テクノロジー解説

侵入防御システム(IPS:Intrusion Prevention System)

企業ネットワークなどのプライベートなネットワークを脅かす内部あるいは外部からの攻撃を検出する手段として、以前から侵入検知システムが一般的に使われてきました。しかし、現在のようにブロードバンド化が進み、ネットワーク利用が多様化してくると、検知するだけではなく、さらにインテリジェントな機能が求められるようになりました。侵入防御システムは、攻撃の検知だけでなく、攻撃を抑止する仕組みを提供するソリューションです。

多くの企業、また家庭のネットワークや PC でさえも、外部からのネットワーク攻撃による影響を防ぐためにファイアウォールを使用していることでしょう。しかし、攻撃からネットワークや PC を守るには、ファイアウォールだけでは不十分です。攻撃の種類がワーム、ウイルス、DoS、DDoSと多様化しているなかで、それを防御する側にも多層化された策が必要となります。たとえば、不正アクセスを考えてみましょう。この攻撃は、外部からアクセスするものとは限りません。内部にいる誰かが機密情報を外部に流す行為も「不正アクセス」です。このような攻撃は、ファイアウォールでは防ぐことができません。

ここでは、多層防御策の1つとしてもっとも多く利用されている「侵入検知システム(IDS)」、そしてそれを発展させた「侵入防御システム(IPS)」を紹介します。
このようなネットワークが抱える問題を整理してみましょう。


侵入検知システム(IDS:Intrusion Detection System)の導入
不正アクセスや攻撃の疑いのある通信を見つけるための手段として、以前より侵入検知システム(IDS)が多く利用されてきました。IDSとは、その名前の通り、不正アクセスなどの悪意のあるトラフィックや有害なトラフィックを「検出して通知」するためのシステムです。つまり、ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見すると、管理者に警告します。このとき、疑わしいパケットの発見には、「シグネチャ」と呼ばれる攻撃パターンのデータベースが使われます。

警告を受けた管理者は、そのパケットの詳細情報をみて、攻撃開始あるいはその前兆を発見すると、ファイアウォールのルールを変更するなどの対処によって、それ以降に発生する攻撃を防ぎます。
なお、IDSには「ネットワーク監視」タイプと「ホスト監視」タイプの2種類があります。ここでは、ネットワーク監視タイプについてのみ説明します。

侵入検知システムの限界
最初に説明したように、IDSの機能は「攻撃を検出して知らせる」ことです。不審なパケットを検出したとしても、そのパケットがどのような影響を与えたかまでは調べることができません。また、ネットワークのブロードバンド化に伴い、全パケットを調べることができずに取りこぼしを起こしたり、攻撃の可能性があると検知されたパケットが増加したために、管理者が処理しきれなくなるケースもあります。

侵入防御システム(IPS:Intrusion Prevention System)
シスコは、IDSの攻撃検出機能に、インテリジェントなネットワーキング技術を統合して「Cisco IPS ソリューション」を提供しています。IPSとは、「侵入を検出したうえで、その攻撃を防御する」機能を備えたシステムです。IDSの侵入検出機能を引き継いだうえで、その攻撃からネットワークを守るための手段まで提供してくれるのです。

IPSとIDSのもっとも大きな違いは、IPSが“インライン”に設置される点です。つまり、IPSが設置された回線を通るパケットは、すべてIPSの検閲を受けることになります。さらに、IPSは不審なパケットを発見すると、そのパケットを廃棄する、そのパケットに関連するセッションやコネクションを切断してその後に続くパケットを自動的に拒否する、といったプロトコルに応じた処理を行います。
このようにIPSは、シスコの自己防衛型ネットワークの中心的なコンポーネントとして、悪意のあるトラフィックをリアルタイムで正確に識別、分類、および阻止するインテリジェンスとパフォーマンスを提供します。

シスコ自己防衛型ネットワーク
http://www.cisco.com/jp/solution/netsol/security/sdn/index.shtml

攻撃防御システム ソリューション
http://www.cisco.com/jp/solution/netsol/security/tds/

シスコのIDS/IPS製品
Cisco ASA 5500 シリーズ IPS Edition
Cisco ASA 5500 シリーズ IPS Edition
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスには、設置する場所ごとに必要とされる機能が組み込まれたバンドル製品があります。Cisco ASA 5500 シリーズ IPS Editionは、AIP(Advanced Inspection and Prevention)セキュリティ サービス モジュールをバンドルしたエディションで、ファイアウォールやVPNといった Cisco ASA 5500 シリーズの基本機能に加えて、AIP-SSMによるインライン侵入防御サービスを提供します。

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
http://www.cisco.com/jp/product/hs/security/asa/ 
Cisco IDS/IPS 4200 シリーズ
Cisco IDS/IPS 4200 シリーズ
Cisco IDS/IPS 4200シリーズ侵入防御システム センサは、レイヤ2~7トラフィックを詳細に検査する機能を備え、ポリシー違反、脆弱性の悪用、および異常な動作からネットワークを保護できます。

この製品は、当初、Cisco IDS 4200 シリーズとして発売されましたが、Cisco IPS センサ ソフトウェア バージョン5.0以上をインストールすることで、IPSとして動作します。

Cisco IDS/IPS 4200シリーズ センサ
http://www.cisco.com/ jp/product/hs/security/ids4200/index.shtml
Cisco IOS IPS
Cisco IOS IPS
Cisco IOS IPS は、シスコのルータに搭載されたオペレーティング システムCisco IOSが提供するIPS機能です。ルータのパフォーマンスを損なうことなく、パケットの検査が可能になっています。また、ルータに統合されているので、インラインとしての導入が簡単で、トラフィックの削除、アラームの送信、接続のリセットといった行為をネットワークの入口で実行できます。これにより、発生源にできるだけ近い場所での攻撃阻止が可能になり、不要なトラフィックがネットワークに入り込む前に阻止することができます。

さらに Cisco IOS Firewall、VPN、NACといったソリューションとの組み合わせも可能となり、ネットワークにおけるさまざまな脅威からネットワークを守ることができます。

Cisco IOS IPS
http://www.cisco.com/jp/product/hs/ios/security/ips/prodlit/ips_ds.shtml
IDSM-2 サービスモジュール
IDSM-2 サービスモジュール
ネットワーク攻撃は、外からだけ発生するものではありません。攻撃は、その発生元になるべく近い場所で検出できれば、その被害を最小限にすることができます。Cisco IDSM-2 は、Cisco Catalyst 6500シリーズ スイッチに組み込むサービス モジュールです。Cisco Catalyst 6500スイッチに論理的に実装されているVLANごとに、IPSの機能を提供できます。また、ファイアウォール、VPNといったセキュリティ サービスを統合して1台のスイッチに実装することができます。

Cisco Catalyst 6500シリーズIDSサービス モジュール(IDSM-2)
http://www.cisco.com/jp/product/hs/switches/cat6500/modules/service/idsm2/prodlit/idsm2_ds.shtml



お問い合わせ