侵入検知・防止システム(IPS)とは?
侵入検知・防止システム(IDPS)は、トラフィックを受動的に監視し、疑わしいまたは悪意のある行為が検知された場合に能動的にブロックすることで。脅威の検知を支援するネットワーク監視戦略です。
IDPSは、ネットワーク境界線に配置され、トラフィックを監視する可視化ツールとも言え、管理コンソールと、過去検出された攻撃シグネチャと一致するアクティビティが発生したとき、それをコンソールに報告するセンサーとで構成されます。
IDPSとマネージド検知対応サービス(MDR)の比較
上記で指摘した最後のポイントは、表面的には似ているように思われるこの2つの戦略の違いを識別する上で重要です。IDPSは既知の攻撃シグネチャを検出し、現在のアクティビティと過去の攻撃を迅速に照合できます。MDRプログラムの主な機能の1つは、新しいタイプや未知のタイプの攻撃を検出し、それらの新しい脅威に対抗策を講じることです。
IDPSとアンチウイルスの比較
IDPSの役目は相互にリンクされたエンドポイントとシステムのネットワーク全体をスキャンすることにあります。マクロな視点を提供し、大規模な脅威グループによって展開される、企業を標的とした攻撃にうまく対応しています。アンチウイルス は主にネットワーク上のファイルをスキャンして整合性と適切性を確認し、不適切と判断された場合にはそれを隔離します。より高度なソリューション、たとえば次世代ウイルス対策 (NGAV)などは、AIと行動分析を使用して従来のファイル スキャンを超え、エンドポイントで高度な脅威を検知して防御します。
IDPSの種類
IDPSシステムには、収集されるテレメトリの最終用途に応じて、さまざまな種類に分かれます。米国国立標準技術研究所がいくつかの主要シナリオにわたりIDPSシステム機能をどのように説明しています。
ネットワークベースのIDPS
ネットワークベースのIDPSは、ネットワークセグメントのネットワークトラフィックを監視し、ネットワークアクティビティを分析して不審なアクティビティを特定します。さまざまな種類のイベントを識別でき、ファイアウォールやリモートアクセスサーバーなどの、ネットワーク境界に導入されるのが一般的です。
ホストベースのIDPS
ホストベースのIDPSは、ホスト内で発生するイベントの特性を監視し、不審なアクティビティがないかどうかを確認します。対象には、ネットワークトラフィック、システムログ、実行中のプロセス、アプリケーションアクティビティ、ファイルアクセスと変更、システムとアプリケーションの構成変更の監視が含まれます。ホストベースの IDPS は、一般にパブリックサーバーなどの重要なホストに展開されます。
ワイヤレスIDPS
ワイヤレスIDPSはワイヤレスネットワークトラフィックを監視し、プロトコルを分析して疑わしい活動を特定しますが、アプリケーションや上位層のネットワークプロトコルの不審な動きを特定することはできません。組織のワイヤレスネットワークの範囲内に配備されるのが一般的ですが、不正なワイヤレスネットワークの監視も可能です。
ネットワーク挙動解析(NBA)システム
NBAシステムは、ネットワークトラフィックを検査し、分散型サービス拒否(DDoS)攻撃、ある種のマルウェア、ポリシー違反など、異常なトラフィックフローを発生させる脅威を特定します。組織の内部ネットワーク上のフローの監視目的で導入されることがほとんどですが、組織外部のトラフィックフローの監視にも使用できます。
IDPSの技術
IDPSではどのような技術が使用されているでしょうか。以下のリストは関連するすべてのプロセスを網羅しているわけではありませんが、不審なアクティビティが発生した場合に実行できるプロトコルを含みます。
ヒューリスティックベースの検出
ヒューリスティック検出では、コード内のパターン一致ではなく、特定の行動(ふるまい)を照合することで悪意のあるコードを識別します。コードの実行方法を監視し、より複雑なルールのセットに基づき危険な動作を判断します。
統計分析
ログ、傾向予測、トラブルシューティングの取り組みを統計的に分析することで、管理者は現在のシステム動作に関する洞察を得ることができます。高度な統計分析により、異常なイベントをより早く検知し、対応計画を迅速に実行に移すことが可能となります。この手法はネットワークでの検知および対応 (NDR)ツールにおいて、リアルタイム可視性を高めるために頻繁に活用されています。
プロトコル分析
アプリケーション層のプロトコル分析を中核とする手法で、破損していないプロトコルを疑わしいアクティビティと比較し、異常を検出してアクセスを拒否することを最終目標としています。
行動分析
このプロセスでは、侵害された資格情報、 ラテラルムーブメント およびその他の悪意のある動作を検出することを目的として、ネットワーク イベントにインサイトを適用します。通常、ネットワーク上での ユーザー行動 と静的な脅威指標が対象となります。
積極的な予防と対応
進化し続ける脅威と侵害を阻止するには、検知と対応のための方法論が必要なことは明白ですが、予防のプロセスにより、セキュリティ組織にとってより大きな問題となりうる問題のリスクを低減できます。予防の手法には、進行中の攻撃の停止、セキュリティ環境の変化の監視、攻撃内容を積極的に変更してその影響を軽減することなどが含まれます。
IDPSのベストプラクティス
できる限り衛生的な方法でIDPS技術を実行するには、侵入検知・防止システムの立ち上げの際にいくつかのベストプラクティスを取り入れることをお勧めします。
徹底したネットワークアセスメントの実施
この種のアセスメントにより、セキュリティチームはネットワークにリスクをもたらす脆弱性を適切に管理してパッチを適用し、脅威アクターや侵害の可能性から組織を保護できるようになります。ネットワーク上の脆弱性を定義するのに役立つ上、ネットワーク全体の構造を可視化して、アナリストが「良好」な状態とはどのようなものかを定義できるようにもします。
IDPSのシグネチャとルールの定期的な更新
シグネチャベースの検出は、通常、「その瞬間のもの」であるため、未知の攻撃の検出には適していません。シグネチャを既知の動作と比較し、その方法で疑わしいアクティビティをキャッチできるため、特定の ネットワーク セキュリティ 目標を管理するシグネチャとルールの両方を定期的に更新することが重要です。
ファイアウォールとSIEMシステム間の連携
通常、ファイアウォールはデータを生成し、このデータがその後 セキュリティ情報・イベント管理 (SIEM) システムにより分析されます。このファイアウォールデータは、ログ、ネットワークトラフィック、アラートの形式で送信されます。こうした連携が、健全なネットワーク動作の全体像を構築する上で役立ちます。
定期的なアセスメントと監査の実施
ネットワークの健全性にとっては、内部ポリシーと外部ポリシー(政府が定めるポリシーなど)の両方を遵守し続けることが非常に重要です。定期的なネットワークアセスメントと監査をスケジュールすることで、安全な構成、パスワードポリシー、アクセス制御要件への準拠を確保できます。内部で構築されたベンチマークに対してネットワークセキュリティを評価することで、脅威を軽減しやすくなります。