データ シート

Intrusion Prevention System（IPS）

Cisco® Intrusion Prevention System（IPS; 侵入防御システム）ソフトウェアは、インライン型のネットワークベース ソリューションで、ワーム、スパイウェアまたはアドウェア、ネットワーク ウイルス、アプリケーションの不正利用など、悪意のあるトラフィックを正確に識別、分類、および抑制することによって、業務への影響を未然に防ぎます。

Cisco IPS センサ ソフトウェア バージョン 5 では、インライン型防御サービスと画期的なテクノロジーを組み合わせることで精度向上を実現します。その結果、IPS ソリューションによる保護の安全性が高まり、正規のトラフィックを廃棄してしまう誤検知リスクを回避します。また、Cisco IPS ソリューションでは、Cisco IPS センサ ソフトウェア バージョン 5 を利用することで、他のネットワーク セキュリティ リソースと独自の連携機能を発揮してネットワークを幅広く保護し、ネットワークの予防的な保護を実現します。

Cisco IPS センサ ソフトウェア バージョン 5 には次のような優れた特長があり、ユーザはより多くの脅威をより確実に抑制できます。

• 精度の高いインライン型の防御技術 - 幅広い脅威に対し、最高レベルの信頼性を備えた防御が可能です。また、正規のトラフィックを廃棄してしまう誤検知リスクを回避します。これらの独自のテクノロジーによって、データをコンテキストに応じてインテリジェントに自動分析し、侵入防御ソリューションを最大限活用できます。
• 多様な脅威の発見 - レイヤ 2 ～ 7 のトラフィックの詳細な検査により、ポリシー違反、脆弱性の悪用、および異常な動作からネットワークを保護します。
• 独自のネットワーク コラボレーション - 効率的なトラフィック キャプチャ技術、ロード バランシング、および暗号化トラフィックの把握などの機能を併用したネットワーク コラボレーションを通じて、スケーラビリティと復元力を向上させます。
• 幅広い構成ソリューション - 中小・中堅企業やブランチ オフィスから大企業やサービス プロバイダーまでのさまざまな環境に適したソリューションを提供します。
• 強力な管理機能、イベント相関処理、およびサポート サービス - 設定、管理、データ相関処理、および高度なサポート サービスなどによる完全なソリューションを実現します。特に、CS-MARS（Cisco Security Monitoring, Analysis, and Response System）では、ネットワーク全体に侵入防御ソリューションを展開するために、攻撃的な要素を識別および隔離し、確実に除去を行うよう通知します。さらに、Cisco ICS（Incident Control System）によって、ネットワークでは事態に迅速に対応して被害の拡散防止措置が講じられるため、新しいワームやウイルスへの大規模感染を抑制できます。

機能と利点

ワームやウイルスを抑制する IPS サービス

Cisco IPS センサ ソフトウェア バージョン 5 は、Cisco IPS 4200 シリーズ センサと、搭載されたアプライアンス内で完全な IPS 機能を提供する Cisco Catalyst® 6500 シリーズ IDSM-2 モジュールおよび Cisco ASA 5500 シリーズ用の AIP-SSM モジュールに、インライン型の IPS 機能を提供します。いずれの場合も、ネットワークの要所でワームやウイルスを効果的に抑制します。IPS サービスの機能は、次のとおりです。

• 複合型 Intrusion Detection System（IDS; 侵入検知システム）/IPS サービスのサポート：単一のセンサが同時に IDS センサおよび IPS センサとして機能します。図 1 の例では、1 台の IPS デバイスが IDS と IPS のサービスを同時に提供できるように構成されています。ネットワークで複数のデバイスを使用する必要がなくなるため、Total Cost of Ownership（TCO; 総所有コスト）が大幅に低減されます。
• 幅広いインライン型パケット廃棄処理の提供：単一の不正パケット、複数の不正パケットが含まれるフロー内のすべてのパケット、および攻撃元の IP アドレスから送信されるすべてのパケットなどに対する廃棄処理が可能です。このようなインライン型の対応処理は、スイッチ、ルータ、およびファイアウォールの接続リセットや Access Control List（ACL; アクセス コントロール リスト）修正などの既存の対応処理を補完して、ワームやウイルスを効果的に抑制する豊富な機能を備えた攻撃緩和技術を実現します。

図 1 Cisco IPS センサ ソフトウェア バージョン 5 による IPS 製品ライン全体への統合コードの提供
※ 画像をクリックすると、大きく表示されます。

精度の高い防御技術

Cisco Meta Event Generator（MEG）は、ワームを正確に分類する「On-Box」型の相関処理機能を提供します。Cisco IPS センサ ソフトウェア バージョン 5 には、センサレベルの高度なイベント相関処理機能が組み込まれているため、セキュリティ管理者は IPS センサが検出する悪意のあるアクティビティを高い信頼性で自動的に分類できます。これにより、対応処理を実施し、ワームやウイルスの感染経路やワームの伝播をネットワーク全体で封じ込めることができます。

この分類は、次の手法で実現されています。

• 複数の脆弱性を悪用するワームに関連するアラームの相関処理 - 図 2 は、短時間に生成される多数のアラームの相関関係をリアルタイムで把握して、1 つのメタイベントを生成し、ワームの動作をより明確に把握するイメージを示しています。
• ワームの侵入につながる一連の動作の相関処理 - 履歴に基づく傾向分析を行って、ワームのライフサイクルの特性を調べると、侵入の直前に類似の動作が検出されていることがよくあります。これらの動作は、対象ネットワークに対する一連の偵察活動が行われる「調査段階」で発生します。Cisco MEG を使用すると、一連のイベント発生時に生成される論理アルゴリズムを指定することにより、ワームの侵入の前兆を定義することができます。このような相関処理で導き出されるメタイベントによって、不正行為が実際に行われているかどうかをより正確に判断できます。
• より重大なイベントにつながる重大度の低い複数のイベントの相関処理 - ワームがネットワークに伝播すると、さまざまな重大度のアラームが生成されます。Cisco MEG は、一見無関係な重大度の低いアラームを重大度の高い高リスク イベントと結びつけることにより、ユーザが関連パケットを確実に廃棄できるようにします（図 3）。
• 複合型検出アルゴリズムに基づいて同時に生成されるアラームの信頼性向上 - たとえば、DoS 動作がトラフィック異常アルゴリズムと従来の「フラッド」型シグニチャによって検出される場合、MEG はこれら 2 つのイベントが相互に関連していることを認識して、DoS 攻撃が実際に行われている可能性が高いことを示す単一のメタイベントを生成します。こうしたセキュリティ機能の向上により、ネットワークでのワームの発見と抑制だけでなく、正規のトラフィックを廃棄するリスクのない、信頼性の高いインライン型の侵入防御を実現できます。

図 2 Cisco MEG によるワームの存在を示す多数のイベントの相関処理

図 3 Cisco MEG による重大度の低い複数のイベントと重大度の高い単一のイベントの関連付け
※ 画像をクリックすると、大きく表示されます。

Risk Rating は、リスクバランスを考慮した脅威の分類を行うことにより、IPS のパケット廃棄処理の精度と信頼性を向上させます（図 4）。Risk Rating は、次のような複数の条件を考慮した独自の多面的アルゴリズムを使用して、分類を自動的に行います。

• イベントの重大度 - ユーザによる変更が可能な加重値で、疑わしいトラフィックによる被害の可能性を評価します。
• シグニチャの信頼性 - ユーザによる変更が可能な加重値で、疑わしい動作を検出したシグニチャの信頼性を評価します。
• 資産価値 - ユーザが定義する値で、攻撃対象ホストの価値を表します。
• 攻撃の影響度 - 内部的な加重値で、センサがイベントの対象について把握している関連情報を評価します。

Risk Rating による評価は整数値で表され、すべての IPS のシグニチャ、ポリシー、または異常検出アルゴリズムに対してダイナミックに適用されます。この値が高いほど、関連するアラートの原因となったイベントのセキュリティ リスクは大きくなります。このメカニズムを利用すると、ネットワーク攻撃を抑制するためのポリシーの作成や、イベントをより適正に評価して詳細な調査の優先順位を決めることが可能になります。このため、ユーザはインライン型 IPS 処理に関するインテリジェントな判断が可能になり、正規のトラフィックを廃棄してしまう可能性はほとんどなくなります。

図 4 Risk Rating による IPS 処理の精度の向上

多様な脅威の発見

Cisco IPS センサ ソフトウェアは、レイヤ 2 ～ 7 のトラフィックを検査および分析するさまざまな方法を中心に構成されています。これらの方法によって多様な脅威の識別が可能になり、不正利用が拡散する前に脆弱性に対するシグニチャを開発できる可能性が高いため、Day Zero 攻撃に備えることができます。脅威の発見には、次のような方法があります。

• ウイルスまたはマルウェアに対する保護機能の拡張 - バージョン 5.1 での新機能。シスコシステムズはトレンドマイクロ社と共同で、新種のウイルス、ワーム、およびマルウェアに対するネットワーク全体での高度なインライン型保護を実現しました。この高度な保護機能は、Cisco ICS と呼ばれるプレミア サービスの一部です。詳細については、この文書の「サービス」の項を参照してください。
• レート制限 - バージョン 5.1 での新機能。IPS デバイスでは、特定のタイプのトラフィックに対し、大量の帯域幅を使用できないよう制限することができます。この機能によって、外部デバイスへの信号送信が可能なため、Cisco IOS® ソフトウェア ルータなどでも同様のレート制限を実行できます。
• IPv6 検出 - バージョン 5.1 での新機能。IPv6 トラフィックの内容を詳細に表示し、悪意のあるトラフィックを識別できます。
• IP-in-IP の検出 - バージョン 5.1 での新機能。モバイル IP トラフィック内の悪意のあるトラフィックを識別します。
• ステートフルなパターン認識 - すべてのプロトコルに関してマルチパケット検査を行い、脆弱性に基づく攻撃を識別して、データ ストリーム内に潜む攻撃を阻止します。
• プロトコル分析 - ネットワーク トラフィックのプロトコル デコーディングおよび検証を行います。Cisco IPS センサ ソフトウェア バージョン 5 を使用すると、主要な TCP/IP プロトコルをすべて監視でき、IP、ICMP（Internet Control Message Protocol）、TCP、および UDP などがサポートされます。また、アプリケーション レイヤ プロトコルのステートフルなデコーディングを実行でき、FTP、SMTP（Simple Mail Transfer Protocol）、HTTP、DNS（ドメイン ネーム システム）、RPC（Remote Procedure Call）、NetBIOS、NNTP（Network News Transfer Protocol）、GRE（Generic Routing Encapsulation）、Telnet などがサポートされます。
• トラフィック異常の検出 - 通常のネットワーク トラフィック パターンの変化を識別する技術を使用して、複数のセッションおよび接続にわたった攻撃による異常を識別します。たとえば、一定時間内の ICMP パケットの数が事前に定義されている ICMP フラッドなどがあります。
• プロトコル異常の検出 - RFC で規定された正常なプロトコルまたはサービスの動作について、適合性を監視することで攻撃を識別します（HTTP 要求に伴わない HTTP 応答など）。
• レイヤ 2 検出 - スイッチド環境によく見られる、レイヤ 2 Address Resolution Protocol（ARP; アドレス解決プロトコル）攻撃と man-in-the-middle 攻撃を識別します。
• アプリケーション ポリシーの実施 - ピアツーピア、Instant Messaging（IM）、ポート 80 でトンネリングされたアプリケーションなど、さまざまなアプリケーションの詳細な分析と制御を行います。これにより、さまざまなトラフィック タイプと Multipurpose Internet Mail Extensions（MIME; 多目的インターネット メール拡張）タイプについてユーザがポリシーを定義し、悪意のあるトラフィックがネットワークを通過するのを防ぐことができます。
• IPS 回避への対抗技術 - トラフィックの正常化、IP デフラグメンテーション、TCP ストリームの再構築、および難読化の解除により、IPS を回避しようとするハッカーに対する包括的な保護を実現します。
• カスタマイズ可能なポリシー - 革新的な Cisco Threat Analysis Micro Engine（TAME）ポリシー言語を使用すると、新しいポリシーの作成や既存のポリシーの変更を、ユーザ固有のセキュリティ要件に合わせて柔軟に実施できます。

上記の技術を利用することで、Cisco IPS センサ ソフトウェアでは、次のような既知および未知の攻撃に対処できます。

• ポリシー違反 - 偵察活動、不正利用、およびファイル交換による脅威
• 異常な動作 - 帯域幅やコンピューティング リソースを消費することで、正常な処理を中断させようとする DoS 攻撃。具体的には、Trinoo、TFN、SYN フラッドなど
• 脆弱性の悪用 - Back Orifice、ログイン試行の失敗、TCP ハイジャックなど

包括的な構成ソリューション

シスコでは、さまざまなネットワーク IPS 構成ソリューションを提供しているため、お客様の環境に最適な状態で侵入防御機能を実装できます。すべてのソリューションは、ハイ アベイラビリティかつ優れたカスタマー サポートが可能な設計となっており、45 Mbps から数 Gbps までの幅広いパフォーマンス レベルに対応しています。構成オプションには、専用アプライアンス、スイッチ モジュールとルータ モジュール、およびソフトウェアベースのソリューションなどがあります。利用可能なソリューションは、次のとおりです。

• Cisco IPS 4200 シリーズ センサ - 専用の用途別デバイスを使用して侵入防御を行います。最大 8 つのインターフェイスを使用して複数のネットワーク セグメントを保護し、パッシブ モードとインライン モードの両方で、2 つの処理を同時にサポートします。これらのアプライアンスと、Cisco Catalyst 6500 シリーズ スイッチ上での Cisco EtherChannel® ロードバランシング機能を併用すると、80 Mbps ～ 8 Gbps の幅広いパフォーマンスを実現できます。アプライアンス モデルと基本的なパフォーマンス レベルは、次のとおりです。
  • Cisco IDS 4215 センサ：80 Mbps
  • Cisco IPS 4240 センサ：250 Mbps
  • Cisco IPS 4255 センサ：600 Mbps
  • Cisco IDS 4250 XL センサ：1,000 Mbps

パフォーマンス値は、侵入検知テスト時のスループットです。

• Cisco IDSM-2 モジュール（Cisco Catalyst 6500 シリーズ向け） - 専用モジュールを使用して、完全な IPS 機能を Cisco Catalyst 6500 シリーズ スイッチに統合します。統合された保護機能は、600 Mbps で動作します。
• Cisco IDS ネットワーク モジュール（シスコ アクセス ルータ向け） - Cisco IPS センサ ソフトウェア バージョン 5 を使用して、従来の侵入検知機能をルータに統合します。これにより、検出、相関処理、および識別機能が向上し、最大 45 Mbps の速度で、脅威の軽減と隔離を効率的に行うことができます。
• Cisco Advanced Inspection and Prevention Security Services Module（Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス向け） - ASA 5500 シリーズ多機能脅威抑制ソリューションの一部として、IPS 機能を提供します。
• Cisco IOS ソフトウェア IPS - ルータ上の Cisco IOS ソフトウェアを使用して、主要な IPS 機能を提供します。

強力な管理、イベント相関処理、およびサービス

シスコでは、さまざまな管理ツールおよび相関処理ツールとサポート サービスを通じて、構成の規模や環境に関係なく、効率的かつ完全な IPS ソリューションを提供します。

管理ソリューション

• Command Line Interface（CLI; コマンドライン インターフェイス） - Cisco IOS ソフトウェアに似たフル機能の CLI により、Secure Shell（SSH）プロトコル接続を使ってデバイスを設定できます。
• Cisco IPS Device Manager - 1 つのデバイス マネージャから、セキュアなブラウザベースの GUI を利用した設定およびアラームの表示が可能です。Cisco IPS Device Manager は、使用しているオペレーティング システムに関係なく、デスクトップからでも簡単にアクセスできます。そのため、企業内のすべてのシステムから、データへの迅速なアクセスが可能です。使い慣れたブラウザ インターフェイスを利用するため操作性に優れ、Secure Sockets Layer（SSL）を使用することでデータのセキュリティが維持されます。
• シスコ ルータと SDM（Security Device Manager） - Web ベースのデバイス マネージャにより、シスコ アクセス ルータの導入および管理を容易かつ安心して行うことができ、Cisco IOS ソフトウェア IPS フィーチャ セットと Cisco IDS ネットワーク モジュールが実装されます。

イベント相関処理ソリューション

• CS-MARS - アプライアンスベースのソリューションで、企業内のすべてのデータを相互に関連付けます。また、ネットワークおよびセキュリティへの投資を活用して、攻撃的な要素を識別および隔離し、確実に除去を行うよう通知します。MARS を Cisco IPS センサ ソフトウェア バージョン 5 と組み合わせて使用すると、総合的なコラボレーティブ ソリューションが実現され、攻撃、ウイルス、ワーム、およびその他の悪意のあるトラフィックからネットワーク インフラストラクチャ全体を保護できます。

サービス

• Cisco Services for IPS - シスコのテクニカル サポート サービス ポートフォリオの一環として、Cisco Services for IPS では、Cisco SMARTnet® で提供されるサービスと IPS シグニチャへのアクセス権限を組み合わせ、1 つの包括的なサービス プログラムとして提供します。主なサポート内容は、次のとおりです。
  • 標準の間隔でリリースされる、さまざまな脅威に対応する Cisco IPS シグニチャへのアクセス
  • IPS バージョン 5.x などのオペレーティング システム ソフトウェア アップデートへのアクセス
  • Cisco Technical Assistance Center（TAC）のアクセス（世界中から 24 時間利用可能）
  • Cisco.com とナレッジ ベースへのアクセス
  • ハイレベルなハードウェア交換オプション（故障したハードウェアを交換するサービス担当者の派遣も可能）

IPS 対応の感染抑制デバイスに関し、シグニチャの更新処理を実行するには、このサービスが必要です。また、プレミアム サービスである Cisco Incident Control System を利用するための前提条件にもなっています。Cisco Services for IPS の詳細と Q&A については、以下の URL を参照してください。
英語：http://www.cisco.com/en/US/products/ps6076/serv_home.html
日本語：http://www.cisco.com/jp/service/contact/ips.shtml

• Cisco ICS（Incident Control System） - Cisco ICS では、ネットワークで事態に迅速に対応して被害の拡散を防止し、新しいワームやウイルスへの大規模感染を抑制します。発生したワームまたはウイルスが世界中に広がる時間が数日から数分へと短期化するにつれて、企業ネットワークの安全性を保証するためには、感染の検出後数分の間に予防的な拡散防止措置を講じる必要があります。Cisco ICS は、そうしたニーズに応えるためのソリューションを提供します。Cisco IPS ソリューションなど、シスコ製の既存の大規模感染防止ソリューションと組み合わせることで、Cisco ICS は、ネットワーク全体にワームおよびウイルスへの対策措置を迅速に展開します。この迅速かつ予防的なアプローチにより、ワームやウイルスが拡散するのを防ぎ、ネットワークのアベイラビリティを保って、被害の復旧に付随するコストを削減できます。

  システムの主な機能は、次のとおりです。

  • ウイルスおよびワーム対策の専門企業として業界をリードするトレンドマイクロ社が発見した、最新の脅威に関する情報を使用
  • 迅速な拡散防止措置、ワームおよびウイルスへの予防的な防御が可能
  • 既存のシスコ製ネットワーク デバイスとセキュリティ デバイスを、組織的なネットワーク全体での拡散防止措置にリアルタイムで適応できるよう強化

Cisco ICS の詳細については、http://www.cisco.com/jp/product/hs/security/ics/ を参照してください。

その他の機能

• 自動および手動によるセンサのバイパス構成 - Cisco IPS センサでは、さまざまなメカニズムを使用して高いアベイラビリティを実現できます。また、独自のネットワーク コラボレーションを利用して復元力と冗長性を確保できます。たとえば、Cisco Catalyst スイッチで Hot Standby Router Protocol（HSRP; ホットスタンバイ ルータ プロトコル）構成や Cisco EtherChannel でのロード バランシングを使用して、プライマリ IPS デバイスに障害が発生した場合にトラフィックをセカンダリ デバイスに流します。また、Cisco IPS センサ ソフトウェア バージョン 5 は On-Box 型バイパス メカニズムを備えているため、特定のセンサ障害が発生した場合に、IPS センサを自動的に Fail-Open に設定できます。このバイパス メカニズムは、手動で設定することもできます。手動で設定する場合、センサをバイパス モードに切り替えて、Fail-Open の状態に設定する必要があります。これにより、IPS デバイスの信頼性が向上します。
• Security Device Event Exchange（SDEE）のサポート - SDEE は、ICSA の IDS コンソーシアムでシスコが開発した IPS 通信の標準プロトコルです。Cisco IPS センサ ソフトウェア バージョン 5 は SDEE を使用して、IPS センサに柔軟性の高い標準化された API を提供しているため、Cisco IPS ソリューションとサードパーティ製の管理/モニタリング ソリューションを容易に統合できます。このため、ユーザはサードパーティ製ソリューションを使用して、Cisco IPS センサが生成したイベントを監視できます。
• SNMP トラップを使用したセンサ アラートの配信によるモニタリングおよび通知機能の向上 - Cisco IPS センサ ソフトウェア バージョン 5 は、既存のアラーム形式に加えて、SNMP 形式のアラームを使用するモニタリング ツールにセンサの IPS アラームを送信できます。また、SNMP を使用して IPS センサの重大な診断およびステータス情報をポーリングし、ユーザにセンサの状態を通知できます。

システム要件

インライン型 IPS サービスでは、Cisco IPS 4200 シリーズ センサに複数のモニタリング インターフェイスが必要です。アップグレード オプションについては、http://www.cisco.com/jp/product/hs/security/ids4200/ から Cisco IPS 4200 シリーズのデータ シートを参照してください。

Cisco IPS センサ ソフトウェア バージョン 5 は、Cisco IDS 4215、4235、4240、4255、および 4250 XL センサと、IDSM-2 モジュール（Cisco Catalyst 6500 シリーズ スイッチ向け）、および Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス用 AIP-SSMモジュールでサポートされています。プロミスキャスベースの IDS モードは、Cisco IDS 4210 センサおよび Cisco IDS Network Module（NM-CIDS）でのみサポートされています。

発注情報

表 1 に、Cisco IPS センサ ソフトウェア バージョン 5 の発注情報を示します。

表 1 Cisco IPS センサ ソフトウェア バージョン 5 の発注情報

シスコ製品の購入方法の詳細は、「発注方法」を参照してください。

関連情報

Cisco IPS センサ ソフトウェア バージョン 5 の詳細については、代理店担当者にお問い合わせいただくか、http://www.cisco.com/jp/product/hs/security/ids4200/ を参照してください。

Cisco IPS ソリューションの詳細については、http://www.cisco.com/jp/product/hs/security/ids4200/ を参照してください。

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの詳細については、http://www.cisco.com/jp/product/hs/security/asa/ を参照してください。

CS-MARS の詳細については、http://www.cisco.com/jp/product/hs/security/mars/ を参照してください。

Cisco IOS ソフトウェア IPS の詳細については、http://www.cisco.com/warp/public/732/Tech/security/intrusion を参照してください。

Cisco SDM の詳細については、http://www.cisco.com/jp/product/hs/routers/crsdm/ を参照してください。

Cisco ICS の詳細については、http://www.cisco.com/jp/product/hs/security/ics/ を参照してください。