ネプラスのテックブログ。ネットワーク、クラウド、サーバなどのITインフラ情報を中心に発信中。

  1. ネプラス インフラエンジニア採用
  2. テックマガジン
  3. エンジニア
  4. IPSシステムによる不正アクセス対策で出来ること3選|監視方法と検知の動作

IPSシステムによる不正アクセス対策で出来ること3選|監視方法と検知の動作

  • エンジニア
  • セキュリティ
公開日時:   更新日時:
IPSシステムによる不正アクセス対策で出来ること3選|監視方法と検知の動作
この記事でわかること
    基本情報技術者試験の試験対策はこちら>>

    不正アクセス対策のIPS(不正侵入防止システム)とは


    IPSとは不正侵入防御(Intrusion Prevention System)の略です。
    インライン上に設置することで、トラフィックの解析をリアルタイムで行うことができます。
    TCPやUDP、ICMP などのプロトコルを使うことなく防御できるシステムです。
    IPSではネットワークトラフィックのうち、一部分のみでなく全体を解析し、悪意のある通信などを検知・遮断できます。ファイアウォールで防げないようなアクセスもIPSなら対処できるとされています。
    そのためセキュリティ強化や不正アクセス対策として、多くの企業に導入されています。

    1:IDSとは

    IDSとは不正侵入検知(Intrusion Detection System)の略です。
    コピーされたパケットを分析し、検知して通知します。
    外部から不正なアクセスがあったり、その動きがあったりした場合に、管理者への通知などを行います。

    2:IPSとIDSの違い

    それでは、IPSとIDSは何が違うのでしょうか。
    両方とも不正アクセス対策として動作するもので、トラフィックを解析して不正なアクセスを検出し、通知するという点ではほぼ共通です。
    IPSとIDSの決定的な違いとは、「検出したあと、通信を制御するかどうか」です。
    IPSは不正なアクセスを検出して通知したあと、セキュリティ管理者が通知に気が付く前に通信を遮断します。
    一方、IDSは不正なアクセスを検出して通知したあとの対応はしません。対応はセキュリティ管理者が行います。

    IPSによる不正アクセス対策が必要な理由


    IPSとIDSの違いから、IPSが不正アクセス対策に有効であることが分かりました。
    ただ、IDSの通知を即座に検知して対応すれば、IPSでなくてもよいと思われます。
    IPSによる不正アクセス対策が必要な理由は何でしょうか。
    IPSによる不正アクセス対策が必要な理由とは、「異常検出の仕組みが異なる」ことにあります。
    IPSの異常検出の仕組みは、既知の不正パケットのパターンを検出する方法と、通常と異なるトラフィックを検出する方法の二段構えになっています。
    このため、ファイアウォールで防げないような未知の不正パケットも検出することができます。
    一方、IDSの異常検出の仕組みは、既知の不正パケットのパターンを検出する方法のみです。
    このことから、IPSが不正アクセス対策には必要であることが分かります。

    IPSによる不正アクセス対策で出来ること3選


    前述したとおり、IPSはファイアウォールだけでは防ぐのが困難とされていた脅威にも対応できるのが特長のひとつです。
    それでは、具体的にどのような働きをするのかご紹介しましょう。

    1:不正な通信を検知し遮断できる

    IPSではトロイの木馬、バッグドアが仕組まれた不正な通信なども検知した後に遮断します。
    またDoS攻撃やボットなどの不正な通信の脅威にも対応しています。

    IDSでは不正アクセスを検知するのみですが、IPSは遮断も行います。
    またP2Pソフトやリモートアクセスソフトなど、違法ではないソフトでもウイルス感染や情報漏洩のリスクがあります。
    これらのアプリケーションとの通信も遮断するので、より強固なセキュリティ対策として機能します。
    以下がIPSで遮断可能な通信とアプリケーションの一覧です。

    2:遮断可能な通信

    最初はIPSで遮断可能な通信についてです。
    遮断可能な通信は、「DDoSサーバとの通信」、「DoS攻撃」、「バックドアやトロイの木馬による通信」、「サービスの脆弱性を突く攻撃」、「プロトコルアノマリ攻撃」、「バッファオーバーフロー攻撃」の6つがあります。
    それでは、それぞれについて説明していきます。

    DDoSサーバとの通信

    IPSで遮断可能な通信の1つ目は、「DDoSサーバとの通信」です。
    DDoS(Distributed Denial of Service)とは、複数のコンピュータから同時に行われるサーバ攻撃のことです。
    回線のトラフィックを増大させサーバの負荷を上げる等して、攻撃対象のネットワークやサーバの機能を妨害します。
    攻撃者が複数の無関係なコンピュータを乗っ取って攻撃するため、検出した後もファイアウォールによるフィルタリングが難しいことから、IPSでの防御が有効な不正アクセス対策となります。

    DoS攻撃

    IPSで遮断可能な通信の2つ目は、「DoS攻撃」です。
    DoS攻撃(Denial of Service attack)とは、単独のコンピュータから行われるサーバ攻撃のことです。
    回線のトラフィックを増大させサーバの負荷を上げる等して、攻撃対象のネットワークやサーバの機能を妨害します。
    攻撃するコンピュータは単独なので、攻撃を検知した後にファイアウォールによるフィルタリングで対応できますが、未知のサーバからの攻撃は防げません。
    このことから、IPSでの未然の防御が有効な不正アクセス対策となります。

    バックドアやトロイの木馬による通信

    IPSで遮断可能な通信の3つ目は、「バックドアやトロイの木馬による通信」です。
    バックドアやトロイの木馬は、正規のソフトやファイルになりすます不正プログラムで、個人情報を盗み取ったり他のコンピュータへの攻撃の踏み台にしたりするものです。
    未然の検知が難しいことからファイアウォールやIDSによる予防的な防御は出来ず、IPSの導入が有効な不正アクセス対策となります。

    サービスの脆弱性を突く攻撃

    IPSで遮断可能な通信の4つ目は、「サービスの脆弱性を突く攻撃」です。
    SQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)に代表されるようなサーバのOSやミドルウェアの脆弱性を突く攻撃はほぼ日常の脅威であり、セキュリティ管理者は毎月ベンダーから提供される脆弱性対策アップデートの適用対応に追われています。
    ベンダー提供の脆弱性対策アップデートは攻撃が認識された後に出されるものですので、「サービスの脆弱性を突く攻撃」に対する予防対策としてはIPSの導入が有効な不正アクセス対策と言えます。

    プロトコルアノマリ攻撃

    IPSで遮断可能な通信の5つ目は、「プロトコルアノマリ攻撃」です。
    「プロトコルアノマリ」とは「異常な通信の手順」のことです。
    異常な通信手順を用いた攻撃はファイアウォールやIDSによる事前の定義では防ぎきれません。
    IPSではプロトコル異常が正常時からどれだけ外れるかで検知することができます。
    ただし、検知のために設定する閾値によっては正常な通信が遮断される恐れもあります。
    有効な不正アクセス対策とするためには、設計段階での十分な調査や導入後の継続的なメンテナンスによるチューニングが必要です。

    バッファオーバーフロー攻撃

    IPSで遮断可能な通信の6つ目は、「バッファオーバーフロー攻撃」です。
    「バッファオーバーフロー」とは、サーバ内にある「バッファ」と呼ばれるメモリ領域を超えるデータが送られ、処理できずにあふれたデータが他のメモリ領域に書き込まれるものです。
    悪意あるコードを「あふれたデータ」の中に仕込んでサーバを乗っ取るのが「バッファオーバーフロー攻撃」となります。
    この攻撃は、前述した「脆弱性を突く攻撃」の一種です。
    そのため、事前の対策はベンダーから提供される脆弱性対策アップデートの適用となりますが、未然の予防対策としてはIPSの導入が不正アクセス対策として有効な手段となります。

    3:遮断可能なアプリケーション

    続いてはIPSで遮断可能なアプリケーションについてです。
    遮断可能なアプリケーションは、「P2P」、「メッセンジャー」、「リモートアクセス」の3つがあります。
    それでは、それぞれについて説明していきます。

    P2P

    IPSで遮断可能なアプリケーションの1つ目は、「P2P」です。
    「P2P」とは「peer to peer」の略で、2台のコンピュータ同士がサーバを介さずに直接データをやり取りすることです。
    過去には、「P2P」の技術を用いたファイル共有ソフトによるトラフィック増大や違法ファイルのやり取り、ウィルスが混入したファイル共有によるウィルス感染などの問題が発生しています。
    ただ、「P2P」自体はサーバへの負荷を低減する自立分散型ネットワークモデルとして利用されています。
    ファイアウォールやIDSによる一括的な対応ではなく、IPSで異常検出による対応が、不正アクセス対策として有効となります。

    メッセンジャー

    IPSで遮断可能なアプリケーションの2つ目は、「メッセンジャー」です。
    「メッセンジャー(インスタント・メッセンジャー)」は、ネットに繋がっている相手とメッセージのやり取りができるソフトウェアのことです。
    過去には複数のメッセンジャーソフトでオーバーフローの脆弱性が問題となってことがあります。
    メッセンジャーソフトはP2P技術を利用していることから、ウィルス拡散の危険性も指摘されています。
    正常時には問題ないソフトですので、IPSで異常検知時に遮断するのが、不正アクセス対策として有効と言えます。

    リモートアクセス

    IPSで遮断可能なアプリケーションの3つ目は、「リモートアクセス」です。
    「リモートアクセス」とは、離れた場所からネットワーク経由でコンピュータに接続する「遠隔操作」のことです。
    働き方改革で注目されているテレビ会議システムと並んで多く利用されています。
    便利な「リモートアクセス」も、不正アクセスや盗聴、改ざん、なりすましと言ったリスクが存在しますが、VPN(Virtual Private Network)を使った接続をすることでリスク回避が可能です。
    VPNを介さないリモートアクセスをIPSで検知し遮断するという運用が、不正アクセス対策として有効となります。

    IPSの検知の動作


    ここまでIPSによる検知の有効性を紹介してきました。ここではIPSの検知の動作について紹介します。
    IPSの検知の動作には2つあり、1つは「シグネチャ型」、もう1つは「アノマリ型」です。
    それぞれ不正アクセス対策にどのくらい有効なのかを紹介します。

    シグネチャ型

    IPSの検知動作の1つ目は、「シグネチャ型」です。
    「シグネチャ型」は、シグネチャ(検出ルールやパターン)をあらかじめ登録しておいて、監視しているネットワーク上のデータとシグネチャが一致したときに不正と判断します。
    「不正検出型」とも言われます。
    「シグネチャ型」のメリットは、誤検知が少ないことです。
    デメリットとしては、登録されたシグネチャ以外は不正と検知しないので、未登録の攻撃や未知の攻撃を不正として検知することができないことです。
    「シグネチャ型」は、「既知の攻撃」に対する不正アクセス対策として有効な動作と言えます。

    アノマリ型

    IPSの検知動作のもう1つ目は、「アノマリ型」です。
    「アノマリ型」は、ネットワークが正常な時の状態から閾値を設定して登録し、監視しているネットワークの状態が閾値を外れたときに不正と判断します。
    「異常検出型」とも言われます。
    「アノマリ型」のメリットは、「シグネチャ型」で検知できない未登録の攻撃や未知の攻撃を検知することができることです。
    デメリットとしては、閾値の設定次第で誤検知が多くなる若しくは検知ができない可能性があることです。
    「アノマリ型」は、「未知の攻撃」に対する不正アクセス対策として有効な動作と言えます。

    IPSでより高度な不正アクセス対策ができる


    IPSを導入することで、不正な通信やアプリケーションなどを検知・遮断できます。
    社内データや顧客の情報を守るためにも、不正アクセスへの対策はとても重要ですので、不正アクセス検知・遮断システムの導入を検討してはいかがでしょうか。

    FEnetを運営しているネプラス株式会社はサービス開始から10年以上
    『エンジニアの生涯価値の向上』をミッションに掲げ、
    多くのインフラエンジニア・ネットワークエンジニアの就業を支援してきました。
    ネプラス株式会社ロゴ

    ネプラス株式会社はこんな会社です

    秋葉原オフィスにはネプラス株式会社をはじめグループのIT企業が集結!
    数多くのエンジニアが集まります。

    秋葉原オフィスイメージ
    • インフラ業界に特化

      インフラ業界に特化

      ネットワーク・サーバー・データベース等、ITインフラ業界に特化。Cisco Systemsプレミアパートナーをはじめ各種ベンダーのパートナー企業です。

      業界を知り尽くしているからこそ大手の取引先企業、経験豊富なエンジニアに選ばれています。

    • 正社員なのにフリーランスのような働き方

      正社員なのにフリーランスのような働き方

      正社員の方でも希望を聞いたうえでプロジェクトをアサインさせていただいており、フリーランスのような働き方が可能。帰社日もありません。

      プロジェクト終了後もすぐに次の案件をご紹介させていただきますのでご安心ください。

    • 大手直取引の高額案件

      大手直取引の高額案件

      案件のほとんどが大手SIerやエンドユーザーからの直取引のためエンジニアの皆様へに高く還元できています。

      Ciscoをはじめ、Juniper、Azure、Linux、AWS等インフラに特化した常時300件以上の案件があります。

    • スキルアップ支援

      スキルアップ支援

      不要なコストを削減し、その分エンジニアの方へのスキルアップ支援(ネットワーク機器貸出、合格時の受験費用支給など)や給与で還元しています。

      受験費用例)CCNP,CCIE:6-20万円、JNCIS:3-4万円、AWS:1-3万円など

      ※業務に関連する一定の資格のみ。各種条件がありますので詳しくは担当者へにお尋ねください。

    • 現給与を保証します!

      100%現給与保証

      前職の給与保証しており、昨年度は100%の方が給与アップを実現。収入面の不安がある方でも安心して入社していただけます。

      ※適用にはインフラエンジニアの業務経験1年以上、等一定の条件がございます。

    • インセンティブ制度

      インセンティブ制度

      ネットワーク機器の販売・レンタル事業等、売上に貢献いただいた方にはインセンティブをお支払いしています。

      取引先企業とエンジニア側、双方にメリットがあり大変好評をいただいています。

    • 社会保険・福利厚生

      社会保険・福利厚生

      社員の方は、社会保険を完備。健康保険は業界内で最も評価の高い「関東ITソフトウェア健康保険組合」です。

      さらに様々なサービスをお得に利用できるベネフィットステーションにも加入いただきます。

    • 東証プライム上場企業グループ

      東証プライム上場企業グループ

      ネプラスは東証プライム上場「株式会社夢真ビーネックスグループ」のグループ企業です。

      安定した経営基盤とグループ間のスムーズな連携でコロナ禍でも安定した雇用を実現させています。

    ネプラス株式会社に興味を持った方へ

    ネプラス株式会社では、インフラエンジニアを募集しています。

    年収をアップしたい!スキルアップしたい!大手の上流案件にチャレンジしたい!
    オンライン面接も随時受付中。ぜひお気軽にご応募ください。

    ネプラス株式会社へのご応募はこちら↓
    ネプラス株式会社へのご応募はこちら↓

    新着案件New Job