データ シート

Cisco IPS ソリューション

包括的なエンドツーエンドの保護

Cisco® IPS（Intrusion Prevention System; 侵入防御システム）ソリューションは、ワーム、スパイウェア、アドウェア、ネットワーク ウイルス、アプリケーションの不正利用など、悪意のあるトラフィックを正確に識別、分類、および抑制することによって、業務への影響を未然に防ぎます。

ネットワーク全体への統合

Cisco IPS ソリューションは、ネットワーク、サーバ、デスクトップ エンドポイントなど、さまざまな媒体からの脅威を抑制します。また、専用のアプライアンスから、ルータおよびスイッチ用のサービス モジュールとして提供されるファイアウォールと IPS の統合型ソリューションまで、さまざまなシスコ プラットフォームに展開できます。さらに、ネットワークのレイヤ 2 ～ 7 のトラフィックを詳細に検査することで、ポリシー違反、脆弱性の悪用、および異常な動作からネットワークを保護します。

コラボレーションによる脅威の防御

Cisco IPS ソリューションは、脅威を評価して対処する独自のセキュリティ システムをインフラストラクチャ全体に適用することで、優れたネットワーク スケーラビリティと耐障害性を提供します。このシステム全体を網羅するアプローチには、ソリューション間のフィードバックの連携、共通のポリシー管理、マルチベンダー イベント相関処理、攻撃経路の識別、パッシブ/アクティブ フィンガープリント、ホストベース（Cisco Security Agent）の IPS コラボレーションなどが含まれます。

ポスチャに対する予防的な対応

Cisco IPS ソリューションは、ネットワーク脅威のポスチャが変化するのに合わせて、最新のセキュリティ環境を維持するように発展および適応することで、既知と未知の両方の攻撃による脅威を軽減します。幅広い動作分析、異常検出、ポリシー調整、および脅威に対する迅速な対応により、時間とリソースを節約する以外に、最も重要な点として、組織の資産を保護し、生産性を向上させます。

ネットワーク全体に戦略的に展開された IPS テクノロジーは、Day Zero 攻撃からの保護をエンドツーエンドで実現します（図 1）。Cisco IPS ソリューションにより、インフラストラクチャとビジネスが保護されます。

図 1 Cisco IPS ソリューションによる Day-Zero 攻撃からのネットワーク全体の包括的な保護/防御
※ 画像をクリックすると、大きく表示されます。

包括的な統合型、コラボレーション型、および適応型のネットワーク保護

今日の複雑なネットワーク アーキテクチャには、複数のセグメント、ブランチ、および入力/出力経路があり、ネットワーク アクセスの要件が増える一方で、セキュリティも維持する必要があります。このように常に進化している状況では、ネットワーク セキュリティを局所的なソリューションとして導入するだけではネットワーク脅威に対応できません。

Cisco IPS ソリューションは、シスコ自己防衛型ネットワークの中心コンポーネントであり、攻撃や脅威の発生源または履歴に関係なく、包括的な脅威の防御を実現します。Cisco IPS ソリューションは、他のネットワーク セキュリティ リソースと連携する独自の機能によりネットワークを予防的に保護し、インフラストラクチャ全体で企業の接続環境を保全します。これらの特長を組み合わせた総合的なインライン防御ソリューションを実現することにより、企業は多様な悪意のあるトラフィックを確実に検出、抑制し、業務への影響を未然に防ぐことができます。

ネットワーク全体への統合

Cisco IPS ソリューションはネットワークに統合され、優れた可視性、ネットワーク全体の脅威に対応するインテリジェンスを提供します。この可視性により、次の脅威からネットワークを保護できます。

• ポリシー違反 - Cisco IPS ソリューションは、インスタント メッセージングおよびピアツーピア アプリケーションなどのトラフィック インスペクション、厳密な HTTP の適用、ポート 80 インスペクション、MIME タイプと OS フィンガープリントに基づくトラフィック フィルタリングにより、アプリケーションの使用状況とポリシー適合性を厳密に制御します。また、状況に応じたユーザとエンドポイントに関する情報も提供します。
• 脆弱性の悪用 - Cisco IPS ソリューションは、さまざまなオペレーティング システム、ネットワーク サービス、アプリケーション、およびプロトコルにおける既知の脆弱性の悪用を阻止し、未知の脆弱性に対する新しいワームやウイルスからの保護も提供します。
• 異常な動作 - シスコの優れた異常検出機能は、ネットワークの「通常の」トラフィック パターンを学習し、異常な動作をスキャンすることで、ワームを検出します。急速に感染が広がるネットワーク ワームはネットワークをスキャンして、他のホストを感染させようとします。異常検出プログラムは、各プロトコルまたはサービスについて、通常のスキャン動作を調査し、しきい値ヒストグラムとスキャナ絶対しきい値にこの情報を蓄積します。スキャナしきい値によって絶対スキャン レートが指定され、この値を超えるソースは悪意があるとみなされます。
• 動作分析 - Cisco IPS ソリューションは、ネットワークの使用状況を動的に学習して、感染の特性を検出する機能を備えています。

多様な脅威の発見

Cisco IPS ソリューションは、レイヤ 2 ～ 7 のトラフィックを検査および分析するさまざまな方法を中心に構成されています。これらの方法によって多様な脅威の識別が可能になり、不正利用が拡散する前に脆弱性に対するシグニチャを開発できる可能性が高いため、Day Zero 攻撃に備えることができます。表 1 に、この多様な脅威の発見方法を示します。

表 1 Cisco IPS ソリューションによる多様な脅威の発見方法

リスク評価（Risk Rating）

Cisco IPS ソリューションは状況に応じた優れたデータ分析を行って、脅威を特定し、フォールス ポジティブを排除します。この革新的なテクノロジーは、リスク評価と呼ばれます。リスク評価は、リスクバランスを考慮した脅威の分類を行うことにより、IPS のパケット廃棄処理の精度と信頼性を向上させます。この機能は、表 2 に示すように、複数の条件を考慮した独自の多面的アルゴリズムを使用します。

表 2 リスク評価の機能

リスク評価値は整数値で表され、すべての IPS のシグニチャ、ポリシー、または異常検出アルゴリズムに対して動的に適用されます。この値が高いほど、関連するアラートの原因となったイベントのセキュリティ リスクは大きくなります。このメカニズムを利用すると、ネットワーク攻撃を抑制するためのポリシーの作成や、イベントをより適正に評価して詳細な調査の優先順位を決めることが可能になります。このため、ユーザはインライン型 IPS 処理に関するインテリジェントな判断が可能になり、正規のトラフィックを廃棄してしまう可能性はほとんどなくなります。

脅威評価（Threat Rating）

脅威評価は、Cisco IPS センサー ソフトウェア バージョン 6.0 の新機能で、ネットワークの脅威に関する情報を一元化します。この機能では、脅威の評価値が高いイベントのみを表示するようにビューアをカスタマイズすることにより、アラームとイベントを最小限に抑えます。脅威評価値は次のように算出されます。

• 対応措置の成功に基づくイベントのリスク評価の動的な調整
• 対応措置が適用された場合、リスク評価は使用されない（TR < RR）
• 対応措置が適用されなかった場合、リスク評価は変更なし（TR = RR）

この結果、脅威のリスクを決定する単一の値が算出されます。これにより、アラームの管理とネットワーク上のリスクの判断が容易になります。

コラボレーションによる脅威の防御

ネットワークを保護するには、個別の攻撃を緩和するだけでなく、それ以上の機能を備えた IPS ソリューションが必要です。システム全体のセキュリティを提供するために、IPS はネットワークに配備された他のセキュリティ ポイントにも保護を拡大する必要があります。Cisco IPS ソリューションは、ネットワーク リソース情報を判断し、そのリソースと連携および通信する機能により、独自の優れた保護機能を提供します。Cisco IPS ソリューションは、次の機能を備えています。

• IPS/Cisco Security Agent のコラボレーション - Cisco IPS ソリューションと Cisco Security Agent のコラボレーションにより、状況に応じた分析を行うためにエンドポイント情報を IPS に伝達することで、徹底した防御を実現します。さらに、Cisco Security Agent Watch List を使用して、IPS は疑わしいホストを検疫することもできます。その結果、エンドポイントによって悪意があると認識されたホストからネットワークを保護できます。
• ソリューション間のフィードバック - アラームを伝えるネットワーク トラフィックが他のネットワーク セキュリティ デバイスおよびツールに送信されることで、単一セグメント上の攻撃からシステム全体を保護します。
• パッシブ/アクティブ フィンガープリント - パッシブ OS フィンガープリントまたは静的マッピングに基づいた、状況に応じたエンドポイント プロファイリングがリスク評価値決定アルゴリズム内の値に追加され、ブロック処理のしきい値を決定します。この自動化された、状況に応じた分析により、攻撃の妥当性を容易に判断し、フォールス ポジティブを低減できます。
• 攻撃経路の識別 - IPS ソリューションの一部として CS-MARS（Cisco Security Monitoring, Analysis, and Response System）を使用すると、攻撃を視覚的に表示し、ポリシーをリアルタイムで更新してネットワークを保護できます。
• マルチベンダー イベント相関処理 - CS-MARS、Cisco IPS センサー、およびその他のセキュリティ デバイスとの連携により、ネットワーク全体を把握し、情報を関連付けることができます。

適応力に優れた動作

今日の高度な攻撃を防止し、Day-Zero 攻撃からの真の保護を提供するために、ネットワークのセキュリティ対策は、ネットワークを理解し、疑わしい攻撃の予備知識がなくてもその悪意のある性質に基づいて攻撃を判断できる必要があります。Cisco IPS ソリューションはネットワークに適応し、個別のネットワークに固有の保護を提供します。

• 異常の検出/動作分析 - Cisco IPS センサー ソフトウェア バージョン 6.0 では、悪意のあるワームや DoS 攻撃からのネットワーク保護を自動化する機能が追加されました。これは、ネットワークの動作を学習し、トラフィック パターンが決められた通常のパターンから外れたときにアラームを送信するセンサーの機能に基づいています。通常のトラフィックは静的に設定できますが、これらのインテリジェントなエンジンを使用して Day-Zero 攻撃からの保護を提供するセンサーにより、従来のポリシー ベースのネットワーク セキュリティを超えた、これまでにないレベルの保護を実現します。
• デバイス上およびネットワーク イベントの相関処理 - Cisco MEG（Meta Event Generator）は、ワームを正確に分類する「On-Box」型の相関処理機能を提供します。Cisco IPS センサー ソフトウェア バージョン 6.0 には、センサーレベルの高度なイベント相関処理機能と知識ベースの異常検出機能が組み込まれているため、セキュリティ管理者は IPS センサーが検出する悪意のある動作を高い信頼性で自動的に分類できます。これにより、対応処理を実施し、ワームやウイルスの感染経路やワームの伝播をネットワーク全体で封じ込めることができます。

統合された構成オプション

シスコでは、さまざまなネットワーク IPS 構成ソリューションを提供しているため、ユーザの環境に最適な状態で侵入防御機能を実装できます。すべてのソリューションは、ハイ アベイラビリティかつ優れたカスタマー サポートが可能な設計になっています。構成オプションには、専用アプライアンス、スイッチ モジュールとルータ モジュール、およびソフトウェアベースのソリューションなどがあります（表 3）。

表 3 Cisco IPS ソリューション

強力な管理、イベント相関処理、およびサービス

シスコでは、さまざまな管理ツールおよび相関処理ツールとサポート サービスを通じて、構成の規模や環境に関係なく、効率的かつ完全な IPS ソリューションを提供します。

表 4 Cisco IPS ソリューションのツールとサービス

その他の機能

• 自動および手動によるセンサーのバイパス構成 - Cisco IPS センサーでは、さまざまなメカニズムを使用して高いアベイラビリティを実現できます。また、独自のネットワーク コラボレーションを利用して耐障害性と冗長性を確保できます。たとえば、Cisco Catalyst スイッチで Hot Standby Router Protocol（HSRP; ホットスタンバイ ルータ プロトコル）構成や Cisco EtherChannel® でのロード バランシングを使用して、プライマリ IPS デバイスに障害が発生した場合にトラフィックをセカンダリ デバイスに流します。また、Cisco IPS センサー ソフトウェア バージョン 6.0 は On-Box 型バイパス メカニズムを備えているため、特定のセンサー障害が発生した場合に、IPS センサーを自動的に Fail-Open に設定できます。このバイパス メカニズムは、手動で設定することもできます。手動で設定する場合、センサーをバイパス モードに切り替えて、Fail-Open の状態に設定する必要があります。これにより、IPS デバイスの信頼性が向上します。
• Security Device Event Exchange（SDEE）のサポート - SDEE は、ICSA の IDS コンソーシアムでシスコが開発した IPS 通信の標準プロトコルです。Cisco IPS センサー ソフトウェア バージョン 6.0 は SDEE を使用して、IPS センサーに柔軟性の高い標準化された API を提供しているため、Cisco IPS ソリューションとサードパーティ製の管理/モニタリング ソリューションを容易に統合できます。このため、ユーザはサードパーティ製ソリューションを使用して、Cisco IPS センサーが生成したイベントを監視できます。
• SNMP トラップを使用したセンサー アラートの配信によるモニタリングおよび通知機能の向上 - Cisco IPS センサー ソフトウェア バージョン 6.0 は、既存のアラーム形式に加えて、SNMP 形式のアラームを使用するモニタリング ツールにセンサーの IPS アラームを送信できます。また、SNMP を使用して IPS センサーの重大な診断およびステータス情報をポーリングし、ユーザにセンサーの状態を通知できます。

システム要件

インライン型 IPS サービスでは、Cisco IPS 4200 シリーズ センサーに複数のモニタリング インターフェイスが必要です。アップグレード オプションについては、http://www.cisco.com/jp/product/hs/security/ids4200/ から Cisco IPS 4200 シリーズのデータ シートを参照してください。

Cisco IPS センサー ソフトウェア バージョン 6.0 は、Cisco IDS 4215、4235、4240、4255、および 4260 センサーと、IDSM-2（Cisco Catalyst 6500 シリーズ スイッチ向け）、および Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス用 AIP-SSM でサポートされています。プロミスキャスベースの IDS モードは、NM-CIDS でのみサポートされています。

関連情報

Cisco IPS センサー ソフトウェア バージョン 6.0 の詳細については、http://www.cisco.com/jp/product/hs/security/ids4200/ を参照してください。

リソース

Cisco IPS Alert Center：脅威に関する具体的な情報（対策や関連する脆弱性などを含む）を素早く入手できます。詳細については、http://www.cisco.com/go/ipsalert を参照してください。

Cisco IPS ソリューションの詳細については、http://www.cisco.com/jp/product/hs/security/ids4200/ を参照してください。

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの詳細については、http://www.cisco.com/jp/product/hs/security/asa/ を参照してください。

CS-MARS の詳細については、http://www.cisco.com/jp/product/hs/security/mars/ を参照してください。

Cisco Security Manager の詳細については、http://www.cisco.com/jp/product/hs/security/csm/ を参照してください。

Cisco IPS Event Viewer（IEV）を使用すると、最大 5 台の IPS センサーを監視できます。Cisco IEV をダウンロードするには、http://www.cisco.com/pcgi-bin/tablebuild.pl/ids-ev にアクセスしてください。

Cisco IOS IPS の詳細については、http://www.cisco.com/jp/product/hs/ios/security/ips/ を参照してください。

Cisco SDM の詳細については、http://www.cisco.com/jp/product/hs/routers/crsdm/ を参照してください。

Cisco ICS の詳細については、http://www.cisco.com/jp/product/hs/security/ics/ を参照してください。