-
夕方の特定の時間帯になると、Web会議が重い。 - 月末、基幹システムへのアクセスが集中して業務が滞る。
- ユーザーから「ネットワークが遅い」という漠然とした問い合わせが頻発する。
- 原因がわからず、場当たり的な対応しかできていない。
- 経営層からはコスト最適化を求められるが、改善の根拠を示せない。
アプリケーション別解析による傾向分析や
ボトルネックの特定により生産性の向上
トラブルシューティング
バーストトラフィックや過剰な帯域占有など
業務通信レスポンス悪化の原因を特定
現状把握に基づき、不要な回線増強などの
過剰投資を防ぎITコストを最適化
サービス概要
Flowmonトラフィック可視化サービスは、短期間・低コストでネットワークの状態を可視化する、
ネットワーク可視化のスポット対応サービスソリューションです。
| 対象 | 本社/支店/クラウド接続拠点など |
|---|---|
| レポート納品までの期間 | お申込みから約2ヶ月 |
| 提供形態 | 物理機器貸出(仮設置) |
| 成果物 | PDFレポート 5~20項目(要相談) |
| 費用 | お問い合わせください |
レポートイメージ
Flowmonのネットワークトラフィック解析機能により、設置環境で収集されるネットワークをベースにその特性をレポートいたします。また管理コンソールからの様々な解析機能もご利用いただくことで、問題事象の原因調査やそのエビデンスを確保することも可能です。出力されるデータはグラフィカルでわかりやすく、GUIは全て日本語に対応しており、経営層や管理部門に対しても確かなデータに基づいた改善提案が可能となります。
◆主な解析項目
- ・ バーストトラフィックの発生原因
- ・ 時間帯別のトラフィック量と変動傾向
- ・ アプリケーション/サービス別の通信傾向
- ・ 通信遅延値・再送回数等の分析
- ・ 特定拠点・フロア内の通信可視化
設置イメージ
対象とするネットワークに、一定期間(2~3週間程度)Flowmonを設置し、収集されたトラフィック情報を元にレポートをご提供させていただきます。
また設置期間中、Flowmonのトラフィック解析機能をお客様にもお試しいただけます。
導入の流れ
お申し込みからレポート納品まで約2ヶ月程度となっており、スピーディーに問題解決の糸口を見つけることができます。手軽でありながら、精度の高いトラフィック可視化サービスをご提供します。
よくあるご質問(FAQ)
ネットワークの課題を、確かな可視化で解決!
まずはお気軽にご相談ください。
お問い合わせはこちら 資料をダウンロード解析をより便利に、より簡単に~プリセット機能~
解析をより便利に、より簡単に~プリセット機能~
2026年2月13日
はじめに
新しくネットワーク監視ツールを導入する際に、
「Microsoft 365の通信状況を可視化したいが、何から手を付ければよいのか分からない」
「解析はできても、ダッシュボードやレポートを一から作成する時間がない」
「フィルタ構文の習得に時間がかかり、本格運用までたどり着けない」
といった課題に直面した経験はないでしょうか。
実際、新たなツールを導入した場合、初期設定に1週間以上を要するケースも珍しくありません。Flowmonにおいても、プロファイルの設計やフィルタ条件の定義、ダッシュボードの構築といった作業には一定の専門知識が求められ、IT部門において一定の工数が必要になります。
Flowmonのプリセット機能は、こうした初期設定のハードルを下げ、数クリックで実運用に耐えうる可視化・解析環境を構築できる仕組みです。
本コラムでは、実務で即活用できるプリセット機能の価値と、その具体的な活用方法についてご紹介します。
プリセット機能とは
プリセット機能とは、Flowmonの開発元であるProgress社から提供されている、特定のユースケース向けに事前定義された設定が利用可能になる機能です。各プリセットには、プロファイルやダッシュボード、レポート、アラートが定義され、適用後すぐに通信の可視化・解析を始めることができます。
用語解説
通信量の多い端末TOP10や各拠点のトラフィックの推移などの情報をグラフやリスト形式で一目で確認できます。
日次、週次、月次などのスケジュールで自動生成し、メールや外部データストレージへ送信できます。
メール、Syslog、SNMPトラップなど、様々な方法で通知できます。
提供されているプリセットの種類は28種類※1あります。例えばMicrosoft 365やZoomといったクラウドアプリケーション、DNSやDHCPのような特定のプロトコルに関するものや、セキュリティに関するプリセットも提供されています。
※1 2026年2月現在
代表的なプリセット例:
- クラウドサービス系:Microsoft 365、Teams、Zoom、Social networks※2
- プロトコル系:DNS、DHCP、SMTP、Samba
- セキュリティ系:MITRE ATT&CK※3
※2 Facebook Instagramなどの各種SNS系
※3 Flowmon ADSのご利用が必要です
ただし、プリセットはFlowmon Probeを導入していない環境では一部機能に制限があります。
フィルタ条件にProbeでフロー生成をした際に表示可能な項目※4を含むものは、Probe未導入の環境では十分な解析が行えません。また、Flowmonがインターネットにアクセス可能な環境が必要です。
※4 例:HTTPホスト名、DNS、DHCP、Sambaなど
プリセット作成手順
プリセットは、Dashboard and Report画面の上部にあるタブからプリセットのトップ画面を開きます。そして、①インストールするプリセットの選択→②ユーザ権限設定→③オプション設定→④作成するコンテンツ選択の4段階で、ウィザード形式で簡単に作成することができます。②に関しては、部署ごとに異なる監視ビューを提供することも可能になります。例えば、営業部門にはMicrosoft 365やWebexなど利用しているツールの監視画面を、インフラチームにはプロトコル系やセキュリティ系の監視画面を提供するといった使い分けができます。 実際に「Microsoft 365」のプリセットを使用して作成されたコンテンツは以下の通りとなります。
プリセット活用方法
Microsoft 365のプリセットは、以下のような場面で活用することができます。
- ダッシュボード/レポートで、Microsoft 365向けの通信傾向やネットワーク負荷を常時監視(図2)
- プロファイルでMicrosoft 365アプリケーションで帯域を占有しているユーザ端末を素早く特定(図4)
Microsoft 365以外にも様々なユースケースに沿った便利なプリセットが多数提供されています。例えばNPM Alertsでは、ラウンドトリップタイム(ネットワーク遅延)、サーバーレスポンスタイム(サーバー遅延)、リトランスミッション(TCPの再送回数)に関する3つのアラートが作成されます。それぞれの基準値からの急激な逸脱が発生した場合に通知が行われ、ネットワーク起因の遅延なのか、サーバー側の応答遅延なのかといった問題の切り分けを早期に行うことができ、障害対応時の初動を大幅に短縮することが可能になります。
おわりに
本コラムでは、Flowmonにおけるプリセット機能についてご紹介しました。プリセット機能を活用することで、プロファイルやダッシュボード、レポート、アラートといった設定を効率的に構成でき、ネットワークの可視化や解析をこれまで以上に簡単かつスピーディに実現することができます。特に、Flowmonの導入初期や新たな監視対象を追加する場面において、プリセットは運用設計の出発点として有効な機能と言えるでしょう。
◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
総務省が示した「通信履歴3〜6カ月保存」の意義とは
総務省が示した「通信履歴3〜6カ月保存」の意義とは
— プライバシーと実務を両立する現実解を考える —
2025年12月22日
1.はじめに
総務省は2025年9月、SNSを通じた詐欺などの被害抑止のため、SNS事業者らに通信履歴を最低でも3~6カ月程度保存することを求める事業者向け指針の改正案を公表しました。この改正案は、従来の「原則として通信履歴は速やかに破棄する」という方針から大きな転換を意味するものであり、SNS事業者に限らず、通信ログの扱いに関心を持つ多くの企業にとっても無視できない動きと言えます。
本稿では、この指針改正の背景と内容を整理したうえで、企業が実務上どのような課題に直面するのか、そして通信内容を記録せずに通信履歴を管理する一つの手段として、NetFlow/IPFIX技術およびネットフロー解析ソリューション「Flowmon」を活用する方法について考察します。
2.マルチクラウド構成が生む複雑性とリスク
近年、SNS上での誹謗中傷や詐欺被害が深刻化しています。特に2023年下半期以降、なりすまし型の偽広告を端緒としたSNS型投資詐欺などが急速に拡大し、社会問題として広く認識されるようになりました。
こうした被害に対して、被害者が発信者情報の開示を請求しても、事業者が通信履歴を既に削除しているため、加害者を特定できないケースが多発していました。この課題を受け、総務省の有識者会合が2025年7月にまとめた報告書案では、通信事業者に対して通信履歴を最低3~6カ月保存することを推奨する制度改正案が示されました。なお、本指針は法的義務ではなく、事業者に対する要請という位置づけであり、違反に対する直接的な罰則は設けられていません。しかし、世界的には通信ログの保存義務化が進んでおり、EUでは2018年に一般データ保護規則(GDPR)が施行され、英国では2023年にオンライン安全法が制定されるなど、各国で法整備が進んでいます。日本も今後、こうした国際的な流れに沿った法制化が進む可能性があります。よって、ガイドラインとして示された以上、多くの事業者が一定の対応を検討することが想定されます。
今回の指針で保存対象となる通信履歴には、以下のような情報が含まれます。
- IPアドレス
- 電話番号
- 通信日時
- アカウントに関する識別情報
いずれも通信内容そのものではなく、いわゆる「メタデータ」に該当する情報であり、メール本文やチャットメッセージの内容が保存対象となるものではありません。
3.NetFlowが最適な理由
この要請に対して、NetFlow/IPFIX技術が最適な解決策となり得ます。NetFlowの最大の特徴は、パケットのペイロード(実データ)部分を破棄し、通信に関するメタデータのみを記録することです。パケットをそのまま保存するフルパケットキャプチャ方式と比較すると、NetFlowのデータ量は1/500~1/1000程度となり、同じストレージ容量で遥かに長期間の通信ログを保存できます。そのため、3〜6カ月という保存期間の要請に対しても現実的なコストで対応しやすいという利点があります。また、通信内容(メール本文、チャットメッセージ、Webページの内容など)は記録されないため、利用者のプライバシーに配慮した形でログを保存できます。
NetFlowには、主に以下の情報が記録されます。
- 送信元/宛先IPアドレス
- ポート番号
- プロトコル
- 通信日時
- 通信量(バイト数/パケット数)
これらの情報から「どの端末が」「いつ」「どのような通信を行ったか」といった通信の状況を把握できます。この点において、NetFlowは今回の指針が想定する考え方と親和性の高い方式の一つであるといえるでしょう。
4.Flowmonで実現できること
ネットフロー解析ソリューション「Flowmon」は、NetFlow/IPFIXデータを活用し、通信履歴の保存と分析を支援する製品です。ここでは、通信履歴管理の観点から代表的な機能を紹介します。
過去への遡及調査
先述のようにFlowmonは、ネットワーク上のフロー情報を取得し、「誰が」「いつ」「何をしたか」を可視化できます。これにより、以下のような分析が可能になります。
- IPアドレスを基に端末毎の通信状況を可視化
- 使用したアプリケーションの特定
- 通常とは異なる通信パターンの検出
これらの情報は、単なるコンプライアンス対応だけでなく、セキュリティ対策やネットワーク運用の最適化にも活用できます。
レポーティングとコンプライアンス対応
Flowmonにはレポート機能が備わっており、任意の期間や条件で通信状況を整理したレポートを出力できます。特定のIPアドレスやアドレス範囲によるフィルタリング、トラフィック量による並び替えなどを行うことで、ネットワークの変化や異常を可視化できます。定常監視により長期的な視点でトラフィックの傾向を把握し、監査対応や社内会議のための文書作成を効率化できます。
セキュリティ強化への貢献
Flowmonは、単なる通信解析兼ログ保存ツールではありません。拡張プラグインである「Flowmon ADS(Anomaly Detection System)」を追加することで、フロー統計情報の定常的な評価に基づき、ネットワーク上の異常や不適切な振る舞いを検出できます。ポートスキャン、標的型攻撃、不正なアプリケーションの使用、情報漏洩の兆候など、様々なセキュリティインシデントを早期に発見し、対処することが可能になります。過去のログも長期間保存出来るため、インシデント発生後のフォレンジック調査に活用できます。
5.社会的意義と懸念事項
今回の指針改正には、被害者救済や犯罪抑止という明確な社会的意義があります。通信履歴が一定期間保持されることで、事後的な検証が可能となり、不正行為に対する抑止効果も期待されます。 一方で、懸念事項も存在します。最も重要なのは、通信履歴の保存拡大が監視社会化につながるのではないかという懸念です。現時点では3~6カ月という期間に限定されていますが、将来的に保存期間がさらに延長される可能性は否定できません。実際、警察庁は犯罪捜査のために保存期間を1年6カ月にする意見を出していましたが、今回は採用されなかった経緯があります。また、通信履歴というメタデータは、通信内容そのものではないものの、誰がいつ誰と通信したかという情報から、個人の行動パターンや人間関係を推測することが可能です。こうした情報の集積が、プライバシーに対する脅威となる可能性も指摘されています。
6.おわりに
通信の秘密という憲法上の権利と、被害者救済や社会的安全の確保。この二つのバランスをどう取るかが、今回の指針改正の本質と言えるでしょう。NetFlowは、この難しいバランスに対する最適解だと考えています。
Flowmonのようなネットフロー解析ソリューションは、プライバシーに配慮しながら通信履歴を確保し、さらにセキュリティ強化やネットワーク運用の最適化という付加価値も提供します。今回の指針は直接的にはSNS事業者を対象としていますが、通信ログをどのように保存し、どのように活用するかという課題は、今後あらゆる企業に共通するテーマとなっていくでしょう。自由と安全の両立を図りながら、持続可能なデジタル社会を実現するための取り組みが求められています。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
クラウド移行で増える“見えない通信”をどう解消するか — フローデータ活用によるハイブリッドネットワークの新しい可視化手法 —
クラウド移行で増える“見えない通信”をどう解消するか
— フローデータ活用によるハイブリッドネットワークの新しい可視化手法 —
2025年12月2日
1.はじめに
AWS、Microsoft Azure、Google Cloud Platform(GCP)をはじめ、主要なクラウドサービスが登場して20年以上が経ちました。現在では多くの企業がオンプレミスとクラウドを組み合わせたハイブリッド構成を採用し、一部では基幹システムを含めて全面的にクラウドへ移行する動きも進んでいます。最近では、日本取引所グループ(JPX)が適時開示情報閲覧サービス(TDnet)の基盤を2027年度にAWSへ移行すると発表するなど、クラウド活用はさらに広がりを見せています。
一方で、クラウド移行を進めた結果、かえって運用管理が複雑化し、課題が顕在化した企業も少なくありません。中にはオンプレミスへの回帰を検討するケースも見られるようになりました。
本記事では、クラウド利用が当たり前となった今の時代においてなぜ通信が“見えない”状況になるのか、そしてその課題をどのように解決できるのかについて解説します。
2.マルチクラウド構成が生む複雑性とリスク
クラウドが普及した大きな理由として、
- サーバーを自社で用意せずに利用できる
- 使った分だけ支払う従量課金で無駄なコストを削減できる
- 導入・運用に必要な作業が大幅に軽減できる
といったメリットがあります。
しかし複数のクラウドサービスを組み合わせるマルチクラウド構成が進むにつれ、通信経路は一気に複雑化しました。ユーザーのアクセスはSaaS、IaaS、オンプレをまたいで発生し、どの区間で遅延が起きているのかを特定しにくくなっています。
オンプレ環境ではネットワーク機器に直接アクセスして状況を確認できますが、クラウドでは通信経路の詳細がサービス側の仕組みに依存するため、管理者が把握できる範囲が限られます。
その結果、
- 「どこで遅延しているのかわからない」
- 「SaaSが遅いのか、ネットワークが遅いのか判断できない」
といったトラブルが発生しやすくなりました。
さらに複雑化はセキュリティリスクの増加にもつながります。
- クラウド同士の通信異常に気付きにくい
- 外部との通信が複雑になり、不審な接続が見逃される
- C2通信※の早期発見が困難
※ Command and Control通信。攻撃者がマルウェアを操作するために使う通信のこと。
環境ごとに監視が分断されることにより、可視性のギャップが広がってしまうのです。
3.フローデータがクラウド可視化に適している理由
オンプレとクラウドが混在する環境では、通信がどこで、どれだけ、どのように行われているのかを一元的に把握するのが難しくなります。この課題に対して、近年あらためて注目されているのがフローベースの監視です。
フローデータとは、通信の中身(ペイロード)ではなく、
- 送信元/宛先IPアドレス
- ポート番号
- 通信量(バイト数/パケット数)
- 通信の回数・頻度
- HTTPホスト名など一部のL7情報※
※標準的なNetFlow/IPFIXでは取得できませんが、Flowmon Probeで生成したフローにより取得可能
といった共通の属性を持つ通信のまとまり(メタデータ)を記録した情報です。
クラウドサービスが標準で提供するFlow Logsとも親和性が高く、オンプレとクラウドを同じ形式で扱えることが大きな利点です。
暗号化通信が増えても可視化できる理由
HTTPS/TLS通信を標準で採用しているクラウドサービスの普及によって、ネットワーク全体で暗号化通信が急増しています。暗号化通信では、送受信されるデータのペイロードが暗号化されるため、通信の内容を確認することが難しくなりつつあります。
しかし、フロー監視はそもそも「通信内容を見るのではなく、通信のまとまりを観察する」 ことを目的としています。主に暗号化通信で暗号化されるのはペイロードのみであり、フロー情報のもととなるパケットヘッダー(送信元・宛先IPアドレス、ポート番号など)は平文のまま残されているため、暗号化の有無に影響されず監視が可能です。
つまり、通信の中身が見えなくても「どこで」「どれくらい」「どのような通信が行われているか」を把握できるのがフローデータの強みと言えます。さらに、通信内容に触れないという特性上、「プライバシー侵害リスクが低い」「復号鍵の管理が不要」「コンプライアンス面の懸念が少ない」「実装・運用コストが抑えられる」といったメリットもあり、監視対象が増えるクラウド環境では特に有利です。
分散環境でも広く収集できる
クラウドでは通信が複数の経路に散らばりますがフローデータは軽量であるため、複数環境から収集してもネットワーク負荷やコストが膨らみにくい点も利点です。 このように、「軽量で広範囲の収集が可能」かつ「暗号化通信でも可視化できる」という特性から、クラウド可視化においてフローデータは非常に相性が良い技術と言えます。
4.Flowmonによるハイブリッドネットワークの一元可視化アプローチ
Flowmonはこのフローデータを中心にネットワーク全体を可視化するソリューションです。オンプレの機器から取得したデータだけでなく、Flow Logsも取り込み、オンプレとクラウド双方を一つの画面で把握できます。
①遅延原因を素早く特定
フロー情報を分析することで、
- 回線の混雑
- クラウド区間の輻輳
- サーバー側の遅延
などを切り分けることができ、問題箇所の特定に時間が掛かりません。
②帯域のひっ迫や利用傾向の可視化
フロー量の推移を見ることで、
- 拠点の帯域不足
- 一時的なバックアップや更新による負荷
- SaaSの利用状況
といった傾向も把握できます。
フロー分析は「通信量が多い」リソースだけでなく、「通信量が少ない」または「全く通信していない」リソースの特定にも有効です。
クラウド環境では手軽にインスタンスを構築できる反面、開発・検証用に立ち上げたサーバを作成したまま放置されているケースも少なくありません。
こうした放置されたインスタンスは、通信がほとんど発生していないにもかかわらず、起動している限り料金が発生します。
Flowmonで長期間通信が発生していないインスタンスを特定することで、不要なリソースを洗い出し、無駄なコストを削減することができます。
③不審な外部通信の検知(Flowmon ADS)
Flowmonのセキュリティソリューション ADS(異常検知)を組み合わせると、
- 海外への不自然な通信
- 頻繁に接続を繰り返す端末
- マルウェア感染の疑いがある動き
といった、通常のログでは見つけにくい兆候も検出できます。
このように、Flowmon一台でハイブリッド・マルチクラウド構成でも「誰が」「どこへ」「どのくらい」「どのような傾向で」通信したかの統合的監視から、クラウド利用の課題であったセキュリティ強化に至るまで、網羅的な対策が可能となります。
5.まとめ:クラウド時代の通信可視化はフローベースへ
クラウド化が進み、通信経路が複雑に分散する現在、従来の監視方法だけではネットワークの全体像を把握することが難しくなりました。暗号化通信の増加、ゼロトラストの普及、ネットワークセキュリティ境界の曖昧化は今後さらに進むため、通信のメタデータを俯瞰して捉えるというアプローチが必須になります。 その中で、フローデータはクラウド可視化の中心的な役割を果たし始めています。 Flowmonはこのフローデータを高度に扱える監視基盤として、ハイブリッドネットワークの実態把握とセキュリティ強化を両立するツールです。クラウド移行が当たり前になる今こそ、フローベースの可視化により「見えない通信」を減らし、ネットワークの健全性を維持する仕組みが求められています。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
NetFlowの歴史と技術的進化
NetFlowの歴史と技術的進化
2025年11月6日
1.はじめに
前回コラムでは、ネットワーク監視の三つの視点として、NetFlow・PCAP・SNMPを紹介しました。今回のコラムではその中でも弊社が扱うFlowmonが採用するNetFlowについて、さらに掘り下げていきたいと思います。フロー情報の仕組みやバージョンごとの進化、NetFlowとsFlowの違いまでを順を追って解説していきます。
2.ネットワークフローとNetFlowの概要
本章では、ネットワークフローの概念を整理し、通信の全体像を理解してNetFlowとは何か、どのように扱われるのかを解説していきます。
ネットワーク上に流れる通信を分析するツールとして「ネットワークフロー」という考え方があります。フローとは、送信元/宛先のIPアドレスやポート番号、プロトコルなどの共通した属性を持つパケットのまとまりを指します。
例えば、「ユーザがWebサイトを閲覧する通信」や「サーバにファイルをアップロードする通信」など、一連のやり取りを1つの単位(フロー)として扱うことで、誰がどこへ、どれくらい通信をしているかを把握することができます。
このフローという考え方を実際の仕組みとして実装したのがNetFlowです。
NetFlowはCisco社が開発した技術で、特徴的な仕組みとしては、まずルータやスイッチなどのネットワーク機器を通過するパケットを監視し、同じフローに属するパケットをまとめて1つのフロー情報として生成します。各フローには、送信元・宛先IP、ポート番号、プロトコル、パケット数やバイト数、開始・終了時刻、TCPフラグなどの情報が含まれます。NetFlowで収集されたフロー情報は、可視化ツールや分析ソフトウェアを活用し、単なるトラフィック量の把握だけでなく、どの通信がどれくらいの帯域を使用しているか、異常な通信が発生していないかなどを詳細に分析できます。
3.NetFlowの進化と各形式の特徴
本章では、NetFlowがどのように進化してきたか、各形式の特徴を整理します。 初期のNetFlowであるNetFlow v5では収集できる情報がIPv4アドレス、ポート番号、プロトコル、パケットやバイト数などに限定された、固定形式のデータフォーマットを使用していたため拡張性が低く、主にCisco装置間での利用に限られていました。 その後登場したNetFlow v9では、テンプレート方式のデータフォーマットが導入され、収集するフィールドを柔軟に指定できるようになりました。これによって、IPv6やMPLS、VPNラベル、アプリケーション識別など、より詳細な情報の取得が可能となりました。さらに、データフォーマットの柔軟性により、必要な情報のみを効率的に出力できるようになったことで、従来の固定形式よりも複雑なネットワーク環境や分析ニーズに対応できるようになりました。 そして、NetFlow v9をベースに、IETF標準として策定されたのが IPFIX(IP Flow Information Export) です。IPFIXではベンダー間での互換性が高まり、異なる装置間でも同一のデータ形式でフロー情報をやり取りできることが大きな特徴です。IPFIXはNetFlow v9と同じテンプレート方式を採用していますが、NetFlow v9そのものではなく、NetFlow v9をもとに標準化された別仕様の規格として位置づけられています。 このように、NetFlowは収集情報の範囲やデータフォーマットの柔軟性、標準化・互換性の面で進化してきました。
4.sFlowとNetFlowの違い
前章では、NetFlowやIPFIXを取り上げ、それぞれの特徴について解説しました。
これらと同じく、ネットワークフローを収集する技術としてsFlowがあります。ネットワーク上を流れる通信を観測するという点はNetFlowと同じ考え方になりますが、sFlowはサンプリング方式を採用している点に違いがあります。すべての通信を詳細に記録するNetFlowとは異なり、ネットワーク上を流れる膨大な通信の中から、例えば1,000パケットに1つ(1/1,000)といった割合でパケットを抽出し、そのヘッダ情報を通信全体の疑似的な統計として利用します。これにより、大規模ネットワークでも機器負荷やデータ量を抑えつつ、全体のトラフィック傾向を把握できます。
その一方で、すべての通信を収集するわけではないため、通信分析の面では情報の粒度が低下してしまいます。
そのため、詳細分析やトラブルシューティングなど通信単位の分析を行いたい場合にはNetFlowが適しており、大規模ネットワーク環境での全体傾向の把握やキャパシティプランニングはsFlowが有効です。
5.まとめ
本コラムでは、NetFlowの基本概念から、バージョン・規格ごとの特徴までを解説しました。
弊社が扱うFlowmonでは、NetFlow v5やv9、IPFIX、sFlowなど主要なフロー規格に幅広く対応しており、フローデータを用いて通信の可視化・分析をすることができます。これにより、ネットワーク運用の最適化やトラブルシューティング、帯域利用状況の把握など、さまざまな場面で意思決定を支援することが可能です。
今後は、クラウドサービスの導入や拠点間接続の多様化により、ネットワーク環境はますます複雑化していくことが予想されます。こうした中で、フローデータを活用した可視化・分析は単なるトラフィック把握にとどまらず、問題の早期発見、運用計画の立案、資源配分の最適化など、ネットワーク管理全般における重要な判断材料となるでしょう。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
NetFlow、PCAP、SNMPによるネットワーク監視の三つの視点
NetFlow、PCAP、SNMPによるネットワーク監視の三つの視点
2025年10月7日
1.はじめに
ネットワーク監視の方法、トラフィック測定の方法として、様々な手法がありますが、中でも代表的なものとしてPCAP(パケットキャプチャ)やSNMP、NetFlowが挙げられます。 それぞれ異なる特徴や得意領域があり、どの方式を選択するかによって得られる情報や運用負荷は大きく異なります。 本コラムでは、PCAP、SNMP、NetFlowの3つの手法を比較しながら、それぞれの役割を整理するとともに、どのように活用するとより効果的にネットワーク全体の可視化・監視を行えるかについて考えていきます。
2.それぞれの仕組みと特徴
PCAP
PCAPはネットワーク上を流れるパケットをTAP/SPANポートでコピーし収集することで、ヘッダからアプリケーション層のデータ(ペイロード)までを記録し、トラフィックの詳細な解析を行う手法です。 利点は明確で、パケットヘッダ情報やペイロード(暗号化されていない場合)等の通信内容を完全に再現することができるため、不正アクセスの調査や通信不具合の詳細な切り分けに強みを持ちます。一方で実データを取得するためデータ量は膨大になり、長期保存には不向きです。例えば平均1Gbpsの通信を1日分取得すると、データ量は10.8TBと非常に大きくなります。したがってスポット的な深堀調査には有効ですが、常時運用の基盤には向いていません。
SNMP
SNMPは、ネットワーク機器の状態や統計情報を取得するためのプロトコルで、多くのルータやスイッチ、サーバなどが標準で対応しています。
仕組みとしては、管理対象機器(SNMPエージェント)の基本情報やインターフェースの状態、機器リソースなどが定義されたMIB(Management Information Base)という管理情報のデータベースを使用します。SNMPマネージャーがこれをポーリングしたり、機器側からトラップとして通知を受け取ったりすることで情報を収集します。
したがって、SNMPで取得できる情報の強みは、インターフェースの帯域使用率やエラーカウンタ、CPU・メモリ使用率などの機器内部の管理統計となります。
SNMPはほぼすべての機器で利用可能なだけでなく、データ量が非常に小さいことも特徴の一つです。例えば、1台の機器で10個のMIB項目を1分間隔で取得する場合、1日あたり1.44MB程度しかありません。これらの特徴から、SNMPはトラフィック量の監視やCPU/メモリ使用率などのリソース管理に広く使われています。しかしネットワーク可視化の観点では「どれだけ流れているか」は分かりますが、「誰が・いつ・どのような」といった通信の内訳を分析することはできません。
NetFlow
NetFlowはCiscoが開発した、フロー(送信元/宛先IP、ポート、プロトコルで構成される通信のまとまり)を単位としてトラフィックのサマリを収集する技術です。ルータやスイッチなどのネットワーク機器、またはFlowmon Probeのようなフロー生成機からCollectorへ送信し、蓄積・分析に利用できます。 NetFlowで取得できる情報は、送信元/宛先IPアドレス、ポート、プロトコル、通信量、セッション時間などのメタデータです。これにより「誰が・いつ・どのような通信をしたか」といったネットワーク利用状況を把握できます。 また、NetFlowはパケットのヘッダ情報だけをサマリしてペイロードは破棄するため、データ量はパケット全体を保存するPCAPと比べて約1/500と圧倒的に少なく、長期間・広範囲の通信状況を可視化することができます。 例えば、平均1Gbpsのトラフィックを取得した場合、パケットそのものは1日で10.8TBになりますが、NetFlowでは約21.6GBまで抑えられます。このようにデータ量を大幅に削減できるため、より長期間にわたって記録・分析を行うことが可能です。つまり、NetFlowはトラフィック傾向分析や異常検知といった常時運用に適した手法と言えます。
3.利用シーンと活用方法
PCAP
PCAPはネットワーク上のパケットをヘッダからアプリケーション層まで取得できるため、一般的にはトラブルシュート時に多く活用されます。 具体的な例として、Webサーバとの接続エラーがどの段階(TCP 3ウェイハンドシェイクやTLS証明書交換など)で起きているのかを、パケットごとに順を追ってペイロードの中身まで踏まえながら特定可能です。別の例では、特定経路で通信できなくなった場合、経路上の各ノードでPCAPを取得することで、パケットがドロップしているポイントを特定することができます。このように、PCAPはピンポイントなトラブルシュートとして非常に有効なツールです。
SNMP
SNMPはネットワーク機器の状態や統計情報を収集するため、日常的な運用監視やリソース管理に適しています。SNMPでは主にポーリングとトラップという2つの方法で情報を取得できます。
ポーリングでは、ルータやスイッチのトラフィック量やCPU使用率、メモリ使用率、インターフェースの帯域利用状況などを定期的に確認できます。
例えば、ある拠点のルータでCPU使用率が高くなっている場合、ポーリングで早期に検知し負荷分散などの判断に繋げることができます。
一方、トラップでは、機器が異常やダウンを検知した際に自動で通知が送信されるため、迅速な対応が可能です。
例えば、リンクダウンやインターフェース障害が発生した場合、即座にアラートを受け取ることで障害箇所の特定や迅速な復旧作業が行えます。
このように、SNMPを活用することで、日常的な運用監視や死活監視、障害対応の効率化、ネットワークの安定稼働に役立てることができます。
NetFlow
NetFlowはフローベースで通信状況を収集します。これによりネットワーク全体のトラフィック傾向把握や長期間の利用状況分析に強みがあります。そのため、帯域使用率の増加やネットワーク遅延の原因特定、現状の帯域幅が適切かどうかを確認したいという要件に適しています。 例えば、社内ネットワークの各拠点からどのサービスにどれだけアクセスされているかの把握や新しいサービス導入・回線増強の判断材料に活用することができます。さらに、Flowmon製品の一つであるFlowmonProbeを併用することで、HTTPヘッダやTLS SNI情報からアプリケーション識別もでき、部門ごとのクラウドサービス利用状況の可視化に活用できます。事例として、業務時間中に「インターネットが遅い」という事象が発生したとします。NetFlowのデータを確認すると、帯域使用率が急増している時間帯に、YouTubeやOneDrive通信が大半を占めており、動画閲覧と大容量ファイルのアップロードが原因と特定することが可能です。さらに送信元IPから特定ユーザーのPCを突き止めることもできます。このように、NetFlowを用いることで「誰が・いつ・どのアプリケーションで」帯域を圧迫していたかを把握し、迅速な原因究明と対策に繋げることができます。
4.終わりに
本コラムでは、様々なネットワークの可視化・監視手法がある中で、PCAP、SNMP、NetFlowの3種類を挙げました。それぞれ異なる特徴や得意領域があるため、一つのツールに頼らずに、用途に合わせて適切なツールを選択することが重要です。
弊社が扱うFlowmonでは、NetFlow/IPFIXベースでのフローデータ収集・分析に特化して設計されており、長期的なトラフィック傾向把握やアプリケーション利用状況の可視化といった要件に対応できます。さらに、Flowmon ADSというプラグインを追加することでネットワーク異常やセキュリティ上のリスクを早期に検知できる点も大きな強みとなっています。日常的なネットワーク可視化では、NetFlow/IPFIXを軸にPCAPとSNMPを必要に応じて組み合わせることが、より効率的な運用に繋がるのではないでしょうか。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
IBCDAY2025出展のお知らせ
IBCDAY2025出展のお知らせ
2025年10月10日(金)に開催される「IBCDAY2025」に出展いたします。
イベント詳細や参加お申込みはこちらよりご確認ください。
会場へお越しの際は、ぜひFlowmonブースへお立ち寄りください。皆様のご来場をお待ちしております。
◆イベント概要
- 日 程:2025年10月10日(金)
- 入場料:無料
- 主 催:アイビーシー株式会社
-
会 場:鉃鋼エグゼクティブラウンジ&カンファレンスルーム
〒100-0005 東京都千代田区丸の内1丁目8−2 鉃鋼ビルディング 南館, 4階 - 特設ページ:https://system-answer.com/event-ibcday2025/
脅威の一部始終を見逃さない!Flowmon ADSによる脅威検知シナリオ
脅威の一部始終を見逃さない!
Flowmon ADSによる脅威検知シナリオ
2025年9月1日
1.はじめに
近年、情報セキュリティの重要度はますます高まっております。前月公開のコラムではNetFlowを活用した振る舞い検知型NDRソリューション「Flowmon ADS」について、最新のセキュリティ情勢にマッチしたNDRの強みをご紹介いたしました。Flowmon ADSでは、今年7月に最新バージョン12.05が国内リリースされ、よりご利用いただきやすくなるアップデートのほか、新興のサイバー攻撃に対応する「脅威ブリーフィング」機能が新たに追加されました。そこで今月のコラムでは、前回に引き続きADSのご紹介として、最新アップデートに触れつつ、ADSで対応できる脅威について、具体的な攻撃シナリオに沿って詳しく解説いたします。
また当社オリゾンシステムズでは、現在期間限定でFlowmon ADSの大幅なディスカウントキャンペーンを実施しております。加えて、ADSの魅力を知っていただくための特別セミナーも開催しており、実機によるイベント検知の実演や運用に役立つノウハウのご紹介、ディスカウントキャンペーンの詳細など盛りだくさんの内容となっていますので、ご興味のある方はこちらもぜひご参加ください。
▼前回の記事はこちらからご覧ください。
▼次回以降のセミナーへのお申し込みはこちらからお願いいたします。
2. Flowmon ADSによる脅威の検知
Flowmon ADSでは、通信の送受信者やプロトコル、データ量等を基にネットワーク全体を可視化します。さらに、機械学習による傾向の予測や兆候レベルでの異常検知が可能です。検知には、不審な通信に特有の振る舞いを定義したメソッドと呼ばれるものが使用され、マルウェアやDoS攻撃、ポリシー違反など様々な脅威に対応した44種類(2025年8月時点)のメソッドが定義されています。それでは、具体的な攻撃の流れとともに、検知に使用されるメソッドのいくつかをご紹介していきます。
外部からの攻撃
現代のサイバー犯罪は侵入から目的遂行までが段階的に行われ、それぞれのフェーズで多種多様な攻撃手法が利用される計画的かつ複雑なものとなっています。標的型攻撃を用いたシナリオを例として、各フェーズにおける攻撃とADSによる検知を見てみましょう。
標的型攻撃とは特定企業や個人を標的としたサイバー攻撃を指し、ばらまき型のフィッシングメールなどと異なり、ターゲットに合わせて巧妙に偽装された電子メールなどを使用するため侵入の予防・検出が困難になります。侵入後は潜伏しながら内部で展開することで攻撃のための基盤構築フェーズと、情報の持ち出しなどを行う目的遂行フェーズに分けられます。
まず初期侵入段階は、標的型メール(スピアフィッシング)や悪意あるWebサイトへの誘導から開始します。ユーザが不審な添付ファイルを開封したり、偽装URLにアクセスしたりしてしまうことで、端末がマルウェアに感染します。感染したユーザ端末は、多くの場合攻撃者が設置したC&C(Command and Control)サーバへ通信を行います。C&Cサーバは攻撃者の司令塔として機能し、マルウェアの制御や感染端末へ攻撃ツールのインストール等を行います。この時、ADSでは国外のサーバやブラックリストに載っているIP、ランダムなドメインとの通信を検知し、C&C通信を発見します。
続いて、潜伏と侵入の拡大が行われる基盤構築段階では、目的の情報への到達を目指して最初の感染端末を起点に内部展開(ラテラルムーブメント)を行います。具体的にはポートスキャンや辞書攻撃を使ったネットワークの脆弱性探索が行われますが、ADSではこれらの通信を検出することが可能です。それ以外にも、機械学習ベースのANOMALYメソッドなどでは、端末の過去の通信傾向を基にした予測値と実際の通信とを比較して異常を検知します。これにより、不審なサーバからのファイルダウンロードや、過去全く通信がなかった相手との急な接続といった目立たない兆候もとらえることができます。
最終フェーズの目的遂行段階では、情報窃取や業務妨害等を目的とした攻撃が実行されます。ネットワーク内で大量のデータのやり取りや外部サーバへのデータの送信といった急激な通信パターンの変化、BitTorrentのような不正なP2P通信などの検知は情報漏洩や不正アクセスの可能性が高く、迅速な対処が求められます。
標的型攻撃の中でも特に高度なものはAPT(Advanced Persistent Threat: 高度かつ継続的な脅威)と呼ばれ、大企業や国家機関を対象に数カ月から数年間にわたって潜伏した状態で攻撃が継続されることもあります。また、標的型攻撃による情報窃取とランサムウェアを組み合わせて身代金を要求するケースや、DDoS攻撃を同時に仕掛けることで標的型攻撃をカモフラージュするようなケースもあり、いずれの場合も不審な兆候を見逃さず、初期侵入段階や潜伏期間といった早期の検出が非常に重要です。
内部脅威
ネットワーク内部に潜む脅威は、主に以下の3つに分類されます。
- 不注意な内部者(メールの誤送信やフィッシングの被害等)
- 悪意のある内部者(意図的な情報漏洩やデータ破壊)
- 危殆化した内部者(流出した内部情報を使用したなりすまし等)
本来信頼できる領域とみなされてきた”ネットワーク内部”は、従来型セキュリティの死角になりがちでした。さらに近年では、サプライチェーンを構成する関連企業や委託先も“内部者”と捉える必要性が高まり、内部脅威への対策は極めて重要な課題となっています。
内部脅威では、「不審なアクセスパターン」や「大容量のデータ転送」などの兆候がしばしば見られます。ADSは、機械学習を用いて予期されない接続先との通信や社内システムへの不要なアクセスの検出、大容量ファイルの転送やアップロードの検出が可能です。さらに、未確認端末の接続、TORやTELNETなどの社内ポリシーに違反するプロトコルの使用や、ユーザ情報の窃取に使用されることの多いDNS/DHCPスプーフィングなども検知できるため、情報窃取の前兆段階から対策をとることもできます。内部脅威対策には、こうしたプロアクティブな検知に加えて、”内部者”のセキュリティ意識向上も不可欠です。ADSは、通信の証跡記録やユーザアクティビティの追跡によってネットワーク内の監視カメラとして機能するため、過失や悪意ある情報漏洩の抑止にも効果的といえます。
3. 新機能「脅威ブリーフィング」
今年7月より利用可能となった最新バージョン12.05では、日々新たに登場する脅威に対して、継続的なアップデートにより最前線の防衛を実現する新機能「脅威ブリーフィング」が実装されました。この機能では、AIを活用した巧妙なフィッシングや、新型のマルウェア、未修正の脆弱性を狙った攻撃など、世界的に注目度の高い様々なゼロデイ脅威を検知します。検知には「THREATS」メソッドというこちらも新たに追加された新メソッドが使用され、AIによる振る舞い定義と情報セキュリティの専門家によるレビューを経て、各脅威の検知に最適なメソッドが随時リリースされます。
4. おわりに
Flowmon ADSは、多数のメソッドを使用してネットワークに潜む様々な脅威を検知できます。NetFlowによる通信可視化と機械学習を活用した振る舞い検知によって、非常に多岐にわたる脅威に対応できることがお分かりいただけたのではないでしょうか。冒頭でもご紹介したADS特化セミナーでは、模擬攻撃を行って実際にADSで検知される様子をお見せするデモパートもございます。実際の使用感をイメージしていただきやすい内容になっておりますので、本コラムでADSの振る舞い検知にご興味を持っていただけた方にはぜひご参加いただきたく思います。これからのセキュリティに必要不可欠な脅威の早期発見と事後対応の迅速化をサポートするFlowmon ADSを、セキュリティ強化の第一歩としてぜひご検討ください。
◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
NDR導入の第一歩!Flowmon ADSが解決するセキュリティの課題
NDR導入の第一歩!
Flowmon ADSが解決するセキュリティの課題
2025年8月4日
1.はじめに
今日の情報社会の発展の陰で、情報資産を脅かすサイバー犯罪は高度かつ巧妙な手口へ進化しており、多層的な保護と迅速な対応を実現するセキュリティが必要とされています。Progress社のブログ「Analysts Share Their 2025 Cybersecurity Predictions(https://www.progress.com/blogs/analysts-share-their-2025-cybersecurity-predictions)」では、ランサムウェアの脅威に加え、SNSや生成AIの悪用、サプライチェーン攻撃など、新たな攻撃リスクの増加が指摘されています。特に、SNSやサプライチェーンといった、これまで見過ごされがちだった領域からの攻撃により、侵入に気づきにくい「ステルス性」の高さが大きな特徴といえます。さらに、発覚後の対応体制の不備が被害を拡大させるケースも多く、”早期発見”と”迅速な対応”の重要性が増しています。加えて、クラウドやリモートワークの普及によりネットワーク境界が曖昧となった昨今では、内部からの情報漏えいリスクも無視できない課題となっています。
これら脅威の変化に対して、従来の境界型やシグネチャベースの防御では対応が不十分となりつつあり、ゼロトラストやSIEM(Security Information and Event Management)などを活用した多層防御といった”新しい情報セキュリティ”への移行が世界的なトレンドになっています。このような背景で現在注目されているのが、「Flowmon ADS(Anomaly Detection System)」をはじめとした、ネットワークの“振る舞い”に基づいて攻撃を検知するNDR(Network Detection and Response)型の製品です。海外ではFlowmonユーザの約4割のお客様にADSをご導入いただいており、ネットワークの可視化と脅威検知の組み合わせが有効な対策として受け入れられていますが、一方で日本国内での導入率はやや低く、まだ普及の途上にあります。これには、セキュリティ対策を導入する段階における技術的・運用的なハードルや優先度、製品等の具体的な情報の不足が背景にあるのではと考えられます。
そこで、本コラムではFlowmon ADSの強みと、現代の脅威に対してどのように有効かを詳しく解説いたします。ADSの導入を検討いただいているお客様だけでなく、「既存の従来型セキュリティに不安を感じており、始めやすいきっかけを探している」「NDRの導入でどのような効果を得られるか知りたい」といった課題をお持ちのお客様に、ぜひご一読いただきたい内容となっています。
2.Flowmon ADSとは
Flowmon ADSはNetFlowを使用してネットワーク内のトラフィックを監視し、通信の”振る舞い”から異常を検知します。その最大の強みは以下の3点にあります。
振る舞いベース検知
振る舞いベース検知はシグネチャのような明示的な特徴ではなく、既知脅威に類似した通信傾向からリスクを”推定”して検知を行います。このような推論的・経験則的な手法はシグネチャベースより精度は劣るものの、課題とされていた未知のマルウェアやゼロデイ攻撃にも対応できることが強みです。ADSでは監視対象のネットワークごとに機械学習でベースライン(正常な振る舞い)を構築し、人間の目では気づきにくいような異常も高精度で検知しながら、チューニングによって不要な誤検知は最小限に抑えます。
ネットワークレイヤの監視
ファイアウォールやIDS/IPSといった境界セキュリティ、アンチウイルス等のEPPやEDRといったエンドポイントセキュリティは現在ほとんどの企業様で実装されていますが、その間に位置するネットワークレイヤは手薄になりがちです。ADSではネットワーク内を流れる通信を監視するため、境界とエンドポイントとの間のギャップを補完した多層防御を実現できます。境界/エンドポイントをすり抜けてしまった攻撃にも気づくことができるほか、社内サーバのなりすましやデータの持ち出しといった内部脅威にも対応が可能になります。
リアルタイムのネットワーク可視化
ADSでは40を超えるメソッド(脅威に特徴的な通信の振る舞いパターンを定義したもの)を使用してネットワーク内のあらゆる通信を見分け、異常なイベントをリアルタイムでアラートします。さらに異常が検知されたホストの動きを時系列で追跡したり、感染の様子から侵入経路を特定したりといった分析を行うことが可能です。また、インシデント証跡として該当通信のNetFlowデータの記録や、ファイアウォール・ネットワークコントローラ等の外部機器との連携で該当経路の即時隔離など、即座に防御アクションに移ることが可能となります。
上記以外にも、ADSには異常検知から原因分析、事後対応までを一貫して支援する豊富な機能が搭載されている点も魅力です。直感的なGUIを使った容易な分析、MITRE ATT&CKフレームワークと照らし合わせた脅威の分類や、分かりやすい文章でのイベント概要により、オペレーションの負荷が大幅に軽減されます。先日国内リリースされた最新バージョンのv12.05では、イベント詳細に原因特定や被害拡大を防ぐ是正措置につながる推奨事項も追加され、インシデント対応における意思決定をよりスムーズに行うことが可能になりました。
💡MITRE ATT&CKフレームワークとは
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)フレームワークは、アメリカの非営利研究開発機関であるMITRE社が開発・公開しているナレッジベースで、サイバー攻撃における脅威行動を体系的に整理・分類しています。
このフレームワークは、攻撃者の「Tactics(戦術)」と、それを達成するために使われる「Techniques(テクニック)/Sub-techniques(サブテクニック)」という要素で構成されており、攻撃のライフサイクルを可視化することが可能です。
現在、以下14の戦術と、それらをさらに細分化した数百ものテクニックやサブテクニックが定義されています。これにより、防御側が脅威の全体像を把握しやすくなり、検知、対応、復旧の各フェーズにおいて実践的な対策を講じるための指針として活用されています。
MITRE ATT&CK Tactics
| Phase | Tactics (戦術) | 説明 |
|---|---|---|
| 01 |
偵察
Reconnaissance
|
攻撃を計画するための情報を収集。 |
| 02 |
リソース開発
Resource Development
|
攻撃に使用するインフラを構築。 偽ウェブサイトの作成等。 |
| 03 |
初期アクセス
Initial Access
|
標的への侵入を試みる最初の攻撃手法。 フィッシングメール等。 |
| 04 |
実行
Execution
|
攻撃活動を実行。 悪意あるコードの注入・実行等。 |
| 05 |
永続化
Persistence
|
様々なテクニックを使い、侵入したネットワーク上への永続性を維持。 |
| 06 |
権限昇格
Privilege Escalation
|
高度な攻撃を実行するため、より高い権限やアクセス許可を取得。 |
| 07 |
防御回避
Defence Evasion
|
攻撃者がネットワーク内で発見されることを回避するための動き。 |
| 08 |
資格情報アクセス
Credential Access
|
まだ完全に侵入していないシステムへのログイン情報を盗聴・窃取。キー情報の入力等。 |
| 09 |
調査
Discovery
|
ネットワーク上で感染・制御の対象となる他のシステムを見つける。 |
| 10 |
水平展開
Lateral Movement
|
一度感染したシステムから別のシステムへ移動。複数のシステム間で有効な認証情報を使って広がるのが一般的。 |
| 11 |
収集
Collection
|
販売や次なる攻撃計画の利用、脅迫に有用なデータを収集。 |
| 12 |
指令・制御
Command and Control
|
ネット上の攻撃者のシステムと感染したシステムとの通信。通常のパケットに偽装した通信を使用するのが一般的。 |
| 13 |
情報流出
Exfiltration
|
ダークウェブで販売、または身代金要求や後続攻撃に利用のため、収集したデータを攻撃者のサーバーに転送。 |
| 14 |
影響
Impact
|
ITシステムの運用を妨害。 ランサムウェアによる暗号化が最も一般的だが、他の手法も用いられる。 |
3. 現代のセキュリティトレンドとFlowmon ADS
現代情報セキュリティにおけるキーワードである「ゼロトラスト」及び「SIEM」は、これからのセキュリティの基本戦略といえますが、Flowmon ADSをはじめとするNDRはこれらの実現にどのように寄与するのでしょうか。
ゼロトラストセキュリティ
従来の「境界型セキュリティ」では、ファイアウォールやIDS/IPSによってネットワークの“内部”と“外部”を明確に分離し、外部からの脅威を遮断することを基本方針としていました。このモデルには「境界の内側は信頼できる」という前提があり、一度侵入を許すと被害の拡大を防ぐのが困難という弱点があります。現代では、攻撃の高度化・巧妙化によりそのすべてを境界で防ぐのは現実的ではなくなっています。内部脅威に対する問題意識の高まりも相まって、根本からの再構築が求められています。こうした中で登場した「ゼロトラストセキュリティ」は、「すべてを信頼しない」ことを前提にした考え方で、「多角的監視」や「ユーザ認証」、「アクセス制御」がキーコンポーネントとされています。クラウドやリモートワークの普及により情報資産・ユーザが社内外に分散するようになったことで、近年特に注目を集めているゼロトラストですが、具体的に何をすべきか悩む企業様も多いのではないでしょうか。NDRソリューションは発信元に関わらずすべてのネットワーク活動を監視・検知・分析することで、内部外部を問わない包括的な可視性を提供します。これにより、境界を前提としないセキュリティの新たな視点を得ることができ、ゼロトラストセキュリティの実効性を高めることが可能です。
SIEM(セキュリティ情報及びイベント監視)
現代のセキュリティ対策では、単一のソリューションに依存するのではなく、複数の視点と技術を組み合わせた多層的なアプローチが不可欠です。SIEMとは、ファイアウォール、EDR、NDRなど多様なセキュリティツールから収集したログやアラートを一元的に管理し、相関分析を通じて異常を検知・可視化するプラットフォームです。SIEMとの連携において、NDRはデータのやり取りやユーザアクティビティといったネットワーク全体の可視性を提供し、異常検知・脅威対応を格段に強化、より迅速かつ的確なインシデント対応を可能とします。
現代のサイバー攻撃に対してはネットワークへの侵入を100%防ぐことは不可能であり、侵入してしまった脅威をいかに早期発見・対処できるかが重要となります。そのためには様々な視点からの多角的防御が不可欠であり、NDRの導入は非常に有効な手段といえるでしょう。
4. おわりに
サイバー犯罪は日々、より高度かつ巧妙な手法へと進化しており、それに応じて情報資産の防御も常にアップデートが求められています。本コラムでは、ネットワーク全体の可視化を通じて新たなセキュリティの視点を提供するNDR製品「Flowmon ADS」についてご紹介しました。Flowmonはネットワーク構成を大きく変更することなく導入できるアウトバンド型の構成であり、監視対象の機器に障害が生じた場合でも、ネットワークそのものには影響を与えないため、導入のしやすさも魅力の一つです。振る舞いベースの高度な異常検知と迅速なインシデント対応を支援する様々な機能を備えておりますので、社内のセキュリティ強化に向けた実践的かつ効果的な選択肢として、ぜひFlowmon ADSの導入をご検討いただければ幸いです。
◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
Flowmonレポート調査サービス
- 夕方の特定の時間帯になると、Web会議が重い。
- 月末、基幹システムへのアクセスが集中して業務が滞る。
- ユーザーから「ネットワークが遅い」という漠然とした問い合わせが頻発する。
- 原因がわからず、場当たり的な対応しかできていない。
- 経営層からはコスト最適化を求められるが、改善の根拠を示せない。
アプリケーション別解析による傾向分析や
ボトルネックの特定により生産性の向上
トラブルシューティング
バーストトラフィックや過剰な帯域占有など
業務通信レスポンス悪化の原因を特定
現状把握に基づき、不要な回線増強などの
過剰投資を防ぎITコストを最適化
サービス概要
Flowmonトラフィック可視化サービスは、短期間・低コストでネットワークの状態を可視化する、
ネットワーク可視化のスポット対応サービスソリューションです。
| 対象 | 本社/支店/クラウド接続拠点など |
|---|---|
| レポート納品までの期間 | お申込みから約2ヶ月 |
| 提供形態 | 物理機器貸出(仮設置) |
| 成果物 | PDFレポート 5~20項目(要相談) |
| 費用 | お問い合わせください |
レポートイメージ
Flowmonのネットワークトラフィック解析機能により、設置環境で収集されるネットワークをベースにその特性をレポートいたします。また管理コンソールからの様々な解析機能もご利用いただくことで、問題事象の原因調査やそのエビデンスを確保することも可能です。出力されるデータはグラフィカルでわかりやすく、GUIは全て日本語に対応しており、経営層や管理部門に対しても確かなデータに基づいた改善提案が可能となります。
◆主な解析項目
- ・ バーストトラフィックの発生原因
- ・ 時間帯別のトラフィック量と変動傾向
- ・ アプリケーション/サービス別の通信傾向
- ・ 通信遅延値・再送回数等の分析
- ・ 特定拠点・フロア内の通信可視化
設置イメージ
対象とするネットワークに、一定期間(2~3週間程度)Flowmonを設置し、収集されたトラフィック情報を元にレポートをご提供させていただきます。
また設置期間中、Flowmonのトラフィック解析機能をお客様にもお試しいただけます。
導入の流れ
お申し込みからレポート納品まで約2ヶ月程度となっており、スピーディーに問題解決の糸口を見つけることができます。手軽でありながら、精度の高いトラフィック可視化サービスをご提供します。
よくあるご質問(FAQ)
ネットワークの課題を、確かな可視化で解決!
まずはお気軽にご相談ください。
お問い合わせはこちら 資料をダウンロード