不審な通信は自分で遮断！侵入防止システム「IPS」

こんにちは！ファイアウォールに関連する記事を連続で投稿しております。

前回は、侵入検知システム「IDS」についてご紹介しました。２つの検知方法（ミスユース検知法とアノマリ検知法）の違いを知りました。また、誤検知は避けられないので、管理者のチューニングが必要という話もしましたね。

今回は、そのIDSと対をなす機器である、検知防止システム「IPS」についてご紹介します。名前はIDSと似ていますが、担う役割がちょっと異なります。こいつは、脅威に対してもっと「積極的」にアプローチします。気になりますね！

早速いってみましょう！

IPSって何だろう？

IPSは、「Intrusion Prevention System」の略です。「侵入防止システム」と訳せます。

IDSと同様、侵入に対して、サーバやネットワークのセキュリティを保護するための重要なツールです。このシステムは、不正なアクセスを自動的に検知し、攻撃を未然に防ぐための対策を講じます。が、先に紹介したIDSとの違いはどこにあるのでしょうか？

IPSとIDSの違い

侵入検知システムIDS（Intrusion Detection System）は不正侵入を検知し、管理者に通知する機能を持ちますが、攻撃を防ぐことはできません。一方、IPSは不正アクセスを検知すると同時に、自動的に通信を遮断し、攻撃を阻止する機能を有しています。

これが大きな違いです。IDSはアラートを発してくれますが、その対応は管理者であったり、他の機器であったりします。IPSは、自分で通信を遮断するところまで行う点で、より積極的であり、またよりファイアウォールに近い役割を持っています。

IPSの種類と特徴

IPSもIDSと同様に２つに分類できます。

• ネットワーク型（Network-based IPS）

• ホスト型（Host-based IPS）

です。

NIPSはネットワーク境界に設置され、内部と外部の通信を監視し、不正な通信を検出した際に遮断などの対応措置を講じます。一方、HIPSは個々のサーバに常駐し、そのサーバと他のコンピュータ間の通信を監視します。守備範囲が異なりますね。

要注意！IDSと同じ場所に設置していいのか？

では、NIPSはどこに設置しましょうか？IDSは、インラインモードとプロミスキャスモードがあるのでしたね。

インライン・モード

プロミスキャスモード

なら、これをIPSに置き換えればいいでしょう…となりそうですが、実はそうではありません。

なぜなら、IPSはみずから通信を遮断できる場所に設置されなければなりません。図を見れば分かる通り、プロミスキャス・モードでは遮断はできませんね。「通せんぼ」する形、すなわち、「インライン・モード」での設置が必要です。

簡単に設置例を示せばこんな感じです。

ファイアウォール、IPS、IDSの位置関係

IPSのモードは、インライン、IDSのモードは、スイッチにぶら下がるプロミスキャスですね。これならそれぞれの役割が果たせそうです。

IPSでは防げない攻撃

IPSは、ファイアウォールで許可された通信のうち、主に不審な振舞いをする通信に対して、防御能力があります。例えば、メールサーバやDNSサーバに対する攻撃に対して、威力を発揮します。

が、やはり、全ての攻撃を防ぐことはできません。特にウェブアプリケーションの脆弱性を悪用する攻撃（高度なSQLインジェクションやXSSなど）には、別の機器が必要です。それが「WAF」です。

はい、本日はここまで！今回は、IDSからの発展形「IPS」についてご紹介しました。

次回は、もちろん「WAF」（ウェブアプリケーションファイアウォール）のご紹介です。

では！