Trellix Intrusion Prevention System（IPS）の主な機能とメリットについて

こんにちは。セキュリティ分野におけるお客様の課題解決や、最先端のセキュリティ製品を利用したサービスの企画を担当している大塚です。

侵入防止システム（IPS：Intrusion Prevention System）は長い歴史を持っています。1990年代初頭におけるインターネットの普及に伴い、企業ネットワークへの攻撃が増加し始めましたが、これに対抗するために、侵入検知システム（IDS：Intrusion Detection System）が登場しました。IDSはネットワークやホストのトラフィックを監視し、不正アクセスや攻撃の兆候を検知するものでしたが、攻撃を検知しても自動的に防御する機能は持っていませんでした。

そこで、Trellix社の旧社名であるMcAfee社は2004年にNetwork Security Platform（NSP）というIPS製品をリリースしました。この製品はネットワークにおける侵入防止システムとして設計され、リアルタイムで攻撃を検知・防御する機能を持っていました。その後、McAfee社はIPS技術を強化し、Trellixに社名を変えても進化を続けています。

本ブログでは、Trellix IPSにて提供される機能をご紹介し、その利点について解説します。

IPSの重要性とTrellix IPSが選ばれる理由について

IPS製品を利用する企業や組織が年々増え続けている背景には、ランサムウェア攻撃の増加があります。ランサムウェア攻撃は、重要なファイルを盗み出して暗号化する前に、組織内部に侵入して探索を行うという特徴があるため、入り口対策と出口対策の両面で高い効果を発揮するIPS製品が、多くの企業や組織で有効な防御手段として注目されています。

総務省の調査報報告書 (2024年) によると、不正アクセスは前年より約187%増加し、ランサムウェア被害も年間100件ほどで高止まりしています。さらに、IPA（独立行政法人情報処理推進機構）の「情報セキュリティ10大脅威 2025 [組織]」では、機密情報などを狙った標的型攻撃が10年連続ランクインしていますが、それ以外にもシステムの脆弱性を突いた攻撃やランサム攻撃による被害も上位に挙がっています。

※参考：総務省：ICTサイバーセキュリティ政策の中期重点方針

※参考：IPA独立行政法人情報処理推進機構：情報セキュリティ10大脅威 2025

従来のファイアウォールはステートフルインスペクションや不要ポートの絞り込み、NATによる内部端末の保護に長けていますが、脆弱性など内部サーバーのOS側に存在する欠陥への攻撃を防ぐには物足りません。また、UTM製品は高パフォーマンスが求められる環境において専用のIPS製品に劣ることが多いです。

IPS製品はファイアウォールやUTMと比べて高いパフォーマンスやスケーラビリティ、カスタマイズ性を発揮します。IPS専用機のため、複数の機能を持つUTMに対して1つのことに専念できるうえ、ライセンスやモジュール拡張、仮想アプライアンスを利用することでスピードとスケーラビリティを実現します。また、IPSに特化したOSを持つので管理者は好きなようにルールやポリシーを作成することができるのが特長です。

IPS製品の中でもTrellix IPSは20年以上の歴史を持ち、Trellix社の高い技術力や研究開発により洗練されているIPS製品です。次にTrellix IPSの主な機能をご紹介します。

Trellix IPSの主な機能とメリット

Trellix IPSは、シグネチャ（特定の脆弱性や攻撃種を防御するための情報）、不正なボットネット（複数のネットワーク機器やIoTデバイスなどに不正プログラムを感染させることで乗っ取り、攻撃者の指示に従いDDoS攻撃などを仕掛けるもの）とマルウェア検知、高度な侵入防止機能、DOS（サービス妨害攻撃）防御などを保有します。また、Trellix Intelligent Virtual Execution（IVX）といった未知のマルウェアを動的解析で発見することが得意なサンドボックス機能を持つ製品と連携することもできます。この複層的な攻撃防止方法により、Trellix IPSはゼロデイ攻撃や複雑なマルウェアを含む既知と未知脅威を検知して防御することができます。

さらにTrellix IPSは高いパフォーマンス、スケーラビリティとクラウド環境とのシームレスな統合を実現できるため、ハイブリッドのネットワーク環境に最適です。

Trellix IPSの主な機能として、以下が挙げられます。

1. リアルタイムの脅威検知と防御
2. ネットワーク境界の防御強化
3. ゼロデイ攻撃の高度な標的型脅威（APT）への対応
4. 運用の効率化と可視化
5. コンプライアンス対応

1. リアルタイムの脅威検知と防御

外部に公開しているシステムで脆弱性が発見されても、脆弱性を利用した攻撃に合致する通信をIPSシグネチャによってインライン構成でリアルタイムに検知、遮断することが可能です。そのため、既知の脆弱性を突いた攻撃からサーバーを保護することができます。

脅威検知と防御におけるTrellix IPSの主な特長は以下の通りです。

• シグネチャベース検知：既知の攻撃パターンを識別
  • シグネチャの個別カスタマイズが可能（重大度やアクション変更、通知設定）
  • テンプレートを利用して作成可能なカスタムIPSシグネチャのサポート（Trellix独自フォーマット）
  • 緊急性の高い脆弱性が報告された場合は緊急シグネチャによる対応が可能
• アノマリ検知：通常とは異なる挙動を検出
• プロトコルのアノマリ検知：通信プロトコルの不正利用を検知
• 攻撃検知時のパケットキャプチャを使用した誤検知判断

2. ネットワーク境界の防御強化

ネットワーク境界対策として、Trellix IPSは入り口対策と出口対策、そして内部対策を設けることができます。

入り口対策

組織の運用システムで脆弱性が発見・報告されても、脆弱性を利用した攻撃に合致する通信をIPSシグネチャによって検知・遮断することが可能なため、既知の脆弱性を突いた攻撃から組織内のシステムを保護できます。Trellix IPSでは、以下機能を利用してこれを実現します。

• ネットワークへの攻撃のハッシュ値によるDeny List/Allow List（製品内部）
• 脅威インテリジェンス情報の活用
  • Threat Intelligence Exchange（TIE）へのレピュテーション照会（外部データベース）
  • Global Threat Intelligence（GTI）へのレピュテーション照会（外部データベース）
• ファイル解析
  • PDF／Flash／Microsoft Office ファイルを解析するIPS Analysis（製品内部）
  • ファイル解析製品との外部連携による動的解析を行うIntelligent Sandbox（Trellix IS）とIntelligent Virtual Execution（IVX）
  • Android Package Kit（apk）ファイルを解析するTrellix Cloud（外部サービス）
• マルウェア分析
  • 専用のマルウェア検知エンジン（Gateway Anti-Malware（GAM））によるアンチウイルスシグネチャ、ファイルレピュテーション、エミュレーション（製品内部）

出口対策

組織から外部への不審な通信を検知したり、各通信の中身を可視化したりする機能を実装しています。

• シグネチャによる対策
  • シグネチャによる検出（Deny List）：マルウェアに感染した端末やボット化した端末から発生する特徴的な通信パターンのシグネチャを有し、それを元に検出します
• ボットネット対策
  • Advanced Botnet Detection：ボットに関連する複数のアラートが単一のホストから複合的に発生する場合、ヒューリスティックベースのアラートを上げることができます
  • Call Back Detector DB：Trellix Advanced Research Center（専用研究機関）が収集したボットネットに関する情報（C&CサーバのIPアドレス、ドメイン、URL、メタデータなど）をデータベース化してIPS製品内に保持し、不審な外部向け通信の解析を実施します
  • DNS Heuristic Botnet Detection：Trellix Domain Generation Algorithm（DGA）／Fast Flux（接続C&Cサーバのドメイン、IPを動的に変更する攻撃手法）など、Botが使用するDNSクエリの挙動を分析して検知します

内部対策

侵害された端末からの内部偵察など不審な通信に対しても検知することができます。

• ウイルス感染活動：感染したクライアントからの社内サーバーへのワーム通信や攻撃行為を検知・遮断し、Trellix IPSセンサーを経由する通信に対して有効です
• 非正常アクセス検出：感染、あるいは踏み台となった端末から社内サーバーへの不審な通信やアタック行為を検知し、ブルートフォース攻撃などもシグネチャにより検知、偵察行為を発見します

3. ゼロデイ攻撃の高度な標的型脅威（APT）への対応

近年のサイバー攻撃は巧妙化しており、既知のシグネチャに依存するだけでは防ぎきれません。その中で、高度な標的型攻撃（APT）は多段階かつ長期間にわたる攻撃であるため、単一の防御策では対応が困難です。Trellix IPSはシグネチャベース検知、異常検知、振る舞い分析、機械学習など複数の検知技術を活用して未知の攻撃やゼロデイ脆弱性を利用した攻撃も検知・防御する機能を備えています。具体的に以下のようにAPTに対応することができます。

多層的なAPT検知

• シグネチャベース検知：既知のマルウェアや攻撃手法に対するシグネチャを用いて迅速に検知・ブロックします
• アノマリ検知：通常のネットワーク挙動から逸脱した通信や動作を検知し、未知の攻撃やゼロデイ攻撃の兆候を捉えます
• 振る舞い分析：攻撃者の典型的な行動パターン（例：横展開、権限昇格、データの不正送信など）を分析し、攻撃の進行を早期に察知します
• 機械学習・AI技術：大量の通信データやログを解析し、微細な異常や攻撃の兆候を検出します

リアルタイムの脅威インテリジェンス連携

TrellixのTIEやGTIと連携し、最新のAPT攻撃手法やマルウェア情報をリアルタイムで取得し、新たに発見された脅威に対しても迅速に対応可能です。

高度なプロトコル解析とコンテキスト認識

APT攻撃はしばしば正規の通信に偽装して行われるため、単純なパケット検査では検知が困難です。Trellix IPSは、アプリケーション層まで深く解析し、通信のコンテキストを理解することで、隠れた攻撃を検出します。

自動化された対応とブロック機能

検知した攻撃に対して自動的に通信を遮断したり、攻撃元IPをブロックしたりすることで被害の拡大を防ぎます。また、管理者へのアラート通知や詳細なログ記録も行い、迅速なインシデント対応を支援します。

統合セキュリティプラットフォームとの連携

エンドポイントセキュリティやSIEM、SOARなど他のセキュリティ製品と連携し、APT攻撃の検知から対応までの一連のプロセスを効率化します。

4. 運用の効率化と可視化

侵入防止対策の専用製品であるTrellix IPSは、ネットワークトラフィックの詳細なログやアラートを生成し、セキュリティ運用チームにとって重要な情報源となります。以下のようにネットワーク運用の効率化と可視化を実現します。

統合管理コンソールによる一元管理

• 集中管理：複数のIPS製品を一つの管理コンソールから一元的に管理できます。これによりポリシー設定、シグネチャの更新、アラート管理などを集中的に実施し、運用負荷を大幅に軽減します。
• ポリシーの一括適用・変更：ネットワーク全体にわたるセキュリティポリシーを一括して適用・変更できるため、設定ミスや運用のばらつきを防止します。

ダッシュボードとレポートによる可視化

• リアルタイムダッシュボード：攻撃の検知状況、トラフィックの傾向、システムの稼働状況などをリアルタイムでグラフィカルに管理画面で表示します。運用担当者は一目瞭然でネットワークのセキュリティ状態を把握できます。
• 詳細なレポート機能：日次・週次・月次のレポートを自動生成し、攻撃傾向や対応状況を可視化します。経営層や他部門への報告資料としても活用可能です。

アラートの優先順位付けとフィルタリング

• 重要度に応じたアラート分類：膨大なアラートの中から、重要度や緊急度に応じて優先順位が付くため、運用担当者は迅速に対応すべきインシデントに集中できます。
• ノイズの低減：誤検知や不要なアラートをフィルタリングし、運用効率を向上させます。

自動化・連携機能による運用効率化

• 自動シグネチャ更新：最新の脅威情報に基づくシグネチャを自動的に更新し、常に最新の防御状態を維持します。
• 他セキュリティ製品との連携：SIEMやSOARなどの運用管理ツールと連携し、アラートの自動集約やインシデント対応の自動化を実現。これにより、人的リソースの削減と対応速度の向上が可能です。

詳細なログ収集と分析

• 豊富なログ情報：攻撃の詳細な通信ログや検知情報を収集し、トラブルシューティングやフォレンジック調査に活用できます。
• 豊富なSIEM連携：Trellix IPSはさまざまなSIEMと連携できるため、そのログ情報をもとに相関分析を実施すればネットワークにおける脅威情報の把握とどのように防止されたかを確認できます。

5. コンプライアンス対応

IPS製品は、多くのコンプライアンス基準において、情報セキュリティの重要な要素として位置づけられ、以下のような観点で必要とされることが多いです。

不正アクセス防止の要件

多くのコンプライアンス基準 （日本国内で該当する基準でいうと、主にPCI DSSとISO/IEC 27001）では、ネットワークへの不正アクセスを防止するための技術的対策が求められています。IPSは、ネットワーク上の攻撃や不正な通信をリアルタイムで検知・遮断する役割を担うため、コンプライアンス要件を満たすための代表的なソリューションです。

脆弱性の悪用防止

APTやゼロデイ攻撃など、既知・未知の脆弱性を悪用した攻撃からシステムを守るためにIPSは重要な防御層となります。コンプライアンス基準では、こうした脆弱性攻撃に対する防御策の実装を求められることが多く、IPSの導入が推奨または必須とされる場合があります。

監査・ログ管理の要件

多くのコンプライアンス基準では、セキュリティイベントの記録と監査が義務付けられています。IPSは攻撃検知のログを詳細に記録し、インシデント発生時の調査や報告に必要な証跡を提供します。これにより、監査対応やインシデントレスポンスの要件を満たすことが可能です。

リスク管理とセキュリティポリシーの実装

ISO/IEC 27001などの情報セキュリティマネジメントシステム（ISMS）では、リスク評価に基づく適切なセキュリティ対策の実施が求められます。IPS製品はリスク低減策の一環として、ネットワーク攻撃リスクを軽減し、セキュリティポリシーの技術的実装手段となります。

具体的なコンプライアンス基準例

• PCI DSS：カード会員データの保護のため、ファイアウォールに加えてIPSなどの侵入防止策の導入が必須です。
• ISO/IEC 27001：リスク管理の一環として、ネットワークセキュリティ対策にIPSを含む多層防御が推奨されます。
• 上記以外にも、米国内の医療情報の保護を目的にするHIPAA（Health Insurance Portability and Accountability Act）や米国政府のセキュリティ基準であるNIST SP 800-53でも、不正アクセス防止のための技術的対策としてIPSの導入が推奨されます。

Trellix IPSの市場実績ついて

Trellix IPS製品は、幅広い業種のお客様に数多くの利用実績があります。その中でも金融機関や公共機関、製造事業者や通信事業者など、不正侵入による機密情報の窃取が特に懸念される業界で採用実績が多いです。

また、発売以来、グローバルだけではなく日本国内でもTrellix IPSを導入している企業が非常に多く、Trellix IPSはIPS市場をリードしてきました。その背景には、以下の要素が挙げられます。

• Trellixのグローバルな脅威情報ネットワークと連携し、最新の攻撃手法に迅速に対応可能
• シグネチャベースだけでなく、アノマリ検知や機械学習を活用した多角的な防御で未知の脅威も検出
• 集中管理コンソールや詳細なレポート機能により、運用負荷を軽減し迅速な対応を支援
• 導入形態はオンプレミス、クラウド、ハイブリッド環境と柔軟に対応し、多様なネットワーク構成に適合

まとめ

IPS製品は決して過去のテクノロジーではありません。企業ネットワークへの不正侵入やマルウェア、ランサムウェア攻撃が急増する中、IPS製品の必要性はますます注目されています。
Trellix IPSは、オンプレミス、クラウドおよび仮想アプライアンスのハイブリッド環境に最適なソリューションであり、最先端のセキュリティ機能を数多く搭載した製品でもあります。社会インフラに関係ある組織に数多く採用されているうえ、その採用実績は年々増え続けています。

当社では、Trellix社の各種ネットワークセキュリティ製品に対する導入時の構築支援のみならず、コンサルティングや運用開始後のテクニカルサポートまでご提供しています。
まずはぜひお気軽にご相談ください。