IPS【Intrusion Prevention System】侵入防止システム

概要

防御の対象によって、複数の機器で構成されるネットワークを保護する「ネットワーク型IPS」（NIPS：Network-based IPS）と、外部に公開しているサーバなど特定の一台の機器を保護する「ホスト型IPS」（HIPS：Host-based IPS）に大別される。

ネットワーク型IPS （NIPS）

NIPSはネットワーク境界などに設置され、内外の通信をリアルタイムに監視する。不正の兆しのある通信を発見すると記録をとって管理者に知らせ、当該アドレスからのアクセスを遮断するなどの防御措置を発動する。

ゲートウェイサーバなどの機能の一つとしてIPSの役割を持たせる場合と、専用の通信機器（アプライアンス）を用いる場合がある。対象の個々のコンピュータにソフトウェアの導入や設定の変更などを行う必要がなく、ネットワーク上のすべてのコンピュータに対する攻撃を一台でまとめて監視できる。

ホスト型IPS （HIPS）

HIPSはサーバに常駐して動作するソフトウェアで、そのサーバと別のコンピュータの通信を監視する。NIPSと同じように攻撃を検知すると通信を遮断するなどの措置を取り、通信記録の保全や管理者へ通報などを行う。

ソフトウェアの脆弱性や異常動作を悪用した攻撃をOSレベルで防いだり、一般利用者のアカウントによる管理者権限の取得を禁止したり、アクセスログの改竄を防いだりといった、ネットワーク型では難しい機能も提供する。HIPSが動作しているコンピュータに対する攻撃しか対処できないため、コンピュータごとに個別に導入・設定を行う必要がある。

検知手法

不正な通信の検知手法には主に二つの方式がある。「シグネチャ検知」（不正検出）と呼ばれる方式は、既知の攻撃手法について特徴的なパターンを登録したデータベースを用意し、パターンに一致するデータを含むパケットが見つかると攻撃の徴候として検出する手法である。誤検知の可能性は低いが未知の手法による攻撃は見過ごしてしまう場合もある。

もう一つは「アノマリ検知」（異常検出）と呼ばれる方式で、普段とは大きく異なる事態や通常はありえない行動などを検知する手法である。いつもと異なる使い方などをすると攻撃と誤認識してしまうこともあるが、未知の手法による攻撃にもある程度対応できる長所がある。

IDSとの違い

IPSは不正な通信の遮断など防御のための操作を行うが、防御は行わずに通信を監視して異常を検知すると管理者に知らせるシステムのことは「IDS」（Intrusion Detection System：侵入検知システム）という。両者を合わせて「IDS/IPS」「IDPS」（Intrusion Detection and Prevention System）のように総称することもある。