。
  • 脆弱性対応シグネチャ は、より広範なシグネチャであり、標的となっているシステムの潜在的な脆弱性を対象にします。これらのシグネチャによって、まだ活動が直接観測されていないエクスプロイトの亜種からだけでなく、誤検知リスクを高める可能性がある亜種からも、ネットワークを保護できます。

• 異常ベースの検出 では、ネットワーク トラフィックのサンプルをランダムに抽出し、あらかじめ計算されたベースライン パフォーマンス レベルと比較します。ネットワーク トラフィック アクティビティのサンプルがベースライン パフォーマンスのパラメータから外れている場合は、IPSがアクションを実行して状況に対処します。
• ポリシーベースの検出 では、システム管理者が組織のセキュリティ ポリシーおよびネットワーク インフラストラクチャに基づいてセキュリティ ポリシーを設定する必要があります。定義されたセキュリティ ポリシーに違反するアクティビティが発生すると、アラートがトリガーされ、管理者に送信されます。

侵入防御システムのタイプ

IPSソリューションには以下のような複数のタイプがあり、目的に応じて導入できます。

• ネットワーク侵入防御システム(NIPS)は戦略的なポイントにのみインストールされ、すべてのネットワーク トラフィックを監視し、脅威がないか、プロアクティブにスキャンします。
• ホスト侵入防御システム(HIPS)はエンドポイントにインストールされ、そのマシンに対するインバウンドおよびアウトバウンド トラフィックのみを監視します。HIPSはNIPSと組み合わせて使用されることが多く、脅威に対する最後の防衛線の役割を果たします。
• ネットワーク動作分析(NBA) はネットワーク トラフィックを分析して異常なトラフィック フローを検出し、新たなマルウェアやゼロデイ脆弱性を見つけます。
• 無線侵入防御システム(WIPS) はWi-Fiネットワークで不正なアクセスがないかをスキャンし、許可されていないデバイスをネットワークから取り除きます。

回避型脅威の検出のためのディープ ラーニング

増え続ける高度な回避型脅威を阻止するため、侵入防御システムは、検出機能を大幅に強化し、シグネチャに頼ることなく未知の悪意のあるトラフィックを正確に識別できる、 インライン ディープ ラーニングを導入する必要があります。人間の脳でのニューラル ネットワークの働きと同様に、ディープ ラーニング モデルでは数層の分析を実行し、数ミリ秒で数百万ものデータ ポイントを処理します。このような高度なパターン認識システムは比類のない精度でネットワーク トラフィック アクティビティを分析し、きわめて低い誤検知率で未知の悪意のあるトラフィックをインラインで識別します。

IPSソリューションで使用可能なこの追加のインテリジェントな防御層は、ビジネス上の機密情報をさらに保護し、組織をまひさせる高度な攻撃を防ぎます。

セキュリティ インフラストラクチャ内でIPSソリューションがどのように機能するかについては、こちらのホワイト ペーパーをお読みください。パロアルトネットワークスの侵入防御アプローチ