IDSとIPSの違い:IDSとIPSの違い

侵入検知システム(IDS)と侵入防御システム(IPS)入門

IDSとは?

IDSまたは「侵入検知システム」は、悪意のあるトラフィックからネットワークやシステムを保護するために特別に作られたソフトウェアである。危険そうな動きがあれば、管理者に報告されることが多い。

IPSとは?

IPSまたは「侵入防止システム」(「侵入検知および防止システム」またはIPDSとも呼ばれる)は、潜在的なマルウェアを識別、報告、さらには防止することで機能するアプリケーションである。

IDSとIPSの違いとは?

ファイアウォールと同様に、IPSはトラフィックフローに対してインラインで展開される。IPSはアクティブなネットワーク・コンポーネントであり、通過するすべてのパケットを検査し、コンフィギュレーションとポリシーに従って適切な対策を講じる。対照的に、IDSは受動的なコンポーネントであり、通常はインラインには配置されず、スパンまたはタップ技術によってトラフィックフローを監視し、通知を発する。

市場におけるIDS、IPS、ファイアウォールの融合

IDS と IPS の検出機能は重複していることが多く、市販されている IPS と IDS のベンダーは、両方の保護機能を 1 つに統合していることが多い。設定オプションにより、管理者はアラートのみを発生させるか(従来の IDS)、または修復措置を講じる必要があるか(従来の IPS)を制御できる。

IPSとファイアウォール技術は、そのルールベースのポリシー制御の類似性から統合されることもある。 IPSとファイアウォールの比較について言えば、ファイアウォールは通常、ポートや送信元/宛先アドレスに基づいてトラフィックを許可または拒否するのに対し、IPSはトラフィック・パターンをシグネチャと比較し、検出されたシグネチャの一致に基づいてパケットを許可または廃棄する。 そのため、不審なトラフィックや悪意のあるトラフィックをどのように阻止するかという点では、両製品に共通点がある。

パケットを1回だけ解凍して分析すると、ソリューション全体のパフォーマンスが向上するため、セキュリティ・ベンダーは、パフォーマンスを高く維持しながら、必要なポリシー、通知、およびアクションを実施できるように、3つの製品すべてを組み合わせることがよくあります。

コネクティビティが侵害と攻撃サーフェスを増加させる

侵害や侵入とは、ネットワークやコンピューティング・システムにおける不正なアクセスや活動のことです。脅威行為者は、機密リソースへのアクセス、個人データの窃取、データの改ざん、リソースの破壊、リソースへの正当なアクセスの遮断など、多様な手法や脆弱性を悪用して、生産的な事業運営を阻害します。脅威行為者の動機は、金銭的な利益、復讐、不満を持つ従業員、イデオロギーや政治的対立、あるいは単に競争上の優位性を得るためなど、多岐にわたります。

攻撃対象領域とは、ネットワークやその他のデジタル業務において、不正アクセスによる侵入の可能性がある領域を指します。ネットワークやリソースが接続されていればいるほど、攻撃対象領域は広がります。

従来、企業内部のネットワークは、インターネット・アクセスを完全に拒否するか、データ・センター内の堅牢なファイアウォールの向こう側でのみアクセスを許可することで、外界から遮断されていた。しかし、デジタルトランスフォーメーションの到来に伴い、モビリティのトレンド、あらゆる場所でのインターネットアクセス、クラウド・ベース・コンピューティング、クラウド・ネイティブの企業やサービス、2020年以前には想像もできなかった規模の在宅勤務など、企業は今や、その接続性の程度によって成功するか失敗するかを決めるようになっている。攻撃対象は膨大だ。IPS/IDSのような警戒が不可欠である。

IDS/IPSはどのように脅威を検知するのか?

IDS/IPSシステムは、フィッシング攻撃、ウイルス感染と配布、マルウェアとランサムウェアのインストールとダウンロード、サービス拒否(DOS)、中間者攻撃、ゼロデイ攻撃、SQLインジェクションなどの不審な活動や不正な活動を検知します。クラウドWANとモビリティの増加により、サイバー攻撃を阻止することはより困難になっている。

組織の脅威を理解する

既知の脅威は通常、トラフィック・パターンとシグネチャ・パターンを照合することで検知される。頻繁に更新されるデータベースには、既存の脅威を特徴付ける膨大な数のシグネチャが含まれている。IDS/IPSシステムは、既知のシグネチャとの一致を継続的に探します。

未知の脅威とは、これまでに見たことのない悪意のあるパターンであり、既知の脅威の回避的なバリエーションであることもあり、検出が著しく困難なものです。IDS/IPSは、潜在的に異常なトラフィック・パターンを特定するために行動分析を使用します。通常の」ネットワーク動作のモデルは、機械学習、ヒューリスティック、AI を使用して確立され、更新されます。IDS/IPSは、実際のネットワーク・トラフィックとこれらのモデルを継続的に比較し、侵入イベントを示す可能性のある矛盾した挙動を認識します。

IPSとIDSの種類

侵入検知システム(IDS)の種類を理解する

侵入検知システムには一般的に2つの種類がある:

  • ネットワーク侵入検知システム(NIDS):このシステムはネットワーク・インフラストラクチャの一部であり、ネットワークを流れるパケットを監視する。NIDSは通常、スイッチなどのスパン、タップ、ミラーリング機能を持つデバイスと共存する。
  • ホストベース侵入検知システム(HIDS):このソフトウェアは、クライアント、コンピュータ、またはサーバーデバイスに常駐し、デバイス上のイベントやファイルを監視します。

侵入防御システム(IPS)の種類を理解する

侵入防御システムには複数の種類がある:

  • ネットワークベースの侵入防御システム(NIPS):このシステムはネットワーク・インフラにインラインで配置され、ネットワーク全体のすべてのトラフィックを検査する。
  • 無線侵入防御システム(WIPS):このシステムは無線ネットワークインフラの一部であり、すべての無線トラフィックを検査する。
  • ホストベース侵入防御システム(HIPS):このソフトウェアは、クライアント、コンピュータ、またはサーバーデバイスに常駐し、デバイス上のイベントやファイルを監視します。
  • 振る舞いIPS:このシステムはネットワーク・インフラストラクチャの一部であり、ネットワーク全体の異常なパターンや振る舞いがないか、すべてのトラフィックを検査する。

 

Secure SD-WAN IDS/IPSの両方がSecure SD-WAN

Versa アーキテクチャ 、統合されたシングルスタック、ハードウェア非依存のソフトウェアのみの提供形態で、あらゆるネットワークのニーズに合わせて拡張可能なSecure SD-WAN アーキテクチャ 。セキュリティをソリューションの基盤そのものに統合することで、ネットワークアーキテクチャ簡素化し、管理すべきデバイスの数を削減し、攻撃対象領域を制限します。

Versa Secure SD-WAN アーキテクチャ 、最高レベルのIDS/IPS検査性能をアーキテクチャ 、専用の単一目的侵入検査装置を不要にします。Versa セキュリティの基盤からの統合により、ネットワーク内のあらゆる場所で完全なIDS/IPS機能が利用可能となり、インターネット、公共ネットワーク、個人用モバイルデバイス、IoT接続などあらゆる接続からの脅威から保護します。

 

Versa Secure SD-WAN 単なるIDS/IPS以上のSecure SD-WAN

Secure SD-WAN 重要な側面は、ユーザー、デバイス、サイト、回線、クラウドに対するコンテキスト情報に基づく知性と認識です。これにより、多層的なセキュリティ体制を支える堅牢かつ動的なポリシーが可能となります。例えば、IT部門は特定のサイト間またはインターネットリンクを利用する際、特定のユーザーやデバイス向けにコンテキストベースのIPSポリシーを展開できます。

Versa真のアーキテクチャ——データ、制御、管理の各プレーンを完全に分離・隔離する——により、ネットワーク内のあらゆるサブネットワーク、組織、事業単位ごとにカスタマイズされたIDS/IPSポリシーを定義できます。