サイバー攻撃の高度化やクラウド利用の進展などを背景に、従来のネットワーク監視のアプローチが通用しなくなってきた。そこで導入が進み始めているのがNetFlow※などのフロー情報を活用したネットワーク監視だ。だが、フロー監視はコストやスキル、予算の面から導入が難しいという課題もある。そうした課題を解決するには、どのようなソリューションが求められるのだろうか。
※ネットワークにおけるトラフィック情報を監視・分析する技術のこと。
フロー監視のメリットや導入にともなう敷居の高さ
フロー情報はネットワーク内で誰が・いつ・どこで・何をしたかを可視化することができる業界標準技術ではあるが、きちんと収集・分析するには、専門的なスキルが求められることが多い。また、既存機器の入れ替えや買い替えが発生する場合もあり、機器の導入や運用面でコストがかかることも課題になりやすい。
ただ、フロー監視のこうしたメリットは理解されてはいるものの、実際の導入には敷居が高いと感じている企業が少なくないようだ。
マイナビニュースが2019年8月に実施した読者アンケート調査(回答200人)でも「ネットワークで誰が・いつ・どこで・何をしたかを監視できるシステムは構築できているか」については「いいえ」または「わからない」という回答が67.5%を占めた。
ちなみに、こうしたシステムを導入しない理由については「そこまで手がまわらない」「予算が足りない」という声が多かった。
フロー情報で社内ネットワークを監視! 導入&運用しやすい専用ソリューションの実力
そこで、これらの課題を解消すべくオリゾンシステムズが提案しているのがフロー情報を活用した監視・分析・振る舞い検知ソリューション「Flowmon」だ。
「Flowmonの特徴は、導入のしやすさ、分析しやすさ、コストの低さにあります。実際に導入されたお客様からも『フロー監視がこんなに簡単に導入できるのか』と驚かれるほどです」と、システム構築やネットワーク設計、運用保守のマネージドサービスなどを展開するオリゾンシステムズの知念正樹氏は語る。
Flowmonは「Flowmonプローブ」「Flowmonコレクタ」の2つのアプライアンス製品(物理/仮想)と、それぞれの機能を拡張するプラグインで構成されるソリューションだ。
「Flowmonプローブ」は、フロー情報を生成する専用機器である。既存ネットワークのミラーポートやTAPからパケットデータを取り込み、それをもとにフロー情報を生成する。最近のルータやスイッチにはフロー情報を生成する機能を標準で搭載しているが、長く運用しているネットワークや工場の生産ラインなどではそうした機能が備わっていない場合がある。また、いざ実装しようとすると、設定・管理、運用面での煩雑さや、トラフィック量の増大による負荷への懸念が持ち上がり、実装に二の足を踏むケースもある。しかし、「Flowmonプローブ」を利用することで、そうした環境からもフロー情報を生成できる。
「Flowmonプローブ」はまた、ネットワーク機器が標準で生成するフロー情報を一元管理したり、必要に応じてフロー情報をカスタマイズしたりする際にも有効だ。フロー情報を分析する機能も内蔵しており、「Flowmonプローブ」を1台設置すれば、既存ネットワーク機器の入れ替えや買い換えの必要なく、フロー情報の収集から、管理、分析までが可能になる※。
※物理アプライアンスの場合。
企業が抱える既存のネットワーク問題も「Flowmon」導入で解決可能!
ネットワークを監視することで、企業のネットワーク管理に対してどのような課題が見えてくるだろうか。アンケート調査の結果を見ると、たとえば「ネットワークが遅延する、つながらない」という課題を抱えている企業は42%、「クラウドを導入してネットワークが遅くなった」という企業は34%に達している。
また、「ネットワーク管理の体制についての不安」についても「トラブル時の復旧の体制」「セキュリティ対策」「スキル不足」が多く、特にセキュリティについては「外部からの脅威(不正アクセス)」「内部からの情報流出」「ネットワークが可視化できていない」に不安を感じている企業が目につく。
多くの企業が既存のネットワーク監視に問題があることを認識しつつ、今日のネットワーク管理のアプローチに限界を感じていることがうかがえるが、このような問題の解決にもFlowmonを役立てることが可能だ。
「ブローブ」「コレクタ」「ADS」で統合的なネットワーク&セキュリティ管理を実現
「Flowmonコレクタ」は「Flowmonプローブ」や他社ネットワーク機器からフロー情報を収集し、可視化、分析するための専用機器である。ネットワーク上のユーザやアプリケーションの利用状況をGUIで可視化するほか、監視カメラのようにトラフィックの詳細を継続的に監視し、通信証跡を管理することでコンプライアンス対策やセキュリティ対策に活用できる。取得したフロー情報の長期保存や蓄積も可能だ。
また、先述の「Flowmonプローブ」と「Flowmonコレクタ」を合わせて利用することで、より詳細なネットワーク監視を実現できる。
さらに「Flowmonコレクタ」は、ネットワーク上の異常や不適切な振る舞いを検知するプラグイン「Flowmon ADS」を使ってセキュリティ対策の面から重要な機能を拡張できる。これにより、シグネチャベースのセキュリティ製品では速やかな対策が難しいゼロデイ攻撃や、未知の脅威の兆候をいち早く捉えてセキュリティ対策を強化でき、サーバ/クライアント特有の振る舞いの把握や、通信相手の変化の検知、許可されていないSMTPサーバによるSPAM兆候の検知、乗っ取られたコンピュータの検知、P2P通信およびデータダウンロードの検知などが可能だ。
「Flowmonは、ネットワークの品質維持や障害対応の効率化、コンプライアンス対応、セキュリティ対策の強化、自動化を推進するソリューションです。ネットワーク&セキュリティ管理では、外部からの脅威にさらされているエンドポイント側や、クラウドサービスとつながるデータセンターのゲートウェイ側は対策が進んでいますが、入口と出口の間の社内ネットワークについては、対策が不十分なケースが目立ちます。フロー情報を活用することで効率的なネットワーク管理と多層防御を実現できます」(知念氏)
たとえば、ファイルサーバへのアクセス遅延やレスポンスの劣化という状況に対しては、フロー情報を分析することでネットワーク帯域仕様の問題点だけでなく改善点までを把握でき、また、コンプライアンスや監査対応のためにインターネットの利用状況を把握したい場合にも、ユーザやアプリケーションごとに任意の期間のフロー情報を分析することで、簡単にレポートを作成できる。
サイバー脅威の増加やクラウドの利用が進展するなか、これまでよりも深く、効率的にネットワークを監視できるフロー情報の必要性は高まるばかりだ。フロー情報のメリットを理解しながらも導入の敷居が高いと感じていた企業にとって、Flowmonは有望な選択肢になるはずだ。
フローを利用したネットワークトラフィック監視・分析・振る舞い検知とは?
【ネットワークに関するアンケート】について
- 調査方法:マイナビニュース インターネット調査
- 調査期間:2019年7月31日(水)~2019年8月5日(月)
- 調査対象:マイナビニュース会員(IT関連技術職限定)男性・女性200名
- 調査主体:マイナビニュース調べ
[PR]提供:オリゾンシステムズ