IPS（侵入防止システム）とは

不正アクセスを検知しても 検知だけでは攻撃を許してしまいます。 不正アクセスを遮断することができる IPS 侵入防止システムについて 見ていきましょう。 IPS とは Intrusion Prevention System と いう英語の略で、 日本語では侵入防止システムと言います。 ネットワークに流れるパケットを分析し 不正アクセスが成功しないように 怪しい通信を遮断する役割があります。 IPS のタイプとしては NIPS、ネットワーク型の IPS が あります。 これは先ほどいったように ネットワークに流れる パケットをチェックし、 不正アクセスと思われる場合、 IP アドレスとポート番号を指定して 通信を遮断します。 それに対して、HIPS、 Host 型の IPS もあります。 これはサーバーで受け取ったパケットの 内容をチェックしたり、 OS のログを監視することによって 不正アクセスの兆候が見られた場合は、 通信を遮断するというものです。 では、それぞれの構成を見ていきましょう。 最初は NIPS の構成です。 特徴としては、監視対象と インターネットの通信経路上に 接続するということです。 図で確認してみましょう。 IPS は真ん中より少し左側に 設置しています。 ファイアウォールを通過したパケットが サーバーに届く前にチェックをしますので、 通信経路上に設置します。 攻撃者がインターネットから サーバーにアクセスしようとしたとき、 怪しいパケットであれば、 この通信を遮断することが可能です。 一台の IPS で複数のサーバーを守る ことができるので、ネットワーク全体を 防御するといっても良いでしょう。 次に、HIPS の構成です。 HIPS は監視対象のサーバーに インストールします。 図で確認しましょう。 左側の Web サーバーの中に IPS がインストールされている状態です。 攻撃者が Web サーバーに対して 不正アクセスを試みると、 インストールされた IPS が 検知し遮断します。 インストールされたサーバーそのものが 防御対象になります。 NIPS と HIPS を両方使うことも できますので、 状況に応じて使い分けることが 必要でしょう。 では、どのように不正アクセスの検知を しているのでしょうか。 ひとつ目はシグネチャ方式です。…