IPS徹底解説:概要・機能・運用・クラウド対応とIPSとIDSの違いを解説
エバープレイ編集部IPSとは:概要
IPS(Intrusion Prevention System、侵入防止システム)は、ネットワークやホスト上の不正アクセスや攻撃を「検知」するだけでなく、リアルタイムに「防止(阻止)」することを目的としたセキュリティ機器/ソフトウェアです。IDS(Intrusion Detection System、侵入検知システム)が異常や攻撃を検知して管理者に通知するのに対し、IPSは検知に加えてパケット破棄、接続リセット、送信元IPのブロック、ファイアウォールルールの動的追加などの能動的な対策を自動で行います。
IPSとIDSの違い
- 検知のみ(IDS):ネットワーク監視を行いアラートを生成。通常はパッシブモードで運用され、誤検知による障害リスクが低い。
- 検知+阻止(IPS):インラインでトラフィックを解析し、攻撃と判断した場合に通信をブロック。運用にはチューニングと可用性設計が重要。
IPSの種類
- ネットワーク型IPS(NIPS):ネットワーク境界やコアに配置し、トラフィック全体を監視・防御。高スループットが要求される。
- ホスト型IPS(HIPS):各サーバやエンドポイントにエージェントを導入して、プロセスやファイル操作、システムコールを監視・制御する。
- 次世代IPS(NGIPS):従来のシグネチャ検知に加え、アプリケーション識別、ユーザーコンテキスト、脅威インテリジェンス連携、サンドボックス連携など高度な機能を備える。
- クラウド/仮想IPS:仮想アプライアンスやクラウドネイティブサービスとして提供され、クラウド環境のマイクロセグメンテーションやEast-Westトラフィックを保護する。
主要な検知/防御技術
- シグネチャベース:既知の攻撃パターン(シグネチャ)と照合して検知。高速で誤検知が比較的少ないが、未知の攻撃には弱い。
- アノマリーベース(振る舞い検知):正規のトラフィックや振る舞いのベースラインから逸脱した挙動を検出。未知攻撃に有効だが誤検知が発生しやすい。
- ステートフルプロトコル解析:通信の状態やプロトコル仕様に基づき、プロトコル逸脱や不正なシーケンスを検知する。
- ディープパケットインスペクション(DPI):パケットのペイロードまで解析して、アプリケーションレイヤの攻撃(SQLインジェクション、バッファオーバーフロー等)を検知・阻止する。
- サンドボックス連携:疑わしいファイルや動作を隔離環境で実行し、マルウェアの振る舞いを観察してブロックする。
- SSL/TLS 復号・検査:暗号化通信の中身を検査することで、暗号化されたマルウェア通信や攻撃を捕捉する。ただしプライバシーや法令、鍵管理の課題がある。
配置と運用におけるポイント
IPSはインライン配置によって直接トラフィックを阻害できる反面、誤検知がサービス停止につながるリスクがあるため、適切な設計と運用が必須です。主要な注意点は次の通りです。
- 可用性設計:冗長化(アクティブ/スタンバイ、ロードバランシング)やフォールバックモードを用意し、機器故障時に通信が途切れないようにする。
- パフォーマンス要件:スループット、同時セッション数、遅延を確認。DPIやSSL復号を有効にすると処理負荷が大幅に増える。
- チューニングとシグネチャ管理:誤検知(false positive)を減らすため、シグネチャの有効化/無効化や閾値調整、ホワイトリスト運用が必要。
- ログとアラート連携:SIEMやSOARと連携してログを一元管理し、相関分析や自動化された対応フローを導入する。
- テスト運用:まずはパッシブ(IDS)モードで運用し、検知結果を観察・チューニングしてからブロック(IPS)モードに移行するのが一般的。
回避手法とIPSの限界
攻撃者はIPS回避のためにさまざまな手法を使います。代表的なものは以下の通りです。
- パケット断片化や再構成を利用したシグネチャ回避
- 暗号化トラフィック(SSL/TLS)による検査回避
- プロトコルやペイロードの難読化・エンコード(Base64、カスタムプロトコル)
- ポリモーフィック/メタモーフィックなマルウェアでシグネチャ一致を回避
- スローデータ生成(低レートのデータ漏洩)やトンネリングによる検知回避
したがってIPSだけで完璧な防御はできず、エンドポイント保護、ログ監視、脆弱性管理、ゼロトラストアーキテクチャなどと組み合わせる必要があります。
クラウド環境でのIPS
クラウドでは従来型の物理アプライアンスをそのまま使えないため、以下のようなアプローチが取られます。
- 仮想アプライアンス(VM/コンテナ)として展開するNIPS
- ホスト型エージェント(HIPS)によるインスタンス単位の防御
- クラウドプロバイダが提供するマネージドな検出・防止サービス(例:AWSのWAFやNetwork Firewall、脅威検出サービス等)との組み合わせ
- マイクロセグメンテーションによりEast-Westトラフィックを制御
クラウドは動的にスケールするので、IPS構成も自動スケーリングやCI/CDパイプラインと連携して運用することが求められます。
導入のユースケース
- 外部からの不正侵入や既知脆弱性攻撃のブロック(境界防御)
- 社内ネットワークでのマルウェア拡散や横移動の阻止
- Webアプリケーション攻撃の一部(ただしWAFと併用が有効)
- セキュリティインシデントの初動対応(自動隔離や通信遮断)
運用・管理のベストプラクティス
- 初期はパッシブモードで観測、誤検知を減らしてからブロックを有効化する。
- 定期的なシグネチャ更新と脅威インテリジェンスの導入。
- ログをSIEMに集約し、相関分析・アラートの優先順位付けを実施。
- 定期的なペネトレーションテストやレッドチーム演習で実戦的な検知精度を評価。
- 運用手順(運転監視、誤検知発生時の対応、機器障害時のフォールバック)を文書化。
まとめ
IPSはネットワーク防御の重要な構成要素であり、リアルタイムで攻撃を阻止できる強力なツールです。しかし、誤検知のリスクや暗号化トラフィックへの対応、回避手法の存在など限界もあります。そのため、IDS/IPSの使い分け、他のセキュリティコントロールとの連携、慎重なチューニングと運用が不可欠です。近年はNGIPSやクラウド対応のソリューション、機械学習を活用した検知などが進み、従来型のシグネチャ中心の防御から多層的でコンテキストを考慮した防御へと進化しています。
参考文献
- NIST Special Publication 800-94: Guide to Intrusion Detection and Prevention Systems (IDPS)
- Snort — オープンソースIDS/IPS(Snort公式サイト)
- Suricata — オープンソースIDS/IPS/NSM(Suricata公式サイト)
- OWASP ModSecurity Core Rule Set(WAFルールセット、参考として)
- Cisco: Intrusion Prevention System(製品情報・概説)
投稿者プロフィール
