Symantec Endpoint Protection (SEP) を使用している。侵入防止機能 (Intrusion Prevention System (IPS)) を有効にすべきかどうか知りたい。

注: このベストプラクティスに沿ってシステムが構成されているかどうかをすばやく確認するには、SymDiag をダウンロード・実行してください。

侵入防止機能は SEP がネットワークを保護するレベルを大幅に向上させます。侵入防止機能は常に有効にしておくべきです。

侵入防止機能ができてウイルス対策機能ができないこと

ウイルス対策機能はハードドライブにあるファイルからコンピュータを保護する強力で効果的な技術です。一方で侵入防止機能は悪意のあるファイルがハードドライブに到達するのを防ぐ強力で効果的な技術です。

既知の悪意のあるファイルを探すウイルス対策機能とは異なり、侵入防止機能はネットワークトラフィックをスキャンし、既知のエクスプロイトや攻撃ベクターを使って脅威を発見します。侵入防止機能は特定のファイルを検出するのではなく、悪意のあるファイルをネットワーク上に持ち込む際に使用される特定の方法を検出します。そのためウイルス対策機能のシグネチャが作成される前に、侵入防止機能は既知および未知の脅威から端末を保護することができます。

例えば Downadup/Conficker ワームは Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability という既知の脆弱性を利用して、パッチが適用されていないコンピュータに拡散します。このワームが拡散されたとき、対応するウイルス定義ファイルが作成されるまでウイルス対策機能は感染を止めることができませんでした。しかし、RPC 処理の脆弱性に対するシグネチャを侵入防止機能はすでに持っていたため、侵入防止機能が稼働しているコンピュータはワームが拡散する前に保護されました。

Auto-Protect 機能では防ぐことができないマルウェアのドライブ・バイ・ダウンロード攻撃やウイルス対策スキャナの偽装ウェブページを検出することに侵入防止機能は長けています。今日の複雑な脅威環境において、侵入防止技術はアンチウイルス技術を効果的に補完するものであり、インターネットに接続されているネットワークでは使用が必須であると考えるべきです。

侵入防止機能とサーバー

侵入防止機能は Windows サーバー OS と完全な互換性があります。高可用性/高帯域幅における侵入防止機能の制限については Best practices for Endpoint Protection on Windows servers を参照してください。

侵入防止機能のインストール

ネットワーク上の SEP クライアントに侵入防止機能がインストールされていない場合は Symantec Endpoint Protection Manager を使って管理クライアントに機能を追加するか、OS の [プログラムの追加と削除] を使って管理外クライアントに機能を追加することができます。手順については 既存の Endpoint Protection クライアントへの機能追加と削除 を参照してください。

[English version] Best practices regarding Intrusion Prevention System technology