IPS（不正侵入防止システム）とは何か

IPS（Intrusion Prevention System）とはネットワーク上の通信を常時監視し、不正アクセスや攻撃と判断される通信をリアルタイムで検知・遮断するセキュリティシステムです。

サイバー攻撃の高度化により「侵入を完全に防ぐ」のは現実的ではなくなっています。IPSは、万が一攻撃を受けた場合でも、被害を最小限に抑えるために自動でブロックする役割を担います。企業や組織のネットワークを守るための中核的な防御手段として、多くのセキュリティ対策と組み合わせて導入されることが一般的です。

IDS（侵入検知システム）との違い

IDS（Intrusion Detection System）とは不正侵入検知システムのことで、ネットワークやサーバーを監視し、不正アクセスや異常な通信を検知・通知するセキュリティシステムです。

最近では、遮断機能を備えたIDSも登場しており、IPSとの境界は徐々に曖昧になりつつありますが、基本的な役割の違いは「検知のみ（IDS）」「検知＋遮断（IPS）」です。

IPSとファイアウォールやWAFの違い

セキュリティを構成するシステムとして、ファイアウォールやWAFが挙げられます。これらはそれぞれ個別の機能を持っているため、IPSと併用すれば守りをより盤石にすることが可能です。

ファイアウォールとの違い

ファイアウォールとはネットワークの出入口に設置され、不正なアクセスや不要な通信を遮断するセキュリティシステムです。

通信データのヘッダー情報（IPアドレス、ポート番号、プロトコルなど）を確認し、あらかじめ設定されたルールに従って通過させるか遮断するかを判断します。企業のネットワークでは、インターネットと社内システムの境界に設置され、外部攻撃や内部からの不正な通信を防ぐ第一の防御線として機能します。

ファイアウォールはあくまで「通信の制御」が役割であり、攻撃の内容までは把握できないため、IDSやIPS、WAFといった他のセキュリティ対策と併用する多層防御が必要になります。

WAFとの違い

WAF（Web Application Firewall）は、Webアプリケーションへの攻撃に特化したセキュリティシステムです。SQLインジェクションやXSS（クロスサイトスクリプティング）など、アプリケーション層の脆弱性を狙った攻撃を検知・防御します。

WAFが保護するのはWebアプリケーションであり、通信の中身を解析し、不正なアクセスパターンと照合して遮断します。ネットワーク層やOS層を対象とするIPSとは、防御対象が異なります。

つまり、IPSはシステムやネットワークの防御が主目的であるのに対し、WAFはWebサイトやWebアプリを守るための専用防御線です。両者は補完関係にあり、併用することで多層的なセキュリティ対策が可能となります。

IPSの検知方法

IPSは不正アクセス検知の仕組みにおける違いから、複数の種類に分類されます。その中でも主要なものを紹介します。

シグネチャ型

シグネチャ型は過去の攻撃パターン（シグネチャ）と通信内容を照合することで、不正アクセスを検知・防御する方式です。既知の脅威に対しては高精度で対応でき、誤検知も比較的少ないのが特長です。特定の脆弱性を突いた攻撃や、公開された攻撃手法への備えに効果的です。

一方で、未知の攻撃や変化した手口への対応は苦手であり、最新の脅威に備えるにはシグネチャの定期的なアップデートが不可欠です。そのため運用には継続的なメンテナンスが求められます。

アノマリ型

アノマリ型IPSは通常の通信パターンを事前に学習し、そのパターンから逸脱した異常な通信を検知・遮断するセキュリティシステムです。未知の攻撃やゼロデイ攻撃にも対応できる点が特長で、シグネチャ型では検出できない新手の手口にも反応します。検知には、トラフィック量やプロトコルの挙動などを指標として用います。

ただし、正常な通信との違いを判断するための学習精度が不十分だと、正当な通信を攻撃と誤る誤検知が発生しやすく、運用には継続的なチューニングや学習データの更新が求められます。

IPSの種類

IPSは、システムの設置場所や監視・検知対象によって、いくつかの種類に分類されます。それぞれにメリットとデメリットがあり、複数のIPSを使い分けることによってより強固なセキュリティ体制を築けます。

ホスト型

サーバーに直接インストールして設置するタイプのIPSです。HIPS（Host-based Intrusion Prevention System）とも呼ばれます。不審なアクセスだけでなく、ログ改ざんや不正なファイル操作など、サーバー内部での異常にも対応できます。ネットワーク全体を監視するネットワーク型に比べて対象は限定されますが、個別のホストに対する高精度な防御が可能です。

ただし、複数のサーバーを保護するにはそれぞれに導入が必要なため、台数が多い場合は管理負荷やコストに注意が必要です。

ネットワーク型

ネットワークにおける外部と内部に設置し、外部からの通信を監視するIPSです。NIPS（Network-based Intrusion Prevention System）とも呼ばれます。複数のサーバーや端末をまとめて保護でき、広範囲の監視に優れています。主にルーターやファイアウォールの内側に設置され、外部からの不正アクセスをネットワーク単位で防御します。

ホストごとの細かな制御はできないため、精密な挙動検知が必要な場合はホスト型との併用が有効です。

クラウド型

クラウドサービスを利用する形で導入するIPSです。インターネット経由で利用するサービス型のIPSで、ネットワーク設定や運用を提供ベンダーに任せられる点が特長です。

物理機器の設置が不要で導入が容易な一方、検知精度や対応範囲はベンダーの技術力に依存します。また提供元側で障害が発生すると、自社ネットワークに問題がなくても影響を受けるリスクがあります。セキュリティの外部委託であることを踏まえ、信頼性や実績を十分に見極めて選定する必要があります。

IPS（不正侵入防止システム）の機能

IPSの基本機能はネットワークの監視、不審アクセスの検知、検知した通信の遮断です。これらの機能で防げるものやメリットを紹介します。

リアルタイムで不正アクセスを検知できる

IPSはシグネチャ型とアノマリ型の検出手法を用いて不正アクセスを検知します。近年のサイバー攻撃は多様化・巧妙化しており、どちらか一方に依存するのではなく、既知の攻撃（シグネチャ）と異常な挙動（アノマリ）の両方を組み合わせることで、より広範な脅威への対応が可能です。複数手法の併用でリアルタイムで不正アクセスを検知できるのはIPSのメリットです。

ファイアウォールで防げない攻撃を検知できる

IPSはファイアウォールでは見逃されがちな攻撃も検知できるセキュリティシステムです。多くの企業ではファイアウォールを導入していますが、ファイアウォールが監視しているのは主に通信の「送信元」と「宛先」であり、通信内容まではチェックしていません。そのため、正規の送信元を装った不正な通信がすり抜けることもあります。

一方でIPSは通信の中身まで監視できるため、ファイアウォールが検知できなかった攻撃も補足でき、より強固なセキュリティ対策が可能になります。

検知した攻撃を自動で遮断できる

IPSはネットワークやOS層への攻撃に強く、以下のような脅威を自動で検知・遮断できます。

一方でWebアプリケーションの脆弱性を突いた攻撃にはIPSだけでは不十分です。以下のような攻撃にはWAFとの併用が推奨されます。

たとえば、IPSでSYNフラッド攻撃のようなネットワーク層の攻撃を遮断しつつ、WAFでSQLインジェクションなどのアプリケーション層の攻撃を防ぐことで、異なるレイヤーに対する脅威を包括的にカバーできます。

このように、それぞれのセキュリティ製品の特性を活かして組み合わせることで、より堅牢で実践的な多層防御を構築することが可能です。

総合セキュリティ対策なら
パロアルトネットワークス

パロアルトネットワークスでは、IPSをはじめとしたセキュリティシステム構築に役立つ製品を多数リリースしています。IPS単体で全てのサイバー攻撃に対応するのは難しいため、ファイアウォールやWAFなど他のシステムを組み合わせることで、盤石なセキュリティ体制を築けるようになります。パロアルトネットワークスのPalo Alto PAシリーズでは幅広い機能を取り合わせたサービスを提供しており、さまざまな攻撃からネットワークを守ることが可能です。

• パロアルトネットワークスが手がけるサイバーセキュリティ

まとめ

IPSは、サーバーの通信状態を監視し、不審な通信を検知して遮断することで外部からのサイバー攻撃を防ぐシステムです。異常の検知方法や設置場所によってさまざまな種類に分類されますが、多様化するサイバー攻撃に対応するためには、複数の形態を取り入れて体制を築く必要があります。本記事を参考に、製品型のセキュリティシステム導入も検討しつつ、不正アクセスに備えましょう。