侵入防止システム(Intrusion Prevention System:IPS)とは、システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が検知されたりした場合に管理者へ通知するだけでなく、未然に不正アクセスを防ぐシステムです。
IPSの監視箇所による2つの違い
ネットワーク型IPS
ネットワーク上を流れるパケットを監視し、そのデータや通信手順を解析した後、不正アクセスを発見するとログを取り、そのIPアドレスからのアクセスを遮断するなどの防御措置を取ります。
特徴としては直接接続しているネットワークのみ監視するので、DMZ(非武装地帯)や、社内のネットワーク、ファイアウォールの外側など、監視したい部分にそれぞれ配置する必要があります。
ホスト型IPS
監視対象となるサーバにインストールすることで、OSに記録されているログやサーバ内のファイルが改ざんされていないかどうかを監視を行います。攻撃を受けた際は、通信を遮断することで、OSやソフトウェアレベルで攻撃を防ぐことができます。
アプリケーションからの起動なので、インストールされているサーバ上でしか動作しないことから、保護したいサーバやルータ、ファイアウォールなどの全ての機器にインストールする必要があります。
IPSの2種類の検知の仕組み
シグネチャ検知型
このタイプは多くのIPSで採用されており、あらかじめ登録されたシグネチャという通常のネットワークの状態に一致しない挙動を「ウイルスの侵入」として検知する仕組みです。
ただ、シグネチャに登録されていない手口には対応できないという欠点もあります。
アノマリ検知型
普段のデータ転送量(ネットワーク上のトラフィック)をあらかじめ設定しておくことで、その数値を超えた際は異常として検知する仕組みです。
シグネチャと異なり、設定されているパターンファイルに当てはまらない以上も数値で判別するので、より異常に対して検知しやすい特徴があります。
顧客情報や企業の機密情報、社員の個人情報などの情報資産を護る情報セキュリティは企業活動において必須のものになっています。侵入検知システム(Intrusion Detection System:IDS)とIPSの導入は、サイバーセキュリティ導入における基本といえます。
企業のネットワークは、常に外部からの不正アクセスやウイルス侵入の危機にさらされている現状です。IPS製品などの技術面だけでなく、情報セキュリティを専門に扱う人材の確保・育成はもはやコストではなく企業に必要不可欠な投資として認識する段階にあるといえます。