不正侵入防御システム(IPS)とは?仕組みと対策の重要性
DXを学びたい
先生、IPSって、不正な通信を止めるものなんですよね?でも、どうやって悪い通信だって見分けるんですか?
DXアドバイザー
いい質問ですね。IPSは、まるで用心棒のように、あらかじめ登録された「悪い通信のパターン」と照らし合わせて通信をチェックしているんです。もしパターンに一致するものが見つかれば、それを遮断する、という仕組みです。
DXを学びたい
パターンに一致するものだけを止めるんですね。じゃあ、まだ誰も知らない新しい攻撃には対応できないってことですか?
DXアドバイザー
その通りです。だからこそ、IPSは常に最新のパターンに更新する必要がありますし、他のセキュリティ対策と組み合わせて使うことが大切なんですよ。
IPSとは。
「デジタル変革」に関連する『侵入防御システム』とは、サーバーやネットワークへの不正な通信を検知し、それを遮断して防ぐための道具のことです。これは、不正な侵入を検知して知らせる侵入検知システムに、不正な通信を阻止する機能を追加したものです。ネットワーク型とホスト型の二種類があります。ネットワーク型は、サーバーとネットワークの境界に設置される専用の機器で、不正侵入の特徴的な通信パターンを記憶し、それに合致する接続を遮断したり、通知したりします。ホスト型は、サーバーにソフトウェアとして導入され、不正侵入を監視し、阻止します。
不正侵入防御システムの基本的な概念
不正侵入防御機構(以下、防禦機構と記述します)は、情報基盤の保全に欠かせない要素です。近年、高度化する電子計算機攻撃から組織を守るため、その重要性は増しています。防禦機構は、通信網や情報処理装置に対する不正な侵入を察知し、自動で防ぐ仕組みです。従来の侵入検知機構(以下、検知機構と記述します)が不正な動きを察知して管理者に知らせるだけだったのに対し、防禦機構は、不正な通信を遮断したり、攻撃を阻止したりする機能を持ちます。例えば、ウェブサイトへの攻撃や、機密情報の窃取を試みる不正な通信を察知した場合、即座に遮断し、安全を確保します。また、防禦機構は外部からの攻撃だけでなく、内部からの不正な動きも監視します。従業員が許可されていない情報にアクセスしたり、機密情報を外部に送ろうとしたりする行為を察知し、阻止します。防禦機構は多層防禦の一部として、組織の情報保全を強化する上で重要な役割を担います。
| 特徴 | 侵入検知機構 | 不正侵入防御機構 |
|---|---|---|
| 役割 | 不正な動きを察知し、管理者に通知 | 不正な侵入を察知し、自動で防御 (遮断、阻止) |
| 対応 | 通知のみ | 遮断、攻撃阻止 |
| 監視対象 | – | 外部からの攻撃、内部からの不正な動き |
| 重要性 | – | 情報基盤の保全に不可欠、多層防御の一部 |
ネットワーク型とホスト型の違い
侵入防御システムには、大きく分けて網型と宿主型の二種類があります。網型は、通信網の出入り口に専用の機器として設置され、通信網全体を流れる通信を監視し、不正な通信を検知します。攻撃の特徴的な通信のパターンをあらかじめ記憶しており、それに一致する通信を遮断したり、管理者に知らせたりします。通信網全体を保護するのに適しており、比較的容易に導入できるという利点があります。一方、宿主型は、情報処理装置や端末に軟体として導入されます。特定の情報処理装置や端末を詳細に監視し、不正な活動を検知します。例えば、ファイルへの不正なアクセスや、システムの異常な動作などを監視することができます。宿主型は、特定のシステムをより深く保護するのに適しており、網型では検知できないような攻撃を検知できる可能性があります。どちらの方式を選ぶかは、保護したい対象や、組織の安全対策の方針によって異なります。多くの場合、両方の方式を組み合わせて使用することで、より強固な安全体制を構築することができます。
| 種類 | 特徴 | 利点 | 適した用途 |
|---|---|---|---|
| 網型 | 通信網の出入り口に設置、通信網全体を監視 | 通信網全体を保護、比較的容易に導入可能 | 通信網全体の保護 |
| 宿主型 | 情報処理装置や端末にソフトウェアとして導入、特定のシステムを詳細に監視 | 特定のシステムをより深く保護、網型では検知できない攻撃を検知可能 | 特定のシステムの保護 |
不正侵入防御システムの仕組み
不正侵入防御機構(以下、防御機構)は、大きく分けて二つの基盤技術で不正な侵入から守ります。一つは「特徴照合方式」です。これは、過去に確認された攻撃の特徴を記録した一覧表(特徴一覧)を備え、通信やシステムの動きがこの一覧と一致するかを監視する方法です。既知の攻撃に対しては高い精度を発揮しますが、未知の攻撃には対応できません。もう一つは「異常検知方式」です。これは、普段のシステムの正常な状態を学習し、そこから外れた動きを検知します。例えば、通常とは違う時間に大量の通信が行われたり、普段は使われないファイルへのアクセスがあった場合に、それを異常として捉えます。この方式は、未知の攻撃にも対応できる可能性がありますが、正常な動きを誤って攻撃と判断してしまうことがあります。防御機構は、これらの方式を組み合わせて使うことで、より効果的に不正侵入を防ぎます。特徴照合方式で既知の攻撃を防ぎつつ、異常検知方式で未知の攻撃に備えるというように、それぞれの弱点を補い合うことが大切です。また、防御機構は、不正な侵入を検知すると、自動的に防御のための措置を取ることができます。例えば、不正な通信を遮断したり、攻撃元の接続元情報を遮断したり、管理者に警告を送ったりします。このように、防御機構は、システム全体の安全を自動的に保つために重要な役割を果たします。
| 防御機構 | 特徴照合方式 | 異常検知方式 |
|---|---|---|
| 概要 | 既知の攻撃の特徴一覧と照合 | 正常な状態からの逸脱を検知 |
| メリット | 既知の攻撃に高い精度 | 未知の攻撃に対応可能 |
| デメリット | 未知の攻撃には対応不可 | 正常な動きを誤検知する可能性 |
| 対策 | – | – |
| 役割 | 両方式を組み合わせ、弱点を補い合い、不正侵入を防御 | |
| 検知後の措置 | 不正な通信の遮断、接続元情報の遮断、管理者への警告 | |
導入と運用における注意点
不正侵入防御装置を導入するにあたり、留意すべき点がいくつかあります。まず、組織の通信網環境と保護対象となる情報システムを深く理解することが重要です。その上で、通信網の規模や構造、情報システムの重要度、そして予算などを考慮し、最適な製品を選定する必要があります。導入後も継続的な運用と管理が不可欠です。常に最新の攻撃手法に対応できるよう、定義ファイルを更新し、誤った検知を減らすために調整が求められます。また、不正侵入防御装置が検知した事象を定期的に分析し、攻撃の傾向を把握することで、より強固な防御体制を構築できます。運用体制の整備も重要です。担当者を配置し、適切な教育を行う必要があります。緊急時の対応手順を明確化しておくことも大切です。大規模な攻撃が発生した場合に、誰がどのような対応を行うのかを事前に決定しておく必要があります。不正侵入防御装置は、導入するだけでなく、適切に運用・管理することで最大限の効果を発揮します。導入後の運用体制構築にも注意を払い、専門家の支援を得ながら、組織の保安に関する方針に沿った運用を行うことが重要です。
| 段階 | 留意点 |
|---|---|
| 導入前 |
|
| 導入後 |
|
| 全体 |
|
不正侵入防御システムの将来展望
近年、情報通信網への不正侵入は巧妙さを増し、防御システムの重要性は高まっています。従来型の、既知の攻撃パターンを基にした防御に加え、今後は人工知能や機械学習を活用した、高度な異常検知技術が不可欠になると考えられます。人工知能の活用により、従来では見つけられなかった未知の攻撃も検知できるようになるでしょう。また、 cloud 環境への対応も重要です。cloud 環境に特化した不正侵入防御システムへの需要が高まると予想されます。さらに、自動対応機能の強化も期待されています。不正な侵入を検知するだけでなく、自動で防御措置を講じることができれば、担当者の負担を減らし、迅速な対応が可能になります。防御システムは常に進化する不正な侵入に対応するため、技術革新が求められます。最新技術を積極的に取り入れ、高度で効率的な防御システムを構築することが重要です。企業や組織は、不正侵入防御システムを適切に運用し、情報資産を守り、事業を継続していく必要があります。
| 脅威 | 従来の対策 | 今後の対策 | 追加要件 |
|---|---|---|---|
| 巧妙化する不正侵入 | 既知の攻撃パターンに基づく防御 | AI/機械学習による異常検知 (未知の攻撃に対応) | Cloud環境への対応、自動対応機能の強化 |