IPSとは？その機能と活用シーンについて

IPSとは、不正な通信によるネットワークへの侵入を防止する機能をもったネットワークセキュリティシステムです。正式名称は「Intrusion Prevention System」、日本語では「侵入防止システム」と訳されることが一般的です。

ネットワーク上やホスト上に設置する機器や装置といった形式で提供されます。

先日公開した記事「IDSとは？その機能と活用シーンについて」でIDSの概要について説明いたしましたが、今回はこのIDSに非常に近い機能を持つ「IPS」というセキュリティシステムのご紹介をさせていただきます。

IPSの機能とは

IPSはネットワーク上およびシステムを通過するトラフィックを監視し、不正な通信を防止する機能を機能を持ちます。

具体的には、ネットワークパケットの内容を確認することで、存在する疑わしい不正なアクティビティや既知の脅威を検索、情報を収集し、該当する通信を検知した場合にはアクセスを遮断するなどの対策を実施します。

IPSのこの機能は先日ご紹介したIDSとよく似ています。
では、機能のどこに違いがあるのでしょうか。

IPSとIDSの機能の違いは不正な通信を検知した後の動作です。

IDSは不正な通信を検知した後、管理者側にアラートを通知します。
つまり通信を防止、遮断するなどの対策は実施しません。

対して、IPSは防止、遮断等の対応を実施します。
簡単に整理すると以下の通りになります。

IDSとIPSはその機能が相互補完の関係性にも有り「IDPS」（不正侵入検知防御サービス）と総称されることもあります。

それではIPSは具体的にどのようなアクションで不正な通信に対処するのでしょうか。

具体的には以下のような動作をします。

検知の動作

• シグネチャ型：既知の不正な通信パターンや攻撃方法にマッチングするものを対象として検知する。
• アノマリ型：ネットワークパケットやトラフィックを分析し、統計的に異常なパケットを攻撃として検知する。

防止の動作

• 悪意のあるネットワークパケットをドロップ（意図的に遮断）する
• 送信元アドレスからのトラフィック（接続）をブロックする
• ネットワーク接続をリセットする
• 管理者にアラートを送信する（IDSと同様の機能）

さらに重要なことはIPSは検知、防止すべき通信パターンについて、随時設定の変更を行うなどのチューニング（調整）が必要であるということです。

このチューニングが適切にされていない場合、不正な通信を見逃してしまったり、逆の正常な通信を不正な通信として検知してしまう誤検知（False Positive）などの自体が発生します。

そのため、IPSを日々運用する中で通信を記録しているログなどの情報から、不正なアクセスの可能性や傾向を見極め適切なチューニングを施していきます。

IPSの活用シーンについて

IPSはファイヤーウォールでは検知できない不正なアクセスに対して対処が可能です。
そのため、ファイヤーウォールと併用する形で利用されることが一般的です

先述の通り、IDSは侵入を検知し、アラートを送信することが主要な機能です。
そのため、IDSのみでセキュリティの機構を構成することは稀であり、防止機能を持ったセキュリティシステムやセキュリティ製品と組み合わせるか、統合的なセキュリティマネージメントシステムの一部として利用されるパターンが一般的です。

また、先述のIPS（侵入防止システム）は、IDSの侵入検知の基本機能を拡張するために作られています。

IDS単独で活用するというシーンは現実的に考えづらいのが現状です。

IPSの種類

それでは、IPSにはどのような種類があるのでしょうか？

IPSはホストベースとネットワークベースの2つの大きなカテゴリに分類ができます。
これら2つのカテゴリは、IPSが設置され、不正な通信を防止する場所ごとに分けられています。

ネットワーク型

ネットワーク型は監視対象となるネットワーク上に設置します。
ネットワークに流れるデータ（パケット）を監視することが可能です。

また、ネットワーク型は直接設置されているネットワークセグメントのみが検知対象となります。
たとえば社内のネットワークやファイアウォールの外側など、監視したいネットワークセグメントが複数あれは、各々のネットワーク上にIPSを設置する必要があります。

ホスト/エンドポイント型

ホスト/エンドポイント型は、監視対象のクライアントPCやサーバーなどに個々にインストールするタイプのIPSです。
そのため、監視対象となるサーバーなどの機器が複数ある場合は、それぞれの機器へインストールする必要があります。

IPSで検知・防御できる攻撃の種類

IPSで検知できる攻撃としてはどのような種類があるのでしょうか。

先述の通り、IPSはネットワークの中身（ネットワークパケット）を確認して、不正な通信かについて検知、不正な通信であると判断した場合には防止などの対処方法をとります。

逆にいうと、送信元のIPアドレスが不正であるかなどの判断はIPSにおいて対象外となります。

ゆえに正常な送信元から不正な内容や大量のデータを送りつけるような攻撃への対処に有効です。
攻撃手法の例を以下でご紹介します。

DDoS攻撃/DoS攻撃

DDoS攻撃/DoS攻撃とは、ネットワークを通じて大量のデータなどを攻撃対象へ送り付けて、対象のシステムが正常に動作できない状態に追い込む攻撃です。

Smurf attack（スマーフ攻撃）

Smurf attack（スマーフ攻撃）は攻撃対象のサーバーに大量の偽パケットを送付することで、ターゲットとなるコンピューターを機能停止に追い込むDoS攻撃の一種です。

※この攻撃では「ping（ピング）」コマンドで利用するICMP（Internet Control Message Protocol）プロトコルを利用することで、送信元IPアドレスを偽装し、特定の標的へ大量にパケットを送りつけます。

Ping of Death（PoD 攻撃）

ping（ピング）コマンドで利用するICMP（Internet Control Message Protocol）プロトコルをを悪用し、相手方の受信不可能なサイズのデータを送りつける攻撃手法です。

Synフラッド攻撃

Synフラッド攻撃とは、ネットワークで相手に接続する際の接続要求データ（SYNパケット）のみを対象へ大量に送り付けることによって、相手が新しい接続を受け付けられないようにする攻撃のことです。

検知回避を狙うSSLを用いた攻撃

SSL（Secure Sockets Layer）/TLS（Transport Layer Security）による通信暗号化の盲点を悪用し、SSL/TLSを使用して悪意のあるコンテンツを隠し、検出を回避し、侵入します。

IPフラグメンテーション攻撃

IPフラグメンテーション攻撃はデータグラムの断片化メカニズムを悪用してネットワークリソースを圧倒し、TCP/UDPデータグラムの再構築方法に関してターゲットシステムを混乱させます。

ポートスキャン

ポートスキャンはサーバーなどのネットワーク機器に対して、接続できるサービスを探り、解放されているポート番号を調べる行為です。

ポートスキャン自体は問題ありませんが、サイバー攻撃において、攻撃者はこれから行おうとしている攻撃のための調査として、ポートスキャンを行います。
そのため、ポートスキャンを検知、防止することはサイバー攻撃への予防とも言えるでしょう。

ARPスプーフィング

ARPスプーフィング攻撃は偽のアドレス解決プロトコル（ARP）メッセージを送信し、そのシステムから攻撃者にトラフィックを転送します。

バッファオーバーフロー攻撃

バッファオーバーフローはシステムがあらかじめ確保しているバッファ領域（メモリ上のデータを格納する領域）に領域以上の大きなサイズのデータを送りつけることでバッファ領域を溢れ（フロー）させ、予期せぬ動作を発生させたりシステムの操作権を奪う攻撃です。

IPSでは検知できない攻撃

先述の通りIPSはネットワーク/OS上かつネットワークパケットが不正なデータを含む攻撃に対する検知が可能です。
そのため、それ以外の攻撃は検知対象外となります。

特にWebアプリケーションレベルの脆弱性を悪用した攻撃は防ぐことはできません。
ファイアウォールはもちろん、WAF（Web Application Firewall）といったセキュリティ対策や、日頃からの脆弱性診断などを併用し、総合的なセキュリティ対策を実施することをおすすめします。

さいごに

IPSに限らずシステムのすべてのセキュリティを単一のセキュリティ製品などで賄うことは現在の多様化したサイバー攻撃に対しては現実的ではありません。

ファイヤーウォール、SAST、DAST、IAST、SCAなどさまざまな製品が存在するなか、脆弱性や不具合などさまざまな箇所がサイバー攻撃の原因になりえます。

多様化するサイバーセキュリティに対してはぜひ横断的かつ総合的な対策を検討することをオススメいたします。