不正侵入検知・防御アプライアンス
IBM Security Network Intrusion Prevention System
(旧製品名 Proventia(R) Network Intrusion Prevention System)
FAQ

シグネチャ

パケットの特徴を記述したパターン。このシグネチャとパケットとを比較することにより通信内容を調査し、不正なアクセスかどうか判断します。

XPU(X-Press Update)

IBM Security Network IPSに対するアップデートモジュールおよびシグネチャ。IBM Internet Security Systems のWebサイトからダウンロードして、IBM Security Network IPSに適用します。

ポリシー

IBM Security Network IPSにおける検知や防御などの設定内容。また、IBM Security Network IPS導入時に設定したポリシーを、IBM Security Network IPSが検知したログに基づき最適な内容に変更することをポリシーチューニングと言います。

イベント

IBM Security Network IPSが検知した項目です。

バーチャルパッチ

セキュリティホールに対する攻撃を防ぐシグネチャのことです。インターネットセキュリティシステムズの研究機関X-Forceから提供される脆弱性を検知・防御するXPUを適用することで外部からの攻撃に耐えられる状態となり、パッチを適用しているのと同じ状態にすることができるためバーチャルパッチと呼んでいます。(IPSモードで動作させる必要があります。)

IBM Security SiteProtector(TM) System

IBM Security Network IPSに対する各種の設定や、検知したイベントのリアルタイム表示を行うための管理システム。ひとつのIBM Security SiteProtector(TM) Systemで複数のIBM Security Network IPSを管理することもできます。

LMI(ローカルマネジメントインターフェース)

WebブラウザによるIBM Security Network IPSの管理・設定を行う画面です。

誤検知

IDS/IPSの誤検知には2種類あります。

1. 不正アクセスではない通信を不正アクセスとして検知すること(False Positive)
2. 不正アクセスの通信を検知しないこと(False Negative)

要因1.

初期のポリシー設定が適切でないために発生する誤検知です。IDS/IPSを設置したネットワークにとって脅威でない通信(Webサーバのないネットワークに対するHTTPを利用した攻撃等)を不正アクセスとして検知することは、IDS/IPSとしては正しい動作ですが、ユーザーの観点では誤検知と言えます。IDS/IPSの構築時にポリシーを十分に検討しますが、運用を開始してからわかる誤検知もあるため、ポリシーチューニングを行って誤検知を減らします。

要因2.

製品にXPUを適用していない場合や、製品に障害がある場合などに発生する誤検知です。XPUの適用によって改善されます。

IDSとIPSの違いは何ですか?

IDSは、Intrusion Detection Systemの略で、ネットワークへの不正なアクセスを検知するシステムです。検知した不正なアクセスをネットワーク管理者に伝えるとともに、調査・分析作業を支援するために必要な情報を保存することを目的としています。
IPSは、Intrusion Prevention SystemまたはIntusion Protection Systemの略で、IDSの機能に加え、不正な通信をドロップするなど、不正なアクセスからネットワークシステムを防御するシステムです。

ワームの亜種の侵入を防ぐことはできますか?

IBM Security Network IPSではバーチャルパッチによりシステムを守っています。IBM Security Network IPSはワームの攻撃パターンで識別しているため、ワームの実行ファイルの一部が変わった亜種が来ても、攻撃パターンは同じなので、侵入を防ぐことができます。

ブロック設定が可能なシグネチャ数はどのくらいありますか?

約3200あります。(2011年6月時点)

Winnyの通信を検知、遮断することができますか?

可能です。WinMX、Napster、Kazaaなどのファイル交換ソフトに対応しています。

SoftEtherの通信を検知、遮断することができますか?

可能です。

正常なアクセスを遮断してしまうことはありますか?

インターネットセキュリティシステムズの研究機関X-Forceが作成した推奨ポリシーをベースに運用するため、正常なアクセスの遮断はほとんどありません。しかし、業務に及ぼす影響を考慮してポリシーを設計する必要があります。

IBM Security Network IPSをブリッジのように動作させることはできますか?

インラインモードで使用することにより、リアルタイムに不正なパケットを検知し防御することができます。

IBM Security Network IPSのモニタリングポートにIPアドレスを付与する必要はありますか?

インラインモードで使用する場合は、パケットをモニタリングするポートに IPアドレスを付与する必要はありません。

管理サーバは必要ですか?

IBM Security Network IPSの集中管理やログの蓄積には、専用の管理サーバが必要です。管理サーバにはIBM Security SiteProtector(TM) Systemという管理システムを導入します。IBM Security Network IPSの集中管理やログの蓄積をしないなら、Webブラウザでの管理が可能です。(一部の機種では専用の管理サーバが必須です。)管理サーバはシステム要件にあわせて、別途購入が必要となります。

管理サーバが止まってしまったらどうなるのですか?

IBM Security Network IPSが動作していれば、問題なく検知・防御できます。管理サーバが復旧し、IBM Security Network IPS と疎通がとれるようになった段階で、管理サーバが停止していた間に検知・防御した情報が管理サーバに送られます。

インラインモードでIBM Security Network IPSを使用しているときに、IBM Security Network IPSがハード故障で停止した場合、通信はどうなるのですか?

IBM Security Network IPSでは、すべての通信を通すことができます(フェールオープン) (一部機種では別売オプションが必要)。
別売りオプションを使用することで、フェールオープンとフェールクローズ(すべての通信を止める)を選択することができます。

IBM Security Network IPSにUPSは必要ですか?

IBM Security Network IPSはHDDを持っているので、UPSを設置することを推奨します。ただし、UPS制御ソフトには対応していません。

IBM Security Network IPSがあればアンチウイルスソフトは不要ですか?

ウイルスはワームと異なり、正常な通信により侵入することがある(メールに添付されるなど)ため、IBM Security Network IPSでは防ぎきれません。そのため、IBM Security Network IPS以外にアンチウイルスソフトが必要です。

IBM Security Network IPSは海外製品ですが、マニュアルや画面表示は英語ですか?

日本語のマニュアルが用意されています。画面表示は英語です。

IBM Security Network IPS自身は攻撃対象になりますか?

モニタリングポートはIPアドレスを持たず、管理ポート(管理サーバと接続するためのポート)は内部ネットワークに接続しているため、IBM Security Network IPSが攻撃対象になることはありません。

IBM Security Network IPSは設置したらすぐに使えますか?

インターネットセキュリティシステムズが提供する推奨ポリシーを使えば、すぐにご利用いただけます。なお、SSLではIBM Security Network IPSの構築を行うサービス(不正侵入検知・防御サービス(IDS/IPS 構築サービス))をご提供しています。

構築に関する作業項目と作業期間について教えて下さい。

SSLの構築サービスでは、ヒアリングから構築まで1～2ヶ月、運用開始後のポリシーチューニングが1ヶ月程度です。

IBM Security Network IPSは、どこに設置すればよいのですか?

社内のどこを守りたいか、その目的により異なります。[IBM Security Network IPS概要]

IBM Security Network IPSのポリシーはカスタマイズできますか?

IBM Security Network IPSでは、インターネットセキュリティシステムズが提供する推奨ポリシーまたはネットワーク環境にあわせてカスタマイズしたポリシーを使用することができます。カスタマイズの内容は、個々のシグネチャごとの監視／非監視、検知時のレスポンスの設定などです。

IBM Security Network IPSがあれば、ファイアーウォールは不要ですか?

IBM Security Network IPSには、IPフィルターによる簡易的なファイアーウォール機能があります。NATやルーティング機能は無いため、一般的なファイアーウォールの代替には向きません。

IBM Security Network IPSの冗長構成はできますか?

機種により異なります。
冗長構成ができるのは、IBM Security Network IPS GX5xxx, GX6xxx シリーズです。

製品のアップデートは自動化されていますか?

設定により自動化できます。
定期的に新しいアップデートモジュールがないかを確認し、モジュールがある場合は、設定した時刻にモジュールの適用を行ないます。

シグネチャのリリース頻度はどのくらいですか?

毎月1～3回程度(緊急パッチがなければ月に1回)リリースされています。

XPUはどのように適用するのですか?

インターネット経由で最新のXPUをダウンロードして適用します。インターネットに接続されていない場合は、接続している他のPCからXPUをダウンロードしてください。

XPUを適用するのにどれくらい時間がかかりますか?

XPUに含まれるシグネチャの数によっても違いますが、100MbpsのLANの場合、5～10分程度かかります。

ワームがどこから侵入したのかを確認できますか?

管理システムIBM Security SiteProtector(TM) Systemの画面で確認できます。

レポートの作成ができますか?

可能です。また、スケジュール機能により、自動化することもできます。

ログがいっぱいになったときは、どうすればよいのですか?

必要なログはバックアップして、不要になったログを削除して下さい。
ログがいっぱいにならないように、定期的にログを削除することを推奨します。

運用開始後にはどのような作業項目がありますか?

大きく分けて6項目あります。

1. IBM Security Network IPSおよびIBM Security SiteProtector(TM) Systemの稼動監視
2. イベント対応(誤報かどうかの確認、ネットワークシステムの対処、イベントの傾向を分析など)
3. IBM Security Network IPSへXPUの適用
4. ポリシーチューニング
5. ログのデータベースのメンテナンス(Q4-7参照)
6. 管理サーバへXPUの適用

保存可能なログの量はどれくらいですか?

保存できる量はハードディスクの容量に依存します。なお、1イベントあたりのログの大きさは2～4KBです。

IDS/IPSのログを解析をすることで何ができますか?

IDS/IPSを設置したネットワークへのアクセスの傾向を調べ、不正アクセスの予防や対策に役立てます。

保守内容について教えてください。

3つの保守メニューがあります。

• 「ソフトウェア&セキュリティコンテンツサービスおよびテクニカルサポート&ハードウェア故障時先出しセンドバックサービス(年間)」(必須)
  XPUのダウンロード、Q&A対応、ハードウェア交換を行います。
• 「ハードウェア故障時オンサイトサービスオプション(対応時間：平日10時～17時)(年間)」(オプション)
• 「ハードウェア故障時オンサイトサービスオプション(対応時間：24時間365日)(年間)」(オプション)
  ハードウェア故障時にお客様先で製品交換を行います。

保守契約を更新しないとどうなるのですか?

初年度の保守契約は必須です。
次年度以降は更新しないと、XPUのダウンロード、Q&A対応、ハードウェアの交換といったすべてのサポートが受けられなくなります。

保守契約期間を教えてください。

保守契約期間は1年です。継続する場合には、期間終了前に更新手続をして下さい。

バーチャルパッチを持たない他社のIPS/IDSとの違いは何ですか?

他社のIPS/IDSでは、脆弱性発表後やワーム発生後にシグネチャが提供されるため、シグネチャを適用するまでの間はネットワークを守ることができません。また、攻撃一つ一つに対してシグネチャが作られるため、ワームの亜種などのような、同じ脆弱性に対する攻撃からネットワークを守ることができません。