セクションを選択

侵入検知/防止システム (IDPS) とは

掲載 2023年 9月 27日
URL をコピー

概要

侵入検知/防止システム (IDPS) とは、ネットワークを監視して脅威を検知し、検知された脅威を阻止するための措置を講じるソリューションです。

IDPS は侵入検知システム (IDS) と密接な関わりがあります。どちらのシステムも脅威を検知してそれに関するアラートを送信するものですが、それらの脅威への対処も試みるのが IDPS です。

IDPS は侵入防御システム (IPS) と呼ばれることもあります。IDPS と IPS という用語はほぼ同じ意味で使われていますが、IPS について言及されている場合、IDPS の脅威ハンティング機能を指していることがほとんどです。

自動化によるセキュリティ運用の単純化について学ぶ

IDPS の仕組み

IDPS は、ベンダー、選択したデプロイ方法、デプロイする組織のニーズによって、複数の異なる方法で機能します。

IDPS の種類

ネットワークベースの IDPS

ネットワークベースの IDPS (NIPS) とは、ネットワーク内の特定のポイントに設置され、そのネットワークのすべてのトラフィックを監視して脅威をスキャンする IDPS です。NIPS は通常、アクティビティを分析し、セキュリティ専門家が手動で設定した既知の攻撃のデータベースと照合することでこれを実行します。アクティビティがデータベース内の既知の脅威と一致した場合、そのアクティビティによるネットワークの使用は許可されません。NIPS は多くの場合、ルーターやモデム、ファイアウォールの背後、ネットワーク・リモート・アクセス・ポイントなど、ネットワークの境界にデプロイされます。

NIPS には 2 つのサブカテゴリーがあります。

  • 無線侵入防止システム (WIPS) は、ネットワークの無線周波数を分析することにより、無線ネットワークに不正なアクセスポイントや認識されていないデバイスが存在しないか監視します。WIPS はワイヤレスネットワークや、不正なワイヤレスアクセスに対して脆弱な場所にデプロイされます。
  • ネットワーク動作分析 (NBA) システムは、ネットワークトラフィックに異常なアクティビティパターンがないかチェックします。例えば、分散型サービス拒否 (DDoS) 攻撃では、ネットワークの処理能力を超える大量のリクエストがネットワークに送られます。それぞれのリクエストは単体では正当であるかもしれませんが、大量に送られることで問題を引き起こします。NBA システムは多くの場合、組織の内部ネットワークで標準的な NIPS を強化します。

ホストベースの IDPS

ホストベースの IDPS (HIPS) は、単一のホスト (通常、重要なデータを持つキーサーバー、または組織の内部ネットワークへのゲートウェイであるパブリックサーバー) にデプロイされます。HIPS は、ホストシステム上のトラフィックフローのみを監視します。HIPS は通常、ホスト・オペレーティングシステムのアクティビティとインターネット・プロトコル・スイート (TCP/IP) のアクティビティを検出するように設定されています。

検出方法

IDPS はさまざまな技法を使用して脅威を特定します。これらの技法は、大きく分けて 3 つのカテゴリーに分類されます。

  • 署名ベースの脅威の検出では、監視されたアクティビティを、過去に特定された脅威の署名 (一意のパターンまたは識別子) が登録されているデータベースと照合します。この方法はよく知られた脅威を検出するのには適していますが、新しい脅威は検出されません。
  • 異常ベースの脅威の検出では、無作為に選択されたネットワーク・アクティビティを、ネットワーク・アクティビティのベースライン基準と照合します。無作為に選択されたものがベースラインと異なる場合、アクションが実行されます。この検出方法では新しい脅威を捉えることはできるものの、署名ベースの脅威の検出よりも誤検出が多くなります。IDPS の機能の中でも、人工知能機械学習のアルゴリズムの進歩によって最も強化されたのが、異常ベースの脅威の検出です。
  • プロトコルベース (またはポリシーベース) の脅威の検出は、署名ベースの脅威の検出と似ていますが、組織が定義した特定のプロトコルのデータベースを使用し、そのプロトコルに違反するアクティビティをすべてブロックします。プロトコルはセキュリティの専門家が手動で設定しなければなりません。

予防的アクション

IDPS が脅威を検出すると、設定方法や検出した脅威の種類に応じて、いくつかのアクションを取ることができます。攻撃に対する一般的な予防的アクションは以下の通りです。

  • 管理者への警告:この最も基本的なタイプの対策では、IDPS は侵入検知システムのように人間のセキュリティ管理者に警告を発します。このような警告は、自動的な処置が適切でない可能性がある場合、またはシステムが誤検出かどうか確信が持てない場合に作成されます。
  • 警戒追放の実施: IDPS がこのアクションを取ると、脅威となる IP アドレスからのトラフィックやフラグが立てられたユーザーをブロックすることで、インシデントの発生を未然に防ぎます。よくある例として、パスワードチェックに何度も失敗した IP アドレスをブロックすることなどが挙げられます。
  • セキュリティ環境の変更: 警戒追放と似ていますが、この技法は IDPS にネットワークのセキュリティ設定を変更させ、脅威がアクセスできないようにします。この対応の例として、ファイアウォールの再設定が挙げられます。
  • 攻撃内容の変更: この技法では、攻撃の内容が自動的に変更されます。例えば、不審な E メールにフラグが立てられた場合、IDPS はその E メールの添付ファイルなど、ネットワークにとって悪意のあるコンテンツを含む可能性のあるあらゆる要素を削除します。

IDPS のメリット

IDPS は、企業のセキュリティチームにとっても、組織全体にとっても有益なツールとなり得ます。IDPS は以下のようなことに役立ちます。

  • アクティビティをスキャンし、人手を介さずに脅威に対応する: 多くの場合、複雑な脅威への対応は人による介入を必要としますが、IDPS は単純な脅威に対しては体系的で迅速な対応を可能にし、複雑な脅威に対してはより迅速な人手の介入のためにフラグを立てることができます。その結果、セキュリティチームは脅威が被害をもたらす前に対応することができ、増加し続ける脅威に対処することができます。
  • すり抜ける可能性のある脅威を見つける: IDPS は、特に異常ベースの検知を使用している場合、人間のセキュリティ専門家が見逃してしまうような脅威を検出することができます。
  • ユーザーポリシーとセキュリティポリシーを継続的に実施する: IDPS のルールベースの性質により、脅威の検出は一貫した方法で適用されます。
  • コンプライアンス要件を満たす: IDPS の使用により、個人データを扱う人の数を減らすことができます。個人データを扱う人数の削減は、多くの業界で規制要件となっています。

Red Hat のサポート内容

Red Hat® Ansible® Automation Platform は、Playbook、ローカルのディレクトリサービス、統合ログ、および外部アプリケーションを使用して セキュリティ・ソリューションを自動化し、IT セキュリティチームが協調的かつ統一的な方法で脅威に対応できるようにします。

セキュリティチームは、Ansible Automation Platform を使用して、エンタープライズ・ファイアウォール、セキュリティ情報およびイベント管理 (SIEM) システム、IDPS、特権アクセス管理 (PAM) ソリューションなど、複数の異なるエンタープライズ向けセキュリティ・ソリューションをオーケストレーションし、これらの統合されていないツールを統合されたセキュリティ装置につなげることができます。

Ansible Automation Platform を IDS や IDPS と併用すべき理由

Ansible Automation Platform は、さまざまなセキュリティ・テクノロジーを統合するための中心的なハブとして機能し、企業のセキュリティ・ソリューションの自動化を支援します。Ansible Playbook を使用すると、あるセキュリティツールの出力を別のセキュリティツールが自動的に読み込むことができます。複数のセキュリティツールの相互的な連携こそ、IDPS の中心的な機能である脅威ハンティングの中核的な要素です。Ansible Automation Platform を使用すると、次のことができるようになります。

  • 動的かつ柔軟な方法で新しい IDPS ルールをデプロイし、その後、新しい IDPS ルールとそれに付随する SIEM 間の構成を自動化します。
  • 署名管理を容易にし、セキュリティ勧告から入手した署名を使用して IDPS に自動アップデートを統合できるようにします。
  • SIEM システム内の検索とイベント自動化を関連付けることができます。これにより、アナリストは、他のセキュリティデバイスで実行されたアクションや変更に基づいて、新しいアラートを生成することができます。

Ansible Automation Platform は、組織のすべてのインフラストラクチャやネットワークにセキュリティ・ソリューションを接続することができます。つまり、さまざまなセキュリティ・ソリューションを自動化して統合することで、キュレートされたモジュール、ロール、Playbook を使用して、調整および統一された方法でエンタープライズ全体の脅威に対応することができます。

また、Red Hat とパートナーによって認定された、信頼できる認定コンテンツコレクションを活用することもできます。IT 環境と管理プロセスのあらゆる側面を自動化できる数百のモジュールにアクセスできる Ansible Automation Platform により、セキュリティチームが協力して作業できるようになり、複雑なセキュリティ境界をより確実に保護できるようになります。

セキュリティ自動化ユースケースを見る

関連資料

記事

DevSecOps とは

DevOps によるアジリティと応答性を存分に利用したいのであれば、アプリケーションのライフサイクル全体を通じて重要な役目を果たす IT セキュリティが不可欠です。

記事

クラウドセキュリティの特徴とは

高度なセキュリティ問題は、従来の IT システムとクラウドシステムの両方に影響します。クラウドセキュリティの特徴をご覧ください。

記事

SOAR とは

SOAR とは、セキュリティチームが使用する 3 つの主要なソフトウェア機能を指します。すなわち、ケースおよびワークフロー管理機能、タスクの自動化機能、および脅威インテリジェンスへのアクセス、クエリ、共有を一元化する手段が含まれます。

セキュリティの詳細はこちら

製品

Red Hat Certificate System

ユーザーの ID を管理し、通信の機密性維持を支援するセキュリティ・フレームワーク。

Red Hat Advanced Cluster Security Kubernetes

クラウドネイティブ・アプリケーションのより安全な構築、デプロイ、実行を可能にする、エンタープライズ向けの Kubernetes ネイティブのコンテナ・セキュリティ・ソリューション。

Red Hat Insights

Red Hat インフラストラクチャのセキュリティ、パフォーマンス、可用性に対する脅威の特定と修復に役立つ予測分析サービス。

Red Hat Advanced Cluster Management Kubernetes

Kubernetes クラスタとアプリケーションを制御する、セキュリティポリシーを組み込んだ単一のコンソール。

関連記事

リソース

e ブック

セキュリティ運用センターを単純化する

概要

包括的な DevSecOps ソリューションのデプロイ方法

関連資料

チェックリスト

クラウド・コンピューティングでセキュリティ機能をサポートする 6 つの方法

 

ホワイトペーパー

コンテナおよび Kubernetes セキュリティへの階層型アプローチ

データシート

Red Hat Insights の IT リスクの予測分析

アナリスト資料

日本はオープンvRANのグローバルリー ダー

チェックリスト

仮想無線アクセスネットワーク成長のための3つの重要な検討事項

eブック

2023 年版 Kubernetes のセキュリティの現状に関するレポート

技術の詳細

エンタープライズ向けオープンソースの現状:Red Hat レポート

eブック

ハイブリッドクラウド・セキュリティを強化する