IPS(不正侵入防御)とは?IDS(不正侵入検知)との違いや仕組みについて解説

不正な通信からシステムを守るうえで、IPS(不正侵入防御)などのセキュリティ製品を導入することは非常に大切です。ただし、実際に取り入れるときには、それぞれの仕組みや機能、特徴を把握したうえで、対策したい不正アクセスや現状に合ったものを選ぶ必要があります。

今回は、IPS(不正侵入防御)とIDS(侵入検知システム)の違いを比較しながら、IPSの仕組みや実際に防げる攻撃の種類などを紹介していきます。

IPS(不正侵入防御)とは?

IPSとは、Intrusion Prevention Systemの略称です。日本語では、不正侵入防御システムと訳されます。IPSの主な役割は、不正や異常な通信の検知と、防御や遮断をすることです。IPSの導入環境で不正な通信を検知したときには、管理者のところに通知するだけでなく、その通信をブロックするところまで動作できる特徴があります。

IDS(不正侵入検知)とIPS(不正侵入防御)の違い

IPS(不正侵入防御)の具体的な特徴や機能は、同じく重要なセキュリティ商品として注目されるIDS(不正侵入検知)との違いに目を向けるとよくわかります。

IDS(不正侵入検知)とは?

IDSは、Intrusion Detection Systemの略称です。日本語では、不正侵入検知システムと訳されます。IDSは、シグネチャなどに基づき、ネットワークパケットやファイルの状態などを監視して、不正・異常な通信の検知を行います。この役割は、IPSにも備わっています。

IDSとIPSの違いとは?

ただしIDSの場合、検知後に具体的なアクションを起こしません。そのため、両者の違いを混同したままIDSを取り入れた場合、IPSのように不正な通信への防御や遮断ができないことで、セキュリティ事故を招く可能性があります。

したがって、検知後のアクションを含めた対策を行う場合は、IPSを導入することをおすすめします。IDSとIPSは「IDS/IPS」と記載されていることが多く、基本的にはセットです。多くはIPSにIDSとしての機能が備わっているため、IPSを導入すればIDSの機能も使えます。

IPS(不正侵入防御)とIDS(不正侵入検知)における3つの種類

IPSとIDSの監視方法には、以下3つの種類があります。

以下の表に、それぞれの特徴やメリット・デメリットをまとめました。

名称 特徴 メリット デメリット
ネットワーク型 ネットワーク上を流れる通信パケットの中身を監視する方法 ホスト型と比べて導入しやすい サーバー内の異常は検知できない
ホスト型 各サーバー上に設置する方法 サーバー内に生じた異常や不正の検知ができる 導入コストや運用時の手間がかかりやすい
クラウド型 クラウドサービスを活用して導入する方法 日々の運用や更新をクラウド提供事業者に任せられる 提供事業者側に通信障害が発生した場合、その影響を受けてしまう

IPS(不正侵入防御)の仕組み

IPSは、不正検出もしくは異常検出をしたときに動作します。

不正検出とは?

不正検出とは、事前登録したさまざまな攻撃を識別するためのシグネチャ(ルールやパターン)と照合することで、検出を行う仕組みです。シグネチャ型と呼ばれています。不正検出では、IPSがシグネチャに登録されたパケットを通信内に検出をしたときに、不正行為とみなします。

不正検出は、IPSやIDSに限らず、さまざまなセキュリティ商品で使われる伝統的な仕組みです。ただし、未知の通信は誤認識が起こるリスクがあるため、定期的なシグネチャの更新が必要となります。

異常検出とは?

異常検出は、通常とは異なるトラフィックを検知することで、未知の侵入検出も行える仕組みです。アノマリ型と呼ばれています。異常検出では、まず、ログイン時刻やトラフィック状況といった項目に対して、通常時の閾値を設けます。そうすることで、閾値とは異なる値が検出されたときに、異常という判断が可能になる仕組みです。

異常検出には、未知の脅威を検出できる反面、誤検知が起こりやすい難点があります。したがって、IPSの導入時は、不正検出と異常検出のどちらかではなく、両方を組み合わせて使うことがおすすめです。

IPS(不正侵入防御)で防げる攻撃の種類

IPSを導入すると、以下の種類の攻撃を防げます。

DoS攻撃、DDoS攻撃

DoS攻撃とは、Webサイトやサーバーに大量の不正データを送信することで、正常なシステム動作を不可能にするサイバー攻撃の種類です。これに対してDDoS攻撃は、分散型サービス拒否攻撃と呼ばれており、一つのIPアドレスではなく複数のIPアドレスから同時攻撃を行います。

DDoS攻撃の特徴は、攻撃元のIPアドレスが頻繁に変わってしまうため、犯人特定が難しいことです。また、DDoS攻撃を形成するための手法には、以下のようにたくさんのバリエーションがあることから、単純なセキュリティシステムでは防ぎづらいとされています。

・ DNSフラッド攻撃
・ Connection Exhaustion攻撃
・ Stream Flood攻撃
・ UDPフラッド攻撃
・ HTTP GET/POST Flood攻撃
・ ACKフラッド攻撃
・ FINフラッド攻撃
・ Slow HTTP DoS Attack など

不正なプログラム(トロイの木馬)など

IPSは、バックドアと呼ばれる不正なプログラムの水際対策にも役立ちます。バックドアとは、パソコンのユーザーやサービス利用者に知られることなく、いつの間にか設置されたハッキング用の裏口のことです。

バックドア自体に有害性はありません。ですが、パソコンやサーバー内にバックドアがあると、管理者が設定したセキュリティ対策やログインの仕組みをくぐり抜けて、遠隔操作が行われてしまいます。また、すべてのバックドアの除去は非常に難しいため、IPSなどのセキュリティ対策を使って、早めに検知することも大切です。

不正なプログラムのなかで最も有名なのが、トロイの木馬と呼ばれるマルウェアです。トロイの木馬は、お役立ちアプリなどになりすまし、コンピューター内の個人情報の抜き取り、スパムメールの大量送信といったトラブルを引き起こします。

SYNフラッド攻撃

SYNフラッド攻撃とは、TCP接続における3ウェイ・ハンドシェイクを悪用することで、システムダウンやWebサービスを停止させてしまうものです。3ウェイ・ハンドシェイクは、クライアントとサーバーがTCP接続するうえで必要な3段階の確立条件になります。

SYNフラッド攻撃では、まず、悪意のある第三者のユーザーがサーバーに対して大量のSYNパケットを送信します。そして、サーバーから返されたSYN/ACKパケットの無視・放置をすることで、待機状態になったサーバーからリソースを奪ってしまいます。

この攻撃の恐ろしさは、パケット送信を行うクライアントとユーザーに悪意があるかどうかの判断が難しいことです。また、攻撃が長く続いた場合、システムが壊れることがあります。

まとめ

IPS(不正侵入防御)とは、不正・異常な通信を検知したうえで、遮断できるシステムです。IDSが検知と管理者への通知までの動作に対して、IPSでは検知・通知とともに、防御や遮断といった動作までできる特徴があります。

IPSには、不正検出と異常検出という2つの仕組みがあります。また、以下3つのタイプがあるため、導入時には環境やコストなどを考えて比較検討することも大切です。

・ ネットワーク型
・ ホスト型
・ クラウド型

ネットトラブルの予防からトラブル発生後の解決サポートまで!

ネットトラブルの予防や対策に不安を感じている方には、ドコモの「ネットトラブルあんしんサポート」への申込みがおすすめです。このサービスは、キャッシュレス決済の不正利用を補償する保険機能とともに、以下のようなトラブルの相談までをワンストップでサポートできる魅力があります。

・ 個人情報の漏えい
・ 詐欺
・ 架空請求
・ 不正利用
・ 誹謗中傷、いじめ
・ 迷惑メール
・ コミュニケーショントラブル など

ネットトラブルあんしんサポートに加入すると、ネットトラブルに精通した専門スタッフに電話相談を行えます。また、詐欺被害などでより専門的な相談を希望される場合は、消費生活アドバイザーなどの専門家への取り次ぎも可能です。コールセンターにお電話いただければ専門スタッフが悩みをお聞きします。ぜひ一度ご相談ください。