今さら聞けない「ロードバランサの基本」 (8) 次世代IPSとADCの連携は"可視化/自動化"で管理者の泣き所を解決

は、このIDSの機能に不正通信の遮断機能を追加したものだ。IDSが不正な通信を検出・通知するのみなのに対し、IPSでは検出と同時に不正な通信を遮断できるため、より強固なネットワークセキュリティを実現できる。

しかし、いまや多くの企業が当たり前のように導入しているIPSも、実際にはほとんどのケースでその機能が十分に活用されていない。せっかくIPSを導入しても、不正通信の遮断機能を使っていないケースが多いのだ。通信の遮断を行うにはIPSをネットワークのインラインに設置する必要があるが、実際にはスイッチのミラーポートに接続し、パケットのコピーを監視して不正パケットの検出のみを行っているケースがほとんどだ。

その理由は、多くの管理者が誤検知による誤遮断を嫌うためだ。IPSにより不正通信の検知を実施すると、正常なパケットを誤って不正パケットと判断して遮断してしまうケースがどうしても起こってしまう。つまり、サービスを提供したい正規ユーザーの通信を遮断して、サービス提供をできなくしてしまうのだ。これに対処しようとすると、実はハードルが非常に高い。IPSによる不正アクセスの検知は、システムの規模にもよるが1日で数千件～数万件におよぶことがある。