Skip to content Skip to navigation Skip to footer

IPS(侵入防止システム)とは?

お問い合わせ 

侵入防止システム(IPS)の定義

侵入防御システム(IPS)とは、悪意のあるトラフィックを特定し、組織のネットワークに侵入するのを防ぐことです。IPS技術を採用した製品をインラインで実装し、受信トラフィックの脆弱性や悪用を監視します。脅威が検出された場合、アクセスの遮断、ホストの隔離、侵害の可能性がある外部Webサイトへのアクセスの遮断など、セキュリティポリシーで設定された適切な対応を講じます。

侵入防止システムの機能について

IPSセキュリティサービスは、通常、送信元と送信先の間の直接の通信経路に「インライン」で配置され、その経路を流れるすべてのネットワークトラフィックをリアルタイムで分析し、自動化された予防措置を講じます。IPSはネットワークのどこにでも実装できますが、最も一般的な実装場所は次のとおりです。

  • エンタープライズエッジ、ペリメータ
  • エンタープライズデータセンター

IPSは、スタンドアローンのIPSとして実装することも、次世代ファイアウォール(NGFW)に統合された機能でIPSをオンにすることもできます。IPS は、悪意のあるトラフィックを特定するために、脆弱性またはエクスプロイトに特化したシ グネチャを使用します。 一般的に、IPS はシグネチャベースの検知、または統計的な異常検知を使用して、悪意あるアクションを特定します。

  1. シグネチャベースの検知は、エクスプロイトコードにある一意に識別可能なシグネチャを使用します。エクスプロイトが発見されると、そのシグネチャはデータベースに格納されます。IPSのシグネチャベースの検知には、個々のエクスプロイトそのものを検知するエクスプロイト フェイシング シグネチャと、攻撃の標的となっているシステムの脆弱性を検知する脆弱性フェイシング シグネチャのいずれかを使用します。脆弱性対応シグネチャは、未知の潜在的なエクスプロイトの亜種を特定するために重要ですが、誤検出(誤って脅威としてラベル付けされた問題のないパケット)のリスクも高めてしまいます。
  2. 統計学的なアノマリベースの検知は、ネットワークトラフィックをランダムにサンプリングし、そのサンプルをパフォーマンスレベルのベースラインと比較します。サンプルがベースラインから外れていることが確認されると、IPSは潜在的な攻撃を防止するためのアクションを講じます。

IPSにより、ネットワークを悪用し得る悪意のあるトラフィックが特定されると、保護用仮想パッチを実装します。仮想パッチは、既知および未知の脆弱性を悪用する脅威に対する安全対策です。バーチャルパッチは、セキュリティポリシーやルールを何重にも設定することで、エクスプロイトがネットワークを経由して脆弱性にアクセスするのを防ぎ、阻止することで、ホストレベルではなくネットワークレベルでその脆弱性を保護します。

侵入防御システム(IPS)の種類

侵入防御システムには、注目すべき4つのタイプがあります。それぞれのタイプには、独自の防御の特長があります。

ネットワーク侵入防御システム(NIPS) 

通常、ネットワークベースの侵入防御システムは、ネットワークの主要な場所に設置され、トラフィックを監視し、サイバー脅威をスキャンします。

ワイヤレス侵入防御システム(WIPS)

無線侵入防御システムは、Wi-Fiネットワークを監視し、ゲートキーパーとして不正なデバイスを排除します。

ホスト型侵入防御システム(HIPS)

PC などのエンドポイントにインストールされるホストベースの侵入防御システムは、そのデバイスからのインバウンドとアウトバウンドのトラフィックのみを監視します。HIPS は、NIPS と連携して最も効果的に機能し、NIPS を通過した脅威を阻止します。

NBA (Network Behavior Analysis:ネットワークの振る舞い分析)

NBAは、ネットワークトラフィックを監視し、不審な動きや分散型サービス拒否(DoS)攻撃を検知します。

セキュアリモートアクセス

FortiGate IPS製品のデモ

デモを依頼する

IPSとIDSの違い

侵入検知システム(IDS)がネットワークを監視し、潜在的な脅威についてネットワーク管理者に警告を送るのに対し、侵入防御システムは、ネットワークへのアクセスを制御し、侵入データを監視し、攻撃の発展を防止するという、より実質的な対応策を講じます。

IPS は IDS から発展したものです。IDS技術は、トラフィックを識別するというIPSと同じコンセプトの技術を使用していますが、大きな違いは、IPSは「インライン」で展開され、IDSは「オフライン」またはタップで展開され、トラフィックまたはフロー全体のコピーを監視しますが、対応策は講じないという点です。IDSは、ネットワーク上の脅威の監視し、分析、可視化のみを実行します。


フォーティネットはどのように役立つか

FortiGuard IPSセキュリティサービスは、NGFW(ハードウェア、仮想マシン、As-a-Service)FortiClientFortiProxyFortiADCおよびフォーティネットのCloud Sandboxで利用可能です。フォーティネットのOTおよびIoTサービスを追加することで、運用技術やIoTデバイスの保護をさらに強化することができます。

次世代ファイアウォール搭載のFortiGuard IPSでは、以下をご提供します。

  1. パッチ適用が困難な、またはパッチ適用ができないビジネスアプリケーションに対するネットワークベースの仮想パッチの適用。これにより、業務を中断することなく、脆弱性を防御します。
  2. FortiGateに搭載されたフォーティネットの専用コンテンツ プロセッサ(CP9)は、FortiGuard IPS機能を加速させ、業界最高水準の価格と性能を実現します。
  3. IPS には、隠れたマルウェア、ランサムウェア、その他の HTTPS を媒介とする攻撃を検知するための SSL インスペクション(TLS 1.3 を含む)などの機能が追加されています。

FortiGate IPS: 既知およびゼロデイ脅威の防御

FortiGuardは、業界で検証されたIPSサービスを企業に提供する、包括的なセキュリティドリブンのネットワークセキュリティサービスを提供しています。企業に優れたセキュリティ効果と業界最高のIPSパフォーマンスを提供します。FortiGuardは、FortiGuard LabsのAI/MLドリブンの脅威インテリジェンスを活用します。