ファイアウォール：そのIPSセッティング 本当に大丈夫ですか？

記事の目的

Check Point Softaware Technologiesの篠原です。

脅威防御の一つとして、ファイアウォールにおいてIPS（Intrusion Prevention System:侵入防止システム)機能を使用している方も多いかと思います。

ここでは、Check PointファイアウォールでIPS機能を利用している方、これから使用を検討している方に対して、設定内容に関する理解と、使用される環境における設定に対して一助となる情報を共有します。

IPSとは？

IPSはブルートフォース攻撃、サービス拒否(DoS)攻撃、脆弱性の悪用などのネットワークセキュリティ攻撃を検出または防止する機能です。 脆弱性はソフトウェアシステムの弱点であり、エクスプロイトはその脆弱性を利用してシステムを制御する攻撃です。 エクスプロイトが発表されると、多くの場合、セキュリティパッチが適用される前に、攻撃者がその脆弱性を悪用する機会があります。 このような場合は、この侵入防止システムを使用し、"仮想パッチ”の役割でこれらの攻撃を迅速にブロックすることが可能になります。

Check Pointのファイアウォール（QuantumシリーズやCGNS：Cloudgurad Network Security）では、IPSブレードの有効化により、上記ような不正侵入に対する攻撃を防止することが可能になりますが、単にIPSブレードの有効化だけで安心していると不十分なケースが考えられます。

ここでは、Check Pointのファイアウォールを例に、IPSに関するセッティングがどうなっているのかを認識し、状況により有効な対応ができるようになるためのヒントをお伝えします。

Check PointのIPSシグネチャ

IPS機能による侵入防止は、ネットワーク上を流れる通信を監視し、主に「攻撃パターンの定義情報」であるIPSのシグネチャをベースに、リアルタイムな検知および防御が行われます。

毎日のように各ベンダから公表されるソフトウェアの脆弱性に基づき、対応する新たなIPSシグネチャは、適宜アップデートされています。

Check Pointのシグネチャの情報は、Advisories Archiveで確認することができます。
2025年版の情報はこちらを参照して下さい。

Check PointファイアウォールにおけるIPSシグネチャアップデート

Check Pointファイアウォールおよび管理サーバでは、定期的に更新されているシグネチャの情報をCheck Pointサーバから取得しています。

デフォルト設定では、2時間毎にシグネチャのアップデートが行われます。
アップデートされたシグネチャ情報はCheck Pointの管理サーバの操作用アプリケーションであるSmartConsoleから確認することができます。

”Security Policies"＞”Therat Prevension：Custome Policy"から”Custom Policy Tools”内の”IPS Protections”

この時点で、16,925のシグネチャが存在していることが右上の数字から確認できます。
（これにはコア・プロテクションと呼ばれるアクセス制御ポリシーの一部として製品に組み込まれた保護も含まれています)

IPS防御機能に関して

ファイアウォールのIPS機能動作は、細かく見ると取得したIPSシグネチャのタイプおよびThreat Preventionの設定によって動作が異なります。

個々のIPSシグネチャに関しては３つのカテゴリの要素情報が含まれています。

■パフォーマス影響：Performance Impact
そのシグネチャを有効化した場合に、ファイアウォールの CPU/メモリなどのリソースに対する影響表した指標です。レベルとして影響度の高いものから順にCritical/High/Medium/Low/Very Lowとその度合が定義されていないN/Aに分けられています。

■重大度：Severity
その脆弱性・攻撃がどれほど危険で、セキュリティリスクが高いかを示す指標です。
リスクが高いものから順にCritical/High/Medium/Lowと、その度合が定義されていないN/Aに分けられています。

■信頼度:Confidence level
そのシグネチャが示す検出結果の確実性に関する指標です。
確実性の高いものから順にHigh/Medium/Lowに分けられています。

例えばOracle製品に関する脆弱性を防御するためのIPSシグネチャでも、Severityは”Critical”であるものの、Performance Impactは異なるものも存在します。

CVE-2013-1861に対するIPSシグネチャを有効化する場合、Perfomance Impactは非常に大きい

CVE-2019-2729に対するIPSシグネチャを有効化する場合、Perfomance Impactは最小限

つまり

・必要としている防御は何か？　
・それに対して適応されているシグネチャはななにか？　
・それを実現する上で実際使用しているファイアウォールの状況のバランスは大丈夫なのか？

を把握することは、セキュリティ侵害を防ぐだけでなく、パフォーマンス影響による予期せぬ通信影響を起こさないためにも重要になってきます。

Check Pointファイアウォールにおけるプロファイル設定

Check Pointファイアウォールでは、IPSを含むThreat Prevention機能に対して、Actionをポリシーにおいて定義します。
ここではCustom Policyの使用を例に説明をいたします。

デフォルトでは、Threat PreventionのCustom Policyでは、以下のように”宛先””送信元”、”サービス”に対して全て「Any」、つまり全ての通信に対してOptimizedのプロファイルが設定されています。

”Security Policies"＞”Therat Prevension：Custome Policy"

まず、このThreat Preventionポリシーにおいて、どの通信に対しどのプロファイルが設定されているのかを把握して下さい。

上記の例で使用されているOptimizedは、予め用意されているプロファイルの一つで、他にStrictとBasicという計3種類のプロファイルが用意されています。

これらのプロファイルの比較は
”Security Policies"＞”Therat Prevension：Custome Policy"から”Custom Policy Tools”の”Profile”
で確認することができます。

Basicプロファイルは、パフォーマンスへの影響を最小限に抑えながら、サーバ向けの様々な非HTTPプロトコルに対して信頼性の高い保護を提供することを目的としています。

Optimizedプロファイルは、最近の攻撃や一般的な攻撃に対して、すべての一般的なネットワーク製品とプロトコルに対し優れた保護を提供することを目的にしています。

Strictプロファイルは、防御範囲を非常に幅広くにカバーするもで、パフォーマンスへの影響よりもセキュリティを重視した設定となります。

詳細にみると、使用するプロファイルにより適応されているIPSをシグネチャに対しPerfomance ImpactとSeverityを基準に、Confidence levelに応じてActionが異なる（Inactive:何もしない/Detect:検出だけ/Preventː防御する）設定になっていることがわかります。

実際のIPSシグネチャとプロファイルの関係

IPSシグネチャアップデートで紹介しましたが、IPSシグネチャは
”Security Policies"＞”Therat Prevension：Custome Policy"から”Custom Policy Tools”内の”IPS Protections”
で確認できます。
ここで、有効化となっているIPSシグネチャを確認することができます。

例えば、Strictプロファイルでは、基本全てのIPSシグネチャに対しPreventのアクションがとられるのに対し、Basicプロファイルで適応されているIPSシグネチャはより限定的であることが確認できます。

また、個々のIPSシグネチャから、それが現在の設定においてどういう動作になっているかも確認することができます。

例えば、米国のサイバーセキュリティ・社会基盤安全保障庁CISAが発表している、実際に悪用が確認されている脆弱性に関するリストKEVカタログにもある、Windowsカーネルの特権昇格の脆弱性であるCVE-2025-62215に対するIPSシグネチャが存在しているのか、それは現在の使用しているプロファイルで防御できるのかを確認したい場合、検索ウィンドウで該当CVE番号を入力すると、状況を確認することができます。

ここではCVE-2025-62215に対するIPSシグネチャは存在するものの、Basicプロファイルでは防御できていないことがわかります。

また、Filterペーンを利用し、SeverityのレベルやConfidence levelのレベルでIPSシグネチャをフィルタリングし、該当するIPSシグネチャに対し使用しているプロファイルでどのようなActionがとられるのかを確認することも可能です。

例えば、Severityが”Critical”で、かつConfidence levelが”High"のものを抽出すると、この時点では374のIPSシグネチャが該当し、それぞれのプロファイルでのActionを確認することもできます。

また、このFilterペーンによる検索はVendorを基に行うこともでき、各ベンダ製品に対するIPSシグネチャとActionの状況を確認することもできます。
　　　　　　　　　　例：Oracle製品に対するIPSシグネチャの確認

このように、Oracle製品に関するIPSシグネチャは、この時点で442種類が確認できます。

例えばここから、最近のセキュリティ侵害事例として数十社規模の攻撃被害も報告されているOracle EBS環境に関する脆弱性CVE-2025-61882/CVE-2025-61884に対するIPSシグネチャは、Basicプロファイルでは”無効（Inactive）”であることがわかります。

プロファイルをカスタマイズする

ここまで紹介したように、既存のプロファイルは、あくまで一つのテンプレートであり、これらを使用している場合、IPS機能を使用している環境に対し必ずしも適切なIPSシグネチャによる防御ができていなかったり、使用環境におけるセキュリティガイドラインと合致しない状況が発生することも考えられます。

その場合、使用環境に応じた、セキュリティガイドラインに従ったプロファイルの設定が必要になります。

新しいプロファイルの作成はスクラッチでゼロから作る方法もありますが、ここでは既存プロファイルを流用してそれをカスタマイズする方法を紹介します。

１．既存プロファイルからCloneを作成

クローンしたい既存プロファイルを右クリックし、[Clone]を選択します。

クローンした新たなプロファイルに対し、適切な名前を設定しましょう。
ここでは、Optimizedプロファイルからクローンし、IPS profile 1として作成した例で説明します。

新たにIPS profile 1が作成されました、
このプロファイルは、Optimizedプロファイルの設定を引き継いでいますので、状況に応じて設定を変更します。

ここでは、このプロファイルはIPSブレードのみで使用するため、IPS以外の使用ブレードのチェックを外しています。
また、今後新たにアップデートされるIPSシグネチャに対する動作は、右側の設定に従いますので、お客様のセキュリティガイドラインに従い適切に変更します。
ここでは、クローン元のOptimizedの設定から”Low confidece"に対しActionを”Prevent”に変更しています。

新たなIPS profile 1のテンプレート設定が完了しました。

２．適応するIPSシグネチャの確認／変更

次に、このプロファイルで適応されるべき、IPSシグネチャを確認／変更します。

”Security Policies"＞”Therat Prevension：Custome Policy"から”Custom Policy Tools”内の”IPS Protections”
の画面において、右上の”Show selected profile"でポップアップウインドウから、作成したIPS profile 1を選択します。

各IPSシグネチャに対するIPS profile 1での適応状況を確認することができるようになりました。

例えば、ここでファイアウォールに対する余分な負荷を軽減する目的として自社環境では使用されていないベンダ製品に対してのIPSシグネチャは無効化してみましょう。
ここでは、Filterペーンから使用環境においては防御が必要ないと仮定し、「D-Link」製品にチェックを入れ、それに関するIPSシグネチャの状況を確認してみましょう。

多くのシグネチャが有効で、”Prevent”アクションの対象になっていることがわかります。
ですので、これらのD-Link製品に対するIPSシグネチャを”Inactive"に変更することで無効化を行います。

これは、IPS profile 1のカラムを右クリックすることで、設定変更することができます。（Shifキーの併用で、複数に対しまとめて変更作業も可能です）

”Inactive Selected"を選択することで、該当IPSシグネチャの無効化設定が完了しました。

逆に、IPS防御が必要な製品に対しての状況を確認してみましょう。
例えば、使用環境では防御を必要とされるOpenSSLに対するIPSシグネチャの状況を確認します。

Filterペーンから「OpenSSL」にチェックを入れてフィルタしてみます。

いくつかのIPSシグネチャは無効化設定となっています。

ここでは、念の為OpenSSLに対するIPSシグネチャを全て有効にし、”Prevent"アクションに変更します。
上と同じく、IPS profile 1のカラムを右クリックし”Prevent Selected"を選択します。

OpenSSLに対するIPSシグネチャが全て有効化設定されました。

Filterペーンでフィルタリング検索は、他にもCVEの年度や、Productなど様々な条件で可能ですが、デフォルト表示されていないものもありますので、Filterペーンの[+]で条件表示を追加して下さい。

このようにして、Filterペーンから、必要な条件でフィルタリングし、IPSシグネチャの有効度合いを確認することで、カスタマイズするプロファイルを自社のセキュリティガイドラインに沿った適切な設定を行うことが容易になります。

また。日々更新されているIPSシグネチャから、必要なものが適応されているかを確認したうえで、適切に設定を変更することが必要となる場合もあります。

例えば、2025/12/01にアップデートされているこのIPSシグネチャは、このIPS profile 1では”Inactive”なので、防御が必要な場合は”Prevent”に変更する

３．Threat Preventionポリシーの変更

プロファイルを変更が終了すると、そのプロファイルをThreat Preventionポリシーに適応させる必要があります。

”Security Policies"＞”Therat Prevension：Custome Policy"
において、Actionで作成したカスタマイズポリシー（この例ではIPS profile 1）に変更して下さい。

もちろん、ポリシーを適応させる状況に応じて[Source]や[Destination]の設定も適切に変更して下さい。

４．Threat Preventionポリシーインストールの実行

Threat Preventionポリシーの変更が終われば、Publishを実行し、該当ファイアウォールにポリシーのインストールを実行して下さい。

これだけ本当に大丈夫？

ここまで、環境に応じたIPSセッティング（プロファイルのカスタマイズ、Threat Preventionポリシーの変更）に関して、説明を行ってきました。

しかし、現状において通信の大部分を占めるHTTPSでやり取りされる全てのアプリケーション層攻撃（例：Web攻撃、マルウェア通信、C&C通信など）を検知するIPSシグネチャは、ファイアウォールにおいてHTTPSインスペクションが有効でなければ検査することができません。

代表的な例としては
・Webサーバ攻撃（SQLインジェクション、クロスサイトスクリプティングなど）
・マルウェアのC&C通信
・エクスプロイト配信
・その他、アプリケーション層での攻撃全般
があります。

ですので、本当にIPS機能による防御を実行的にするのは、HTTPSインスペクションを必要とします。

しかし、ファイアウォールにおいてHTTPSインスペクションを有効化することに関しては、導入されている機種のパフォーマンスに対する懸念等もあるかと思います。

これに対してCheck Pointファイアウォールで可能な、いくつかの対策を紹介します。

１．Gaia OS R82以降におけるHTTPSインスペクション機能「Learning mode」の利用

Gaia OS R82から「Learning Mode」が導入され、HTTPSインスペクションの影響（接続性・パフォーマンス）を事前に評価することが可能になります。

Learning Modeでは、対象となる全てを検査するのではなく、まずはトラフィックの一部のみを検査し、数日から数週間のトラフィックを収集します。その結果としてTLS接続ごとにセッションログが自動生成されるため、問題が発生しやすい通信やリソース消費量を分析することができます。

この分析結果によって、IPSセッティングの見直しや、信頼できるサイトに対するインスペクションのバイパス等の対策を行うことで、「Lerning mode」から「Enforcement Mode（通常モード）」へ移行することで、より堅実にHTTPSインスペクション機能の導入が可能になります。

２．ファイアウォールにおいて、IPS検査バイパス機能の設定

Check Pointファイアウォールでは、高負荷時に一時的にIPS検査をバイパスさせる設定を行うことができます。

これは、SmartConsoleにおいて該当ゲートウェイオブジェクトの[IPS]設置において”Bypass IPS inspection when gateway is under heavy load”にチェックを入れることで機能が動作します。
「高負荷」に対する定義もCPU使用率／メモリ使用率でしきい値の設定が可能です。

ただし、これは一時的なパフォーマンス対策として推奨されているもので、最適化後は無効化することがベストプラクティスとされています。

また、IPSバイパス中はセキュリティリスクが高まるため、これを狙ったエクスプロイト対策も考慮し、運用には充分な注意が必要とされるものです。

３．Check Point Maestroソリューションによるスケールアウトの実現

使用環境に対して適切なサイジングが行われていないモデルを利用している限り、高負荷状況が継続して発生する状況が生じた場合、恒久的／根本的な対策は難しく、より高パフォーマンスな機器への変更が求められる場合も考えられます。

この場合、既存機器をリプレースすることは、作業的に、また時間的にも非常な負担になってしまいます。

Check PointのMaestroソリューションをご導入いただいていると、サービスに影響を与えることなく、簡単に新たなファイアウォールを追加することで、ハイパースケールなセキュリティを容易に実現することが可能です。

コストに関する影響は無視できるものでありませんが、近年のセキュリティ侵害に対するトータルなコスト損失を考慮した場合、ここではコストに対する課題は 主要な判断要素から一旦切り離して示します

最後に

今年2025年は、一般的なニュースにおいてもセキュリティ侵害、およびその影響の大きさを取り上げられた事例が、より多かったと感じられている方も多いと思います。
毎日のようにソフトウェアに関する脆弱性が発表され、それを狙う攻撃はもはや一般的になっています。

自社環境で該当する脆弱性に対しては、パッチによる対処を行うまでに時間がかかる場合、その間にIPS機能による防御を確実にするため、HTTPSインスペクションに導入含め、「うちは、IPS機能を導入しているから、大丈夫」という意識だけにとどまらず、ログからのIPSブレードの状況観測や、実環境に適応した定期的な見直し、アップデートを実行していくことが重要です。