IDS/IPS とは

IDS/IPS とは

侵入検出とは、ネットワークに発生するイベントを監視し、セキュリティ ポリシーに対するインシデントや脅威、侵害、緊急の脅威の兆候を分析するプロセスのことです。侵入防御とは、侵入検出を実施し、検知インシデントを阻止するプロセスのことです。これらのセキュリティ対策は、侵入検出システム(IDS)および侵入防御システム(IPS)として利用可能です。これらはネットワークの一部となり、潜在的なインシデントの検知および阻止を行います。

IDS/IPS が対処する問題

典型的なビジネス ネットワークには、他のネットワーク(パブリックおよびプライベートの両方)に複数のアクセス ポイントがあります。課題はこれらのネットワークをお客様に公開しながら、そのセキュリティを維持することです現在の攻撃は非常に洗練されているため、優れたセキュリティ システムでも回避してしまいます。特に悪質なものになると、セキュリティ システムが暗号化やファイアウォールでネットワークを防御している状態でも動作可能です。残念ながら、それらのテクノロジー単独では、今日の攻撃に十分に対抗できません。

IDS/IPS にできること

侵入検出システム(IDS)および侵入防御システム(IPS)は、常にネットワークを監視し、潜在的なインシデントの特定、それらに関する情報のログ記録、インシデントの阻止、セキュリティ管理者への報告を行います。それに加え、ネットワークによっては、IDS/IPS を使用してセキュリティ ポリシーに起きた問題を特定し、個人によるセキュリティ ポリシーの侵害を回避することもあります。IDS/IPS がセキュリティ インフラストラクチャに必要な追加機能になったのは、ネットワークの情報を収集中の攻撃者を阻止できることが理由です。

IDS の仕組み

インシデントの検知には、主に 3 つの IDS 検出手法があります。

  • シグネチャー ベース検出は、観測されたイベントとシグネチャーを比較し、潜在的なインシデントを特定します。これは最もシンプルな検出方法で、文字列比較演算を使用して、アクティビティの現在のユニットのみを比較します(パケットやログ エントリとシグネチャーのリストなど)。
  • 統計的異常ベース検出は、通常のアクティビティと観測されたイベントを比較し、有意な違いを特定します。この検知方法は、既知の脅威を発見するのに非常に効果的です。
  • ステートフル プロトコル解析は、各プロトコル状態の無害なアクティビティとして一般的に受け入れられる定義済みプロファイルを観測されたイベントと比較し、違いを特定します。

ジュニパーネットワークスの実装

ジュニパーネットワークスは、SRXシリーズサービスゲートウェイを使用して侵入検出および防止(IDP)サービスをご提供します。選択した SRX シリーズ デバイスを通過するネットワーク トラフィックに、さまざまな攻撃検知および防御テクニックを選択的に適用できます。ポリシー ルールを定義して、ゾーン、ネットワーク、アプリケーションをベースにしたトラフィックのセクションと一致させ、そのトラフィック上で能動的または受動的な防御対策を実行できます。SRX シリーズ デバイスには、攻撃に対するネットワークの安全を確保するための IPS シグネチャー セットが完備されています。ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新します。SRXシリーズデバイスは、PCAP Syslog Combination Protocolを使用して、トラフィックからパケットキャプチャ(PCAP)データをジュニパーネットワークスSecure Analytics(JSA)アプライアンスに転送することができます。