ネットワークの使用目的が多様化し、セキュリティへの関心が高まるにつれ、ユーザーやアプリケーション単位のトラフィックや振る舞いを詳細に把握したいという要望が高まっている。オリゾンシステムズが提供するネットワーク監視・分析製品「Flowmon(フローモン)」は、ネットワークを可視化して「誰が・いつ、どこで・何をしたのか」が分かる。一般企業から、ISP、データセンター(DC)などの監視・分析ニーズに応えている。

ユーザーやアプリ単位でネットワークを監視・分析

SNMPとパケットキャプチャの
いいとこ取りを実現


 従来のネットワークトラフィック分析は、SNMPによるインターフェース単位のトラフィック総量の計測が中心だった。それがセキュリティに対する関心の高まりから、トラフィック総量だけではなく、ユーザーやアプリケーション単位でのトラフィックや振る舞いを、監視・分析したいという要望が高まっている。

 「例えば、空港やデータセンターでは、セキュリティゲートの内側にも監視カメラを設置して人の行動を監視している。同様に、今やネットワーク内でも監視は不可欠であり、対策を怠れば不正アクセスや情報漏えいの被害に遭う可能性が高まり、万が一のことがあれば対応の遅れにもつながる。Flowmonは、その防止に最も有効な手段となるもので、ネットワーク内における監視カメラの役割を果たす」とITサービス事業部Flowmonユニットの知念正樹ユニット長は語る。
 
ITサービス事業部
Flowmonユニット
知念正樹
ユニット長

 Flowmonは、チェコのFlowmon Networks(フローモンネットワークス)社が開発し、オリゾンシステムズが国内で独占販売するネットワーク監視・分析製品。データ通信を監視・分析する業界標準フォーマット「NetFlow/IPFIX」技術をベースとしてネットワークログを解析し、ネットワーク利用者の「誰が・いつ、どこで・何をしたのか」が把握できる。望ましくない振る舞いや挙動はアラートで知らせてくれるため、内部対策を含めたプロアクティブな対応が可能になる。

 「フロー解析は、SNMPでは見られない、ユーザーごとやアプリケーションごとの詳細な把握を可能とする一方、パケットキャプチャと違ってヘッダ部分のみを取得するため、データ量は500分の1程度で済む。まさに両者の『いいとこ取り』の解析手法となっている」と知念ユニット長はメリットを説明する。

 パケットキャプチャ解析は、ネットワーク上に流れるパケットを丸ごと取り込んで解析するため、分析者が実データ(通信やメールの内容)を参照することになる。ISPやASP事業者であれば、顧客のプライバシー侵害にもなりかねないという問題がでてくる。その点、ヘッダ部分だけを取得するNetFlowは、プライバシーに配慮しながら、大規模・大容量のトラフィックも高速で効率的に解析できる理想的な手法だといえる。

 また、Flowmonは独立したシステムとして稼働するため、導入時に既存の機器に影響を及ぼさない。ネットワークを一時切断するなどの作業を必要とせず、既存のネットワーク機器にフロー情報生成の設定を追加するか、フロー生成専用機のプローブをミラーポートやタップ経由で接続し、データを生成するだけでネットワークトラフィックの詳細な解析を始めることができる。

販売は大きく拡大
パートナー支援に力を入れる


 ネットワーク上の振る舞いを完全に可視化できるFlowmonは、問題発生時のトラブルシューティングや証跡管理などにも利用が可能だ。

 Flowmonは、フロー解析の結果をデータとして蓄積できるので、万が一、不正アクセスや情報漏えいの被害に遭ったとしても「誰がいつ・どこで・何をしたか」をしっかりと確認できる。何かあった時の証拠を残すこと(証跡管理)で、いざという時の説明責任をきちんと果たすことができる。

 ネットワーク遅延の原因究明も、Flowmonなら、どの部署で、どのくらいのネットワークを使用しているのかをほぼリアルタイムで確認できる。原因を特定できれば、適切な対策がとれるだけでなく、ネットワーク環境の見直しや最適化に向けた指標としても活用できる。

 オリゾンシステムズでは、5年前にFlowmonの取り扱いを開始してから、年を追うごとに倍増のペースで販売を大きく拡大してきた。ガバナンスを行き渡らせるためにポリシー管理の徹底を図りたいというケースと、情報漏えいや標的型攻撃などセキュリティ対策の強化を目的としたケースが中心で、ネットワーク機器の更新期に合わせた導入が多いという。
 
ITサービス事業部
Flowmonユニット
惣田哲矢氏

 「ユーザーは、ISP、DC、ケーブルテレビなどのサービス事業者、公共・文教分野、一般企業まで多岐に渡る。一般企業の場合、他拠点を展開する大手メーカーなどで、拠点間の通信状況をリモートで把握したいといったニーズが目立つ。最近は、パートナーの販売ネットワークの拡充により、地方での販売が増えている」とITサービス事業部Flowmonユニットの惣田哲矢氏は語る。

 パートナー支援の一環として評価機も倍に増やした。実際、評価機を顧客の環境でテストしたところ隠れていた脅威を発見し、販売につながった例も多いという。

 「今後も、紹介セミナーやイベントを通じてサポートしていきたい。『Interop Tokyo 2019』では、ブースを前年と比べて2倍の規模とし、会場中央の目立つ位置に出展する。また、セミナーに参加された方には特製グッズを配布しているので、ぜひ、参加してほしい」と知念ユニット長は呼びかける。