ネットワークセキュリティ
侵入防止システム(IPS)
別称: IPS
定義
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
侵入防止システム(IPS)はデータパス上にインラインで設置され、IDS と同じ検知手法(シグネチャ、異常モデル、プロトコル解析、レピュテーション参照)を用いつつ、パケットの破棄、セッション切断、フローの隔離、自動対応のトリガなどを実行できます。最新の IPS の多くは NGFW に統合され、または SASE のクラウド検査として提供されます。誤検知は通信障害につながり得るため、ルールはまず検知モードで運用し、チューニング後に遮断モードへ昇格させます。最新の脅威インテリジェンス、必要に応じた暗号化トラフィックの検査、スループット設計、フェイルオープン/クローズド方針、SIEM/SOAR との連携が成功の鍵です。
例
- Snort や Suricata の IPS が EternalBlue のエクスプロイトシグネチャに一致するパケットを破棄する。
- Palo Alto の Threat Prevention モジュールが URL カテゴリに基づき外向き C2 ビーコンを遮断する。
関連用語
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
次世代ファイアウォール(NGFW)
ステートフル検査に加えて、アプリケーション識別・統合 IPS・ユーザー識別・TLS 復号を組み合わせ、よりきめ細かなポリシーを適用する先進的なファイアウォール。
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
ネットワーク型 IDS(NIDS)
ネットワークセグメントから取得したトラフィックを解析し、悪意あるパターンやポリシー違反を検知する侵入検知センサー。