IPSの基本機能とは?
基本的には、攻撃パターンのデータベースを用いた「シグネチャ検知」、通常ではあり得ない通信パターンを検知して未知の攻撃を発見する「アノマリ検知」を組み合わせて分析を行う。そして、怪しいパケットを検知した場合、それらに対して「受信したパケットを破棄」「関連するセッションやコネクションを切断」といった防御機能を動作させることが可能だ。
また、IPSの製品形態にはネットワーク型とホスト型の2つのタイプがある。ネットワーク型はアプライアンスで提供され、外からの脅威に対する保護だけでなく、内部で発生した脅威を外に拡散させないという役割も果たす。ホスト型はソフトウェアで提供され、サーバのログや通信を監視してシステムを保護する。
IPSの導入メリットとは?
最近はあらゆる側面から弱点を探し出して攻撃を仕掛けてくるケースが増えているので、攻撃手法に合わせて複数のセキュリティ製品を適切に配置していく必要があり、ファイアウォール、WAF、UTMとともに、IPSもそうした防御対策の一翼を担うことになる。
IPSが異常を検出すると、ファイアウォールに対して対象のパケット(もしくはすべてのパケット)を通過させないようにファイアウォールの設定変更を指示して不正侵入を食い止めてくれる。また、インライン型NIDSでは、侵入を検出すると、それ自体でネットワークを遮断する機能を持っている。
