7.1. IPS/IDS

 IPS/IDSは、不正アクセスや攻撃通信を検知/遮断するサービスです。

注釈

  • IPS/IDSは、サービス相互接続を経由して利用します。別途、サービス相互接続を申し込む必要があります。

7.1.1. 利用できる機能

 IPS/IDSでは以下の機能を利用できます。
機能 概要
IPS/IDS 仮想サーバーへの不正アクセスや攻撃通信を検知/遮断する機能。

7.1.2. IPS/IDS機能

 IPSモードまたはIDSモードを選択できます。
モード 概要
IPS
不正アクセスや攻撃通信が検知されます。
なお、不正アクセスや攻撃通信が検知されると、通信が遮断されます。
IDS
不正アクセスや攻撃通信が検知されます。
なお、不正アクセスや攻撃通信が検知されても、通信は遮断されません。

注釈

  • 検知状況および遮断状況(遮断は、IPSモードの場合のみ)は、弊社が必要と判断した場合に、Emailなどで通知されます。
ルーティング設定
 IPS/IDSを経由した通信のみが検査対象となります。IPS/IDSを利用する際は、以下のようにルーティングを設定してください。
../../_images/image218.png
※ 本項では統合ネットワークアプライアンスをINAと表記します。
  • vファイアウォール/INAで、検査対象サーバーセグメント宛の通信が、IPS/IDSで利用するサービス相互接続GWにルーティングされるように設定が必要です。
  • 検査対象サーバーセグメント上にある仮想サーバーで、仮想サーバーからの通信がIPS/IDSで利用するサービス相互接続GWにルーティングされるように設定が必要です。
  • 仮想サーバーのPing監視を実施する場合、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。

注釈

  • 検査対象サーバーセグメントは、vファイアウォール/INAと直接接続しないでください。
解析処理量
 IPS/IDSで解析可能な通信量は以下のとおりです。
項目 性能 備考
1サービスあたり 最大(5サービス利用時)
トラフィック処理能力 200 Mbps 1Gbps 上り/下りの合計値です。
同時セッション数 40,000 200,000 同時接続可能なセッション数です。

注釈

  • ご利用サービス数を追加することで、最大1 Gbps/200,000セッション(5サービス利用)まで対応可能です。2サービス以上をご利用される場合は、事前にご相談ください。
IPSモードのシミュレーション
 シミュレーションは、IPSモードでの不正アクセスや攻撃通信の検知/遮断精度を高めるための工程です。シミュレーションを実施するかどうかは、IPS/IDSの申し込み時に選択できますが、誤検知を少なくするために実施することを推奨します。
 シミュレーションを実施する場合は、不正アクセスや攻撃通信の検知のみが実施され、通信は遮断されないシミュレーション期間(IPSモードの利用開始後1~4週間程度)が設定されます。シミュレーション期間終了後、IPS/IDSによって遮断対象として検出された通信が、正常通信かどうかを確認してください。確認結果を元に、IPS/IDSの設定が調整されます。

7.1.3. 注意事項

利用するIPアドレス

  • サービス相互接続GWとIPS/IDSを接続するために、プレフィックス長が/29~/24のIPアドレスブロックが2つ必要です。IPアドレスブロックが既に利用されている場合は、変更をお願いする場合があります。
  • 割り振られたIPアドレスブロックは弊社にて管理し、必要な機器にIPアドレスを割り当てます。
制約事項

  • 実際の通信量がお申し込みいただいた解析処理量の上限を超えた場合、通信が破棄される場合があります。

  • 暗号化された通信は検知/遮断対象外です。

  • TCP/UDP/IPプロトコルに違反するパケットや異常なパケットは、お客様個々の設定内容に関わらず、標準機能として破棄します。

    (例)

    • IPヘッダが途中で切れている場合
    • ポート番号が0の場合
    • TCPフラグの組み合わせ異常の場合 等
  • 本機能を構成する機器が故障などの原因で交換された場合、交換前の機器のログおよびイベントレポートについては、セキュリティWebポータルから確認することはできません。また、冗長構成機器で正常系サーバーと待機系サーバーが切り替わり、機器交換を実施せずに切り戻しを実施した場合、切り替わりが発生していた期間のログおよびイベントレポートについては、セキュリティWebポータルから確認することはできません。

  • IPS/IDSは、IPS/IDS機能が、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。また、IPS/IDS機能を構成する機器の開発元または販売元より提供される不正/攻撃通信の検知アルゴリズムの妥当性を保証するものではありません。

  • IPS/IDS機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。

    • IPS/IDSの提供を通じて得られた設定情報
    • IPS/IDSの制御などに関する情報
  • IPS/IDS機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。

  • ネットワーク環境の変更は、関連サービスと連携して実施する必要があります。ネットワーク環境設定変更の納期は、作業内容により異なります。

  • メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。