IDS/IPS とは

IDS/IPS とは

侵入検出とは、ネットワークトラフィックを監視し、侵害の企図やネットワークへの緊急の脅威となりえるインシデントなど、侵入の兆候を分析するプロセスです。その面で、侵入防御は侵入検出を実行し、検出されたインシデントを阻止するプロセスであり、通常はパケットのドロップやセッションの終了により行われます。これらのセキュリティ対策は、侵入検出システム(IDS)および侵入防御システム(IPS)として利用できます。これらは、潜在的なインシデントを検出および阻止するために取られるネットワークセキュリティ対策の一部であり、次世代ファイアウォール(NGFW)内の機能に含まれています。

IDS/IPSのメリットとは?

IDS/IPSは、ネットワーク上のすべてのトラフィックを監視し、既知の悪意のある動作を特定します。攻撃者は、デバイス内またはソフトウェア内の脆弱性を侵害することで、ネットワークに侵入します。IDS/IPSは、これらの侵害の企図を特定し、それらがネットワーク内のエンドポイントに侵入する前にブロックします。IDS/IPSは、攻撃者がネットワークに関する情報を集める間にそれらを阻止できるため、ネットワークエッジとデータセンター内の両方で、必要なセキュリティテクノロジーです。

IDS の仕組み

3つのIDS検出方法は、通常インシデントの検出に使用されます。

  • シグネチャー ベース検出は、観測されたイベントとシグネチャーを比較し、潜在的なインシデントを特定します。これは最もシンプルな検出方法で、文字列比較演算を使用して、アクティビティの現在のユニットのみを比較します(パケットや署名リストへのログエントリーなど)。
  • 統計的異常ベース検出は、通常のアクティビティと観測されたイベントを比較し、有意な違いを特定します。この検知方法は、既知の脅威を発見するのに非常に効果的です。
  • ステートフル プロトコル解析は、各プロトコル状態の無害なアクティビティとして一般的に受け入れられる定義済みプロファイルを観測されたイベントと比較し、違いを特定します。

IDS/IPS にできること

侵入検出システム(IDS)および侵入防御システム(IPS)は、常にネットワークを監視し、潜在的なインシデントの特定、それらに関する情報のログ記録、インシデントの阻止、セキュリティ管理者への報告を行います。それに加え、ネットワークによっては、IDS/IPS を使用してセキュリティ ポリシーに起きた問題を特定し、個人によるセキュリティ ポリシーの侵害を回避することもあります。IDS/IPS がセキュリティ インフラストラクチャに必要な追加機能になったのは、ネットワークの情報を収集中の攻撃者を阻止できることが理由です。

ジュニパーのIDSとIPS

ジュニパーネットワークスの、vSRXおよびcSRXを含むSRXシリーズファイアウォールは、侵入検出および防御(IDP)サービス向けに完全な機能を備えています。選択したSRXシリーズデバイスまたは、firewall-as-a-serviceを提供するセキュアエッジサービスを通過するネットワークトラフィック上で、選択的にさまざまな攻撃検出および防御技術を適用できます。ポリシー ルールを定義して、ゾーン、ネットワーク、アプリケーションをベースにしたトラフィックのセクションと一致させ、そのトラフィック上で能動的または受動的な防御対策を実行できます。SRXシリーズとセキュアエッジサービスは、両方とも堅牢で継続的に更新されるIPS署名を含んでおり、攻撃に対してネットワークを保護します。SRXシリーズは、ジュニパーSecure Analytics(JSA)などの、すべてのセキュリティインシデントとイベント管理システム(SIEM)にIDPログを転送できます。

IDSとIPSに関するよくある質問

ファイアウォールは、IDSあるいはIPSなのですか?

ええ真の次世代ファイアウォールには、IDSとIPS機能が含まれます。しかし、すべてのファイアウォールが次世代ファイアウォールというわけではありません。また、IDSとIPSが侵害の企図を検出・警告またはブロックする一方で、ファイアウォールは、設定によってネットワークトラフィックをブロックし、フィルタリングします。IDSとIPSは、設定されたポリシーに従い、ファイアウォールがトラフィックをフィルタリングした後にトラフィックを実行します。

IDSとIPSの実装方法とは

侵入検出システム(IDS)は、攻撃やテクニックの特定を担当し、聞き取り専用モードでアウトオブバンドで導入される場合が多いため、すべてのトラフィックを分析し、疑わしい、または悪意のあるトラフィックからの侵入イベントを生成できます。 

侵入防御システム(IPS)は、トラフィックのパスに導入されるため、すべてのトラフィックがその宛先に進むには、アプライアンスを通過する必要があります。悪意のあるトラフィックを検出すると、IPSは接続を遮断し、セッションまたはトラフィックをドロップします。

IPSはトラフィックをブロックできますか?

はい。IPSは、ネットワークを保護するために、既知の侵害がないかトラフィックをコンスタントに監視します。その後、IPSはトラフィックを既存の署名と比較します。一致する場合、IPSは次の3つのアクションのうち1つを実行します。1)トラフィックを検出し記録する、2)トラフィックを検出およびブロックする、または3)(推奨オプション)トラフィックを検出、記録、ブロックする。 

IDSが検出できるものとは

IDSは、既知の侵害、悪意のある行動、および攻撃技術に基づいて、脅威を検出します。また、効果的なIDSは、遠隔手続呼び出し(RPC)のフラグメント化、HTMLパディング、およびその他のタイプのTCP/IP操作など、攻撃者が侵害行為を隠すのに使用する見つけにくいテクニックも検出します。

ジュニパーのIDS/IPSが、検出およびブロックできるものに関する詳細については、当社のシグネチャページをご覧ください。

IPSはDDoSを防げるのか

IPSは、特定のタイプのDDoS(分散型サービス拒否)攻撃を防ぐことができます。例えば、アプリケーションサービス拒否(AppDoS)攻撃は、IPS機能が特定および保護できる脅威カテゴリーの1つです。しかし、大量のDDoS脅威には、ジュニパーのCorero DDoS製品などの専用のソリューションが必要です。

ジュニパーが提供する、IDSおよびIPSテクノロジー、ソリューション、製品にはどのようなものがありますか?

ジュニパーは、すべてのジュニパーの次世代ファイアウォール製品とサービスに導入される単一のソフトウェアサブスクリプションを介して、IDSとIPSソリューションの両方を提供します。物理、仮想、およびコンテナ化されたSRXファイアウォール、またはジュニパーセキュアエッジ内のサービスとして。