IPSまたは「侵入防止システム」（「侵入検知・防止システム」またはIPDSとも呼ばれる）は、潜在的なマルウェアを特定し、報告し、さらには防止することで機能するアプリケーションである。

IDSとIPSの違い：IDSとIPSの違い

侵入検知システム（IDS）と侵入防御システム（IPS）入門

IDSとは？

IDSまたは「侵入検知システム」は、悪意のあるトラフィックからネットワークやシステムを保護するために特別に作られたソフトウェアである。危険そうな動きがあれば、管理者に報告されることが多い。

IPSとは？

IPSまたは「侵入防止システム」（「侵入検知および防止システム」またはIPDSとも呼ばれる）は、潜在的なマルウェアを識別、報告、さらには防止することで機能するアプリケーションである。

IDSとIPSの違いとは？

ファイアウォールと同様に、IPSはトラフィックフローに対してインラインで展開される。IPSはアクティブなネットワーク・コンポーネントであり、通過するすべてのパケットを検査し、コンフィギュレーションとポリシーに従って適切な対策を講じる。対照的に、IDSは受動的なコンポーネントであり、通常はインラインには配置されず、スパンまたはタップ技術によってトラフィックフローを監視し、通知を発する。

市場におけるIDS、IPS、ファイアウォールの融合

IDS と IPS の検出機能は重複していることが多く、市販されている IPS と IDS のベンダーは、両方の保護機能を 1 つに統合していることが多い。設定オプションにより、管理者はアラートのみを発生させるか（従来の IDS）、または修復措置を講じる必要があるか（従来の IPS）を制御できる。

IPSとファイアウォール技術は、そのルールベースのポリシー制御の類似性から統合されることもある。 IPSとファイアウォールの比較について言えば、ファイアウォールは通常、ポートや送信元／宛先アドレスに基づいてトラフィックを許可または拒否するのに対し、IPSはトラフィック・パターンをシグネチャと比較し、検出されたシグネチャの一致に基づいてパケットを許可または廃棄する。そのため、不審なトラフィックや悪意のあるトラフィックをどのように阻止するかという点では、両製品に共通点がある。

パケットを1回だけ解凍して分析すると、ソリューション全体のパフォーマンスが向上するため、セキュリティ・ベンダーは、パフォーマンスを高く維持しながら、必要なポリシー、通知、およびアクションを実施できるように、3つの製品すべてを組み合わせることがよくあります。

コネクティビティが侵害と攻撃サーフェスを増加させる

侵害や侵入とは、ネットワークやコンピューティング・システムにおける不正なアクセスや活動のことです。脅威行為者は、機密リソースへのアクセス、個人データの窃取、データの改ざん、リソースの破壊、リソースへの正当なアクセスの遮断など、多様な手法や脆弱性を悪用して、生産的な事業運営を阻害します。脅威行為者の動機は、金銭的な利益、復讐、不満を持つ従業員、イデオロギーや政治的対立、あるいは単に競争上の優位性を得るためなど、多岐にわたります。

攻撃対象領域とは、ネットワークやその他のデジタル業務において、不正アクセスによる侵入の可能性がある領域を指します。ネットワークやリソースが接続されていればいるほど、攻撃対象領域は広がります。

従来、企業内部のネットワークは、インターネット・アクセスを完全に拒否するか、データ・センター内の堅牢なファイアウォールの向こう側でのみアクセスを許可することで、外界から遮断されていた。しかし、デジタルトランスフォーメーションの到来に伴い、モビリティのトレンド、あらゆる場所でのインターネットアクセス、クラウド・ベース・コンピューティング、クラウド・ネイティブの企業やサービス、2020年以前には想像もできなかった規模の在宅勤務など、企業は今や、その接続性の程度によって成功するか失敗するかを決めるようになっている。攻撃対象は膨大だ。IPS/IDSのような警戒が不可欠である。

IDS/IPSはどのように脅威を検知するのか？

IDS/IPSシステムは、フィッシング攻撃、ウイルス感染と配布、マルウェアとランサムウェアのインストールとダウンロード、サービス拒否（DOS）、中間者攻撃、ゼロデイ攻撃、SQLインジェクションなどの不審な活動や不正な活動を検知します。クラウドWANとモビリティの増加により、サイバー攻撃を阻止することはより困難になっている。

組織の脅威を理解する

既知の脅威は通常、トラフィック・パターンとシグネチャ・パターンを照合することで検知される。頻繁に更新されるデータベースには、既存の脅威を特徴付ける膨大な数のシグネチャが含まれている。IDS/IPSシステムは、既知のシグネチャとの一致を継続的に探します。

未知の脅威とは、これまでに見たことのない悪意のあるパターンであり、既知の脅威の回避的なバリエーションであることもあり、検出が著しく困難なものです。IDS/IPSは、潜在的に異常なトラフィック・パターンを特定するために行動分析を使用します。通常の」ネットワーク動作のモデルは、機械学習、ヒューリスティック、AI を使用して確立され、更新されます。IDS/IPSは、実際のネットワーク・トラフィックとこれらのモデルを継続的に比較し、侵入イベントを示す可能性のある矛盾した挙動を認識します。

IPSとIDSの種類

侵入検知システム（IDS）の種類を理解する

侵入検知システムには一般的に2つの種類がある：

ネットワーク侵入検知システム（NIDS）：このシステムはネットワーク・インフラストラクチャの一部であり、ネットワークを流れるパケットを監視する。NIDSは通常、スイッチなどのスパン、タップ、ミラーリング機能を持つデバイスと共存する。
ホストベース侵入検知システム（HIDS）：このソフトウェアは、クライアント、コンピュータ、またはサーバーデバイスに常駐し、デバイス上のイベントやファイルを監視します。

侵入防御システム（IPS）の種類を理解する

侵入防御システムには複数の種類がある：

ネットワークベースの侵入防御システム（NIPS）：このシステムはネットワーク・インフラにインラインで配置され、ネットワーク全体のすべてのトラフィックを検査する。
無線侵入防御システム（WIPS）：このシステムは無線ネットワークインフラの一部であり、すべての無線トラフィックを検査する。
ホストベース侵入防御システム（HIPS）：このソフトウェアは、クライアント、コンピュータ、またはサーバーデバイスに常駐し、デバイス上のイベントやファイルを監視します。
振る舞いIPS：このシステムはネットワーク・インフラストラクチャの一部であり、ネットワーク全体の異常なパターンや振る舞いがないか、すべてのトラフィックを検査する。

セキュアなSD-WANにはIDS/IPSの両方が必要

VersaのSecure Cloud IPアーキテクチャ、統合されたシングルスタックで、ハードウェアにとらわれないソフトウェアのみのユニークなSecure SD-WANソリューションを提供します。セキュリティがソリューションのファブリックそのものに統合されているため、ネットワークアーキテクチャ簡素化され、管理するデバイスの数が減り、攻撃対象が限定されます。

Versa Secure SD-WAN シングルパス並列処理アーキテクチャ、最高のIDS/IPS検査性能を保証し、専用の単一目的の侵入検査デバイスの必要性を排除します。Versaスタック内のセキュリティのグランドアップ統合により、ネットワーク内のあらゆる場所で完全なIDS/IPS機能が利用可能になり、あらゆるインターネット、パブリックネットワーク、パーソナルモバイルデバイス、またはIoT接続から保護します。

Versa Secure SD-WAN IDS/IPS以上のものを提供する

VersaのSecure SD-WANソフトウェア定義セキュリティの重要な点は、ユーザー、デバイス、サイト、回線、クラウドのコンテキストインテリジェンスと認識です。これにより、多層的なセキュリティ体制をサポートする強固で動的なポリシーが可能になります。例えば、IT部門は特定のサイト間リンクやインターネットリンクを利用する際に、特定のユーザーやデバイスに対してコンテキストに沿ったIPSポリシーを導入することができます。

Versaの真のマルチテナントアーキテクチャ、データ、制御、管理プレーンの完全なセグメンテーションと分離を包含しており、ネットワーク内のサブネットワーク、組織、またはビジネスユニットごとにカスタマイズされたIDS/IPSポリシーを定義することができます。

なぜVersa？