IPS（侵入防御システム） 概要

侵入防御システム（Intrusion Prevention System: IPS）は、ネットワークやシステムへの不正な侵入、攻撃、悪意のある活動をリアルタイムで検知し、その攻撃を自動的に遮断または防御するセキュリティシステムです。IDS（侵入検知システム）が「検知」に主眼を置くのに対し、IPSは「防御」まで踏み込む点が最大の特徴です。

特徴

• リアルタイム防御: 不審なトラフィックを検知すると同時に、その通信を遮断または破棄することで、攻撃がシステムに到達する前に防御します。
• シグネチャベース検知: 既知の攻撃パターン（シグネチャ）と照合して、攻撃を特定します。
• 異常ベース検知: 正常なネットワーク活動のベースラインを学習し、そこから逸脱する異常な振る舞いを検知します。
• プロトコル解析: 通信プロトコルの違反や異常を検知します。
• 脆弱性保護: 既知の脆弱性を悪用する攻撃を検知し、防御します。
• インライン配置: ネットワークのトラフィックがIPSを通過するように配置され、リアルタイムでの監視と防御を可能にします。

分類

IPSは、保護対象や配置場所によっていくつかの種類に分類されます。

• NIPS (Network-based IPS): ネットワーク全体を監視し、不正なトラフィックを防御します。主にネットワークのゲートウェイやセグメントの境界に配置されます。
• HIPS (Host-based IPS): 個々のサーバーやエンドポイントに導入され、そのホストに対する攻撃を防御します。OSやアプリケーションレベルでの異常を検知・防御します。
• WIPS (Wireless IPS): 無線LAN環境に特化し、不正アクセスポイントや無線LANへの不正侵入を検知・防御します。

上位概念・下位概念

• 上位概念:
  • 脅威管理（Threat Management）: 組織のセキュリティリスクを全体的に管理する概念。IPSはその一環として脅威防御を担う。
  • ネットワークセキュリティ（Network Security）: ネットワークとそのリソースを不正アクセス、誤用、改ざん、破壊から保護する概念。IPSはその主要な要素の一つ。
  • サイバーセキュリティ（Cybersecurity）: ネットワーク、デバイス、プログラム、データなどをサイバー攻撃から保護する広範な概念。
• 下位概念:
  • シグネチャ（Signature）: 既知の攻撃パターンを定義したもの。IPSはこれを用いて攻撃を検知する。
  • ルールセット（Rule Set）: 攻撃を検知・防御するための具体的な条件やアクションを定義した集合体。
  • ホワイトリスト/ブラックリスト（Whitelist/Blacklist）: 許可する通信/禁止する通信を定義するリスト。IPSの動作に影響を与える。

メリット

• リアルタイム防御: 攻撃がシステムに到達する前に自動的に防御するため、被害を最小限に抑えられます。
• 人的リソースの削減: IDSのように検知後の手動対応が不要なため、セキュリティ担当者の負担を軽減できます。
• 多層防御の一環: ファイアウォールやアンチウイルスソフトなど、他のセキュリティ対策と組み合わせることで、より強固なセキュリティ体制を構築できます。
• 規制遵守: 多くのセキュリティ規制や標準において、侵入防御システムの導入が推奨または義務付けられています。

デメリット

• 誤検知（False Positive）: 正常な通信を誤って攻撃と判断し、遮断してしまうことがあります。これにより、業務に支障をきたす可能性があります。
• 過検知（False Negative）: 未知の攻撃や巧妙な攻撃を見逃してしまう可能性があります。
• パフォーマンスへの影響: ネットワークトラフィックをリアルタイムで検査するため、システムの処理性能に影響を与える可能性があります。特に、大規模なネットワークでは高い処理能力が求められます。
• チューニングの必要性: 誤検知を減らし、最適な防御性能を発揮するためには、継続的なチューニングが必要です。
• 未知の脅威への限界: シグネチャベースのIPSは、未知の攻撃（ゼロデイ攻撃）には対応が難しい場合があります。

既存システムとの比較

システム名	主な機能	特徴
IPS (侵入防御システム)	不正な侵入や攻撃を検知し、自動的に遮断・防御	リアルタイム防御が強み。誤検知の可能性あり。
IDS (侵入検知システム)	不正な侵入や攻撃を検知し、管理者へ通知	検知のみで防御は行わない。監視目的。
ファイアウォール	事前に設定されたルールに基づいて通信を許可・遮断	ポートやプロトコルレベルでの制御。アプリケーション層の攻撃には弱い。
UTM (統合脅威管理)	ファイアウォール、IDS/IPS、アンチウイルスなどを統合	複数のセキュリティ機能を一台で提供。導入・運用が比較的容易。
WAF (Webアプリケーションファイアウォール)	Webアプリケーションへの攻撃（SQLインジェクション、XSSなど）を防御	アプリケーション層に特化。IPSが対応しきれないWeb特有の攻撃に対応。

競合

• SIEM (Security Information and Event Management): IPSのログを含め、様々なセキュリティ機器からのログを一元的に収集・分析し、相関分析を行うことで、より高度な脅威検知・分析を可能にします。
• EDR (Endpoint Detection and Response): エンドポイントにおける不審な挙動を検知・分析し、必要に応じて対応措置を講じるシステムです。HIPSの進化した形とも言えます。
• SOAR (Security Orchestration, Automation and Response): セキュリティインシデント対応の自動化・効率化を支援するプラットフォームです。IPSからのアラートに対応するプロセスを自動化できます。

導入ポイント

1. 要件定義: 保護したいネットワークやシステム、期待するセキュリティレベル、予算などを明確にします。
2. 配置場所の検討: ネットワーク全体を保護するNIPSか、特定のホストを保護するHIPSか、またはその両方か、最適な配置場所を決定します。
3. パフォーマンスの考慮: ネットワークのトラフィック量に見合った処理能力を持つIPSを選定します。将来的なトラフィック増加も考慮に入れるべきです。
4. 誤検知対策: 導入前に十分なテストを行い、誤検知による業務影響を最小限に抑えるためのチューニング計画を立てます。
5. 運用体制の確立: IPSは導入して終わりではなく、継続的な監視、チューニング、ログ分析が必要です。運用担当者のスキルアップや体制強化が不可欠です。
6. ベンダー選定: 信頼できるベンダーを選定し、導入後のサポート体制や情報提供なども確認します。

注意点

• 過信は禁物: IPSは強力なセキュリティツールですが、万能ではありません。他のセキュリティ対策（ファイアウォール、アンチウイルス、WAF、EDRなど）と組み合わせた多層防御が重要です。
• 継続的なチューニング: 誤検知を減らし、最新の脅威に対応するためには、定期的なルールセットの更新とチューニングが必須です。
• ゼロデイ攻撃への限界: シグネチャベースのIPSは、まだ知られていない未知の攻撃（ゼロデイ攻撃）に対しては効果が限定的です。
• ログの定期的な確認: IPSが生成するログは、攻撃の状況やシステムの状態を把握するために非常に重要です。定期的に確認し、分析を行う必要があります。

今後

• AI/機械学習の活用: 誤検知の削減と未知の脅威への対応力向上のため、AIや機械学習を活用したIPSの進化が進むでしょう。
• クラウド対応: クラウドサービスの普及に伴い、クラウド環境に特化したIPSや、クラウドセキュリティプラットフォームの一部として提供されるIPSが増加すると予想されます。
• 脅威インテリジェンスとの連携強化: 最新の脅威情報や攻撃パターンをリアルタイムで取り込み、防御能力を向上させる連携が強化されるでしょう。
• DevSecOpsへの統合: 開発段階からセキュリティを組み込むDevSecOpsの流れの中で、IPSの機能がより早期に、そして自動的に組み込まれるようになる可能性があります。

関連キーワード

• IDS (Intrusion Detection System)
• ファイアウォール (Firewall)
• UTM (Unified Threat Management)
• WAF (Web Application Firewall)
• SIEM (Security Information and Event Management)
• EDR (Endpoint Detection and Response)
• SOAR (Security Orchestration, Automation and Response)
• ゼロデイ攻撃 (Zero-day Attack)
• シグネチャ (Signature)
• 誤検知 (False Positive)
• 多層防御 (Defense in Depth)
• サイバーセキュリティ (Cybersecurity)
• ネットワークセキュリティ (Network Security)
• 脅威インテリジェンス (Threat Intelligence)
• パケット検査 (Packet Inspection)