Flowmon

Flowmon REST API講座

Flowmon REST API講座

2025年2月3日



 REST APIはアプリケーション間のデータ交換手段として広く利用されており、現代のWebサービスやアプリケーション開発を支える重要な基盤といえるでしょう。REST(REpresentational State Transfer)とはソフトウェアのアーキテクチャスタイルの一つであり、6つの基本原理(クライアント-サーバ、ステートレス、キャッシュ、統一インターフェース、階層型システム、コードオンデマンド)により定義されます。この設計理念に基づいたREST APIは、シンプルかつスケーラブルものとなります。
 ”RESTful”なAPIは、その柔軟性や拡張性の高さから第三者による二次利用のハードルを下げ、効率的なアプリケーション開発を実現します。現在では、多くの企業が自社サービスのAPIを公開しています。開発者はこれら既存のサービスを構成する「機能」を個別に「再利用」することで開発の手間を省き、様々なシステムを統合して新たなサービスを作り出すことも容易にできるのです。
 本コラムでは、Flowmonが公開しているREST APIの一部をご紹介いたします。Flowmonをより便利に利用するシステムづくりのヒントになれば幸いです。

Flowmon REST APIガイド

 FlowmonのWeb GUIから、公開されているREST APIガイドを確認することができます。ADSやFPIなどのプラグインモジュールも含めると300個以上のメソッドが公開されており、ブラウザ上からコマンドを送信することもできるためCLI操作に慣れていない方でも手軽にAPIを試していただけます。

図1:Flowmon REST APIガイド画面

図1:Flowmon REST APIガイド画面

トークン発行

 APIコマンドを送信する際はユーザ認証のためのアクセストークンが必須となります。APIガイド上ではページ上部の「Authorize」ボタン、または各メソッドの右側にある南京錠マークをクリックすると認証情報を入力するポップアップが表示されます。

図2:認証手順(Web GUI)

図2:認証手順(Web GUI)

認証が成功すると、下図のように南京錠マークが閉じ、コマンドが実行できるようになります。

図3:認証完了後の南京錠マーク

図3:認証完了後の南京錠マーク

 CLIで実行する場合は、下記のコマンドを使用してトークンを発行します。他のコマンドを送信する際に、取得したアクセストークンをcurlのヘッダーオプションとして付加します。なお、Flowmon OSでは自己証明書を用いており、そのまま実行しようとするとcurlのSSLエラーではじかれてしまうので、-kオプションを付ける必要があります。

curl -X 'POST' -k 'https://<flowmon_address>/resources/oauth/token' \
  -H 'accept: application/json' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'grant_type=password&client_id=invea-tech&username=<username>&password=<password>' | jq

画像はコマンドの実行例です。有効期限86400秒(24時間)のアクセストークンと、リフレッシュトークン(有効期限はデフォルトで2日間)が発行されました。

図4:トークン発行(CLI)

図4:トークン発行(CLI)

解析の実行

 次のコマンドでは、Monitoring Centerの統計情報解析を実行します。に統計基準、に並べ替え基準、に集約といった形で、Web GUIでの解析と同様の条件指定をすれば問題ありません。

curl -X 'POST' -k 'https://<flowmon_address>/rest/fmc/analysis/statistics' \
  -H 'accept: application/json' \
  -H 'Content-Type: application/json' \
  -H 'Authorization: Bearer <access_token>' \
  -d '{
    "search": {
      "from": "<start_time>",
      "to": "<end_time>",
      "profile": "<profile_id>",
      "channels": [
        "<channel_id#1>", "<channel_id#2>", ...
      ],
      "statistics": {
        "statistics": "<statistics>",
        "orderBy": "<order_by>"
      },
      "specific": {
        "aggregateBy": [
          "<aggregate_by#1>", "<aggregate_by#2>", ...
        ]
      },
      "filter": "<filter>"
    },
    "showonly": <number_of_displays>
  }' | jq

画像の実行例では、プロファイルに「All Sources(CLI上の表記はlive)」、統計基準に「IP通信(record)」を選び、「送信元IPアドレス(srcip)」及び「宛先IPアドレス(dstip)」で集約しています。このコマンドを送信すると、出力として解析結果のIDが返されます。

図5:統計情報解析の実行(CLI)

図5:統計情報解析の実行(CLI)

 解析結果の確認は次のコマンドで行います。に前述のIDを入力することで、解析結果が出力されます。

curl -X 'GET' -k 'https://<flowmon_address>/rest/fmc/analysis/results/<result_id>' \
  -H 'accept: application/json' \
  -H 'Authorization: Bearer <access_token>' | jq

実行例では、通信の開始時間(ts)と期間(td)、送信元IP(srcip)、宛先IP(dstip)、パケット数(pkt)、バイト数(byt)、フロー数(fl)が確認できます。

図6:統計情報解析結果の出力(CLI)

図6:統計情報解析結果の出力(CLI)

 Web GUIを用いて同じ解析を行った場合と見比べてみましょう。CLIでの解析と同じ結果が得られていることがわかりますが、バイト数の値が若干異なっているのはCLIではバイト単位、GUIではメビバイト(MiB、2の20乗バイト)単位で表示しているためです。

図7:統計情報解析(Web GUI)

図7:統計情報解析(Web GUI)

トラフィック量の出力

 次のコマンドでは、トラフィック量を取得することができます。には出力したいトラフィック値として「traffic」や「packets」、「flows」が指定できます。また、は数字のID(0:すべて、1:ICMP、4:IPv4、6:TCP、等)で指定します。

curl -X 'POST' -k 'https://<flowmon_address>/rest/fmc/analysis/chart' \
  -H 'accept: application/json' \
  -H 'Content-Type: application/json' \
  -H 'Authorization: Bearer <access_token>' \
  -d '{
    "search": {
      "from": "<start_time>",
      "to": "<end_time>",
      "profile": "<profile_id>",
      "channels": [
        "<channel_id#1>", "<channel_id#2>", ...
      ],
      "chart": {
        "measure": "<measure_value>",
        "protocol": <protocol_id>
      }
    }
  }' | jq

出力結果はプロファイルの粒度単位でのトラフィック量となり、実行例では5分粒度プロファイルで10分間を指定したため、5分ごとの値が2つ出力されています。

図8:トラフィック量の出力(CLI)

図8:トラフィック量の出力(CLI)

 Web GUI上では、トラフィックグラフ上で同じ値を確認できます。

図9:トラフィック量の確認(Web GUI)

図9:トラフィック量の確認(Web GUI)

まとめ

 本コラムではFlowmonのREST APIについてご紹介しましたが、ここでお見せしたコマンドはほんの一部です。ほかにもたくさんの機能があり、トラフィック状況に応じたネットワーク機器との外部連携やデータ出力のカスタマイズ、設定の自動化などアイデア次第で多様な活用方法が考えられます。Flowmonをもっと便利に使いたい!という際は、ぜひFlowmon REST APIをご活用ください。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

業務効率改善!ダッシュボード&レポート活用術

業務効率改善!ダッシュボード&レポート活用術

2025年1月6日


現代のネットワーク環境において、トラフィックの可視化と分析はネットワーク管理者にとって必要不可欠な要素となっています。正確な分析を行うためには、トラフィック状況やリソースの使用状況など様々な情報が必要になります。ですが、分析データを収集して整理し、わかりやすい形式でまとめる作業には多くの労力を要し、定期的に発生するタスクは長い期間で考えると、実に多くの時間を費やすことになります。
本コラムでは、Flowmonのダッシュボード&レポート機能を利用することで、これらの定期作業を効率的にする方法をご紹介させていただきます。

直感的な監視を実現するダッシュボード

Flowmonのダッシュボードの特徴は、何と言ってもその高いカスタマイズ性にあります。トラフィック量、プロトコル分析、アプリケーション使用状況など、必要な情報を一画面に集約して表示できます。気になるトラフィックデータをクリックすることで、該当の通信に絞り込み、詳細解析画面にシームレスに遷移することも可能です。そして、直感的な操作性もポイントの一つです。ドラッグ&ドロップによるサイズ調整や配置変更が簡単に行えるため、運用管理者それぞれの好みに応じた使いやすい画面構成を構築できます。

レポート機能による業務効率化

レポート作成は運用管理者の重要な業務の一つですが、Flowmonはこの作業を大幅に効率化します。スケジューリング機能を利用することで日次・週次・月次等での定期レポートを自動作成できます。これにより、Flowmonへアクセスしなくても、重要なトラフィックのサマリーデータを定期的に取得することができますので、レポート作成業務に追われることなく、運用管理者の働き方改革にも貢献します。
レポートの出力先は、指定のメールアドレスへの送信や外部データストレージへの保存を選択できます。PDF/CSV形式でのエクスポートに対応しており、月次のトラフィック使用状況の記録や、定例会での報告資料として幅広く活用できます。また、過去のトレンド分析や監査対応の際にも、過去のレポートが有用なデータソースとなります。

レポートの定義方法

レポートを作成するためには事前にプロファイルを作成する必要があります。プロファイルとはFlowmonに保持されるフロー情報をあらかじめフィルタ条件で定義付けすることで、プロファイルデータとして管理し、複数のフロー情報をグルーピングする機能です。例えばLAN内の通信がセグメント単位で構成されている場合、プロファイルでグループ化することで拠点単位での通信の可視化を簡単に行うことができます。その他にもHTTPホスト名を指定すれば、該当アプリケーションの通信量や使用したユーザを特定することもでき、お客様のニーズに合わせたプロファイルを作成できます。プロファイルを基にレポートの出力内容を定義します。表示形式はTOP(n)形式かトラフィックグラフ形式から選択でき、必要な項目を組み合わせることで、情報量の豊富なレポートを作成できます。例えば、「利用の多いホストTOP10」や「拠点内での直近1週間のトラフィック量」といった具体的な分析ができます。また、出力内容や形式は複数パターンから選択できるため、既存で利用しているレポートから内容を大きく変更せずにFlowmonのレポートを作成することができます。

トラブルシューティングにおける活用事例

ネットワークの問題解決においてFlow分析は非常に効果的なアプローチとなります。ダッシュボードや定期的なレポートを活用することで、特定の時間帯におけるトラフィックがひっ迫していることや、特定のアプリケーションで頻繁に発生している遅延など、問題の兆候や原因を早期に発見できます。問題発生後にパケットを取得して解析するより効率的に問題の根本原因を把握できます。

最後に

Flowmonのダッシュボード&レポート機能は、日々複雑化するネットワーク環境の可視化と効率的な運用管理を実現します。直感的な操作性によるスムーズな管理性と、自動化されたレポート作成機能を備えているため、日々の業務効率化に大きく貢献します。 今後ネットワーク環境がさらに複雑化していく中で、Flowmonは運用管理者にとって強力なパートナーとしての役割を果たすことが期待できます。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

バージョンの詳細情報と注意事項について

バージョンの詳細情報と注意事項について

サポート対象バージョンについて

    ver.12リリースに伴い、サポート対象のバージョンは以下の通りです。
    フルサポート:Ver.12.05.02のみ(最新の安定版のみ)
    リミテッドサポート:Ver.12.05.02以前のVer12系、Ver11系、Ver10系
    サポートアウト:Ver9系及びそれ以前のバージョン

NT LAN ManagerおよびCIFS(Samba)の推奨バージョンについて

    FOS ver12.05以降ではNT LAN Manager v1(NTLMv1)およびCIFS(Samba)v1.0プロトコルは
    必要なレベルのセキュリティを提供しておらず、リスクをもたらす可能性があるため、非推奨となり削除されました。FOS ver12.05へのバージョンアップを実施される前に、より安全なバージョン(NTLMv2およびSamba2.0以上)への切り替えをお願いいたします。
    この変更は、Configuration Center>システム>システム設定>外部データストレージで行うことができます。

Zabbixエージェント第2世代への移行について

    Flowmonには第2世代のZabbixエージェントがプリインストールされており、集中監視システムを使用してリモート監視を行うことが可能です。Flowmonには第1世代のZabbixエージェントも含まれていますが、これは将来のバージョンで削除される予定ですので、第2世代のZabbixエージェントに移行することをお勧めいたします。

    第1世代から第2世代のZabbixエージェントへの移行手順は以下の通りです。
    ①/etc/zabbix/zabbix_agent2.confで第2世代のZabbixエージェントを設定します。
    ②コマンドで元のZabbixエージェントサービスを停止します: sudo systemctl stop zabbix-agent.service
    ③コマンドで再起動後の自動起動を無効にします: sudo systemctl enable zabbix-agent.service
    ④コマンドで新しいZabbixエージェントサービスを開始します: sudo systemctl start zabbix-agent2.service
    ⑤コマンドで再起動後の自動起動を有効にします: sudo systemctl enable zabbix-agent2.service

仕様変更について

  • ロゴがKempからProgressFlowmonに変更になっています。
  • Flowmon OS ver12.02では、Monitoring Centerからレポート機能が削除され、すべてのレポートをDashboard and Reportsから使用できるようになりました。Ver12.02へアップデートを行うと、Monitoring Centerのレポート機能が廃止されますので、アップデート後にMonitoring CenterのレポートをDashboard and Reportsに移行する必要があります。
    移行手順の詳細はサポート窓口へお問い合わせください。

サンプリングレートによる解析結果の変化

サンプリングレートによる解析結果の変化

2024年11月01日

はじめに

昨今、コンピュータ性能向上や利用目的の多様化、接続されるホスト数の増加により、ネットワークトラフィックは日々増大しています。ネットワーク監視やトラフィック解析のニーズも相まって、ネットワーク全体のトラフィックを可視化するためには大規模なストレージが求められるようになってきています。HDDの価格は一昔前に比べればはるかに安価となっていますし、またNetFlowの情報はパケットのヘッダー情報のみを参照する為、パケットキャプチャに比べればはるかにデータ量は少ないですが、有限なストレージを有効活用する為、Flowmonのお客様でもFlow生成時のパケットサンプリングを検討されることがあります。パケットサンプリングは一般的な技術として広く認知されていますが、信頼性はサンプリングレートの設定に大きく依存しており、適切な設定を行わないと解析結果が大きく変わってしまう可能性があります。パケットサンプリングについては、お客様からしばしばお問合せがありますが、適切な回答が難しく、改めて弊社環境を用いて検証しました。
※あくまでも弊社検証環境における結果であり、お客様の環境によっては異なる結果となる可能性があります。

サンプリングレートとは

まずサンプリングレートについて説明します。NetFlow界隈におけるパケットサンプリングとはトラフィックとして流れるパケットをどのような粒度で収集するかを決定するパラメータです。例えば、1:1000のサンプリングレートは、1000パケットに1つ、1:4000のサンプリングレートでは4000パケットに1つのパケットを収集しFlow化することを意味します。つまり、サンプリングレートが高いほど、参照されないパケットが増え、ネットワークの詳細情報は少なくなります。これにより、生成されるFlow数が少なくなりFlowを保存するストレージが節約できます。一方、サンプリングレートが低いと、詳細な情報が得られる代わりにFlow数が増え、大容量のストレージが必要になります。

検証内容及び前提

    以下の前提で弊社環境でのデータをもとに、異なるサンプリングレートが解析結果に与える影響を検証します。
  • 本検証では同一のトラフィックを、異なるサンプリングレートでFlow生成しA(サンプリングなし)とB(サンプリングレートを動的に変更)の差分を比較し百分率で表示する。
  • A、B共にサンプリングレート0の場合の差分は0として扱う。
  • (補足)FlowmonでサンプリングされたFlowを受信した際の処理について
    トラフィック量にパケット数にサンプリングレートの倍率を乗算することで実際に流れたトラフィック量として出力します。





検証結果・解釈

今回の検証ではサンプリングレートが高くなるほど誤差が大きくなり、事前に想定していた通りの結果となりました。低いサンプリングレートでは、比較的正確なトラフィックパターンを出力します。反対にサンプリングレートが高いと誤差は増加傾向となります。全体的なトレンドや傾向把握では大きな問題にはなりませんが、異常トラフィックを見逃す可能性が増加します。

サンプリングレートを設定する際には、ネットワークの規模、トラフィック量、必要な解析の詳細度、システムの処理能力などを総合的に考慮する必要があります。小規模ネットワークであれば、そもそも流れるパケットが少ないため、サンプリングなしが望ましいです。反対に大規模ネットワークでは、ある程度高いサンプリングレートでサンプリングをおこなってもパケット数が多いためさほど影響ないことが想定されます。とはいえ、バーストトラフィックを可視化したいという場合には、サンプリングレートを下げるなどの工夫が求められます。
長期的なトレンド分析等には高サンプリングレート、セキュリティ監視や異常検知を主目的とする場合は、低サンプリングレートに設定することが良いでしょう。このように分析目的によってサンプリングレート使い分けることが望ましいと考えられます。

実際の事例

某企業では、初期設定でサンプリングレートを1:8000にしていたため、トラフィックの一部が見逃され、異常なトラフィックパターンの検出が遅れてしまうという問題が発生しました。その後、サンプリングレートを1:1000に調整したところ、セキュリティインシデントの迅速な対応とストレージコストの増加を最小限に抑制することができました。

まとめ

ノンサンプリングが最も正確なトラフィックになるということは言うまでもないですが、サンプリングが必須な場合にそのレートは、ネットワーク解析の精度と効率のバランスを取る上で極めて重要な要素です。ネットワーク管理者には、自社のネットワーク環境に応じて最適なサンプリングレートを評価し、適切なトラフィック解析が行えるように調整することが求められます。これにより、高度なセキュリティ対策と効率的なネットワーク運用が実現できると考えられます。なおFlowmonは秒間最大で40万フローを受信でき、データは集約されずに生データで保存するため、ノンサンプリングでフローを収集したいというニーズにマッチしています。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

コラム記事:
Flowmon製品のお客様評価
ランサムウエア検知でのADSのシナリオ
ランサムウェア脅威への対策


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

Flowmon/ADS 新バージョン ver.12.04情報

Flowmon/ADS 新バージョン ver.12.04情報

PDF版のダウンロードはこちらから行えます。

ver.12.04アップデートによる変更点(一部抜粋)は、下記の通りです。


見えないものを見える化!ネットワーク可視化の重要性

見えないものを見える化!ネットワーク可視化の重要性

2024年8月1日


ネットワークは今日のビジネスにおいて業務効率化や生産性の向上を図るため、なくてはならない重要な基盤となっています。誰しもが当たり前に利用しているネットワークですが、その複雑さは日に日に増しており、状態を把握することは簡単ではありません。インターネットは毎日利用しているものの、ネットワーク可視化に手を付けていなかったり、SNMPでトラフィック量だけは見てはいるものの詳細がわからず、どんな通信が流れているかはわからないといったケースが少なくありません。

何か問題が起きた時には原因調査をすることになりますが、日ごろのトラフィック情報の有無でトラブルシュートにかかる時間は大きく変わります。私たちが毎年健康診断を受けるのと同じように、ネットワーク環境も定期的な診断が必要で、日常の通信状態を把握することで障害発生時に問題の所在を推測することができます。そこでネットワークを定常的に監視することの重要性についてお話させていただきます。

どういったものを可視化するのか

まずネットワークを運用していく上で、可視化しなければならない情報について考えてみたいと思います。 サーバーやネットワーク機器などのハードウェア情報、アプリケーションの応答情報、通信のトラフィック量などのソフトウェア情報、セキュリティ関連項目まで含めると膨大になることが想定されます。どれも重要な情報ではありますが、今回はその中でもFlowmonが最も得意とする通信の可視化にフォーカスを当てたいと思います。

ネットワーク可視化の目的

ネットワークを可視化する目的について考えてみたいと思います。極端な話ネットワークを可視化しなくても、何も問題が発生しない限り不都合はありません。イーサネットはすでに成熟した技術であり、監視していないからと言って即座にトラブルが起きることはありません。ですが、いざ問題が起きたときには、その複雑さ故、どこから手を付ければいいかわからない、何が原因かわからないといった声をよく聞きます。

障害を未然に防いだり、障害発生時に迅速な解決を行うためにはネットワーク状況の把握が不可欠です。この時、部分的に把握するだけでなくできるだけ広い範囲を可視化することで、ネットワーク全体像が見え、より俯瞰的に原因調査ができます。 日々変化するトラフィックや状態を見て、現在の構成やスペックが適切であるかがわかると障害になりそうな原因をあらかじめ防ぐことができ、万が一障害が発生した際にもどこで問題が発生したのかが一目でわかるため、原因の特定と適切な対応を行うことができます。

また、アクセス集中による輻輳なども把握することができます。混雑する時間帯がわかっていれば、作業を行う時間を分散させて通信の集中を防ぐことが可能ですし、トラフィック量がわかれば回線の増強や見直しを検討することができます。このように、見えないものを見える化することで様々なケースに対応できることがイメージいただけると思います。

ネットワーク可視化を実現するために

可視化ツールには様々なものがあります。SNMP監視、NetFlow、パケットキャプチャなど、それぞれメリット/デメリットがありますが、自社のネットワークに必要な製品を選択していただきたいと思います。

例えば、Flowmonが利用するNetFlowは通信のヘッダ情報を使用することで、送信元・宛先のIPアドレス、ポートなど詳細な解析が可能です。 NetFlowには様々なメリットがありますが、一番の特徴はデータ量が軽いということです。つまり広範囲のトラフィックを取得しても、長期保存することができるということです。

データ量が軽い=大した情報が取れないと思われがちですが、そんなことはありません。HTTPホスト名や通信の遅延やレスポンスタイムを可視化することもできるので、ネットワークの遅延の原因がネットワーク側にあるのか、サーバー側にあるのかといった切り分けをすることも可能です。

終わりに

ネットワーク可視化は、複雑化する現代のITインフラを効率的に管理するために欠かせません。自社のニーズに合った可視化ツールを選び、定期的にネットワークの状態を確認することで、問題を未然に防ぎ、快適なネットワーク環境を維持することができます。 次のステップとして、自社のネットワーク構成を確認し、どのような可視化が必要か検討してみましょう。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

Flowmon ADS 新バージョン ver.12.03.01情報

Flowmon ADS新バージョンver.12.03.01情報

PDF版のダウンロードはこちらから行えます。

ADS ver.12.03.01アップデートによる変更点(一部抜粋)は、下記の通りです。


三菱地所株式会社様

三菱地所株式会社様

三菱地所株式会社様では、住み・働き・憩う方々に満足いただける地球環境にも配慮した魅力あふれるまちづくりを通じて、真に価値ある社会の実現に貢献されています。ユーザーに新しい価値・体験をもたらすためにDX推進に努める一方で、三菱地所グループの従業員のリモートワーク導入などが進む中で、次世代の事業や働き方に欠かせないITインフラ構築にあたりこれまで社内トラフィックの可視化が十分にできていなかったため、Flowmonを導入することでIT基盤やセキュリティ体制の強化を試みました。
三菱地所株式会社 DX推進部・マネージャの小林氏に、Flowmonを導入するまでの経緯と、その効果についてお話を伺いました。

背景・課題

SNMPでは不十分
Flowmonならばニーズに合わせた詳細解析

三菱地所株式会社様は、まちづくりを通じて働きやすい、生活のしやすい場所の提供を目指しており、変化し続ける社会に柔軟に対応し、来街者・生活者に寄り添った「共感できるまちづくり」を進めています。特に、DXを用いた「新規事業・サービスの推進・強化」及び「変革を支えるIT基盤の構築・強化」の両輪で、デジタルを起点とする様々な新事業創出、グループ全体のデータドリブン経営に向けた各事業の支援などに注力されています。

今回その中で、ITインフラ基盤という観点で、これまで通信トラフィックの可視化が十分にできている状態ではなかったため、Flowmonを導入することでSaaS利用拡大等により日々増加する通信の需要予測やウイルス感染時の通信の状況などを把握可能にすることを目的としました。現在はネットワークインフラ環境のゼロトラスト化を進めることでインフラ高度化およびセキュリティ強化を図っています。
「弊社(三菱地所株式会社)環境では以前からSNMPによる監視システムが導入されており、通信の絶対量のみ把握が出来ていました。しかし通信の内容まで分からなかったため、ユーザーより通信が遅い等申告があった際や、通信量の閾値のアラームが上がった際にどの通信がネットワーク回線やネットワーク機器を逼迫しているのを解析することが難しい状況でした。また、ウイルス等に感染したPC端末から社内外のどの宛先に通信が発生したのかを把握することができず、FWのログなどから解析する必要があり、有事の際に解析に時間がかかっていました。これらの課題を解決するためにまずは通信の可視化が必須であると判断し、Flowmonの導入を検討しました。」

選定のポイント

URL単位の可視化ができることが導入の決め手
他社での利用実績やUIの仕上がりの良さも決め手のポイント

2022年6月から検討をはじめ、2022年10月から導入しました。同時に監視システムのリプレースや運用の整備も行っていたため、導入が完了したのは2023年6月でした。選定時に重視したポイントとして、大きくは3つあると小林氏は話します。
「1つ目は、ネットワーク管理者に使い勝手がよいユーザインタフェース(UI)であること。2つ目は、他社でも導入実績があること。そして3つ目は最も重視したポイントで、URL単位で通信量を把握できることでした。
弊社では、プロキシサーバーを使用しており、IPアドレスレベルでの通信量の把握をするとなると、プロキシサーバーに集約されてしまうため実態を把握することができませんでした。しかし、プローブを導入することでURL単位の通信量を可視化できるようになったことが、導入の一番の決め手となりました。また複数の他社製品とプローブを機能比較しましたが、特にベンダーのデモや提案資料等を確認する中でグラフをネットワーク管理者に理解しやすいよう複数形態で出力できることや、通信利用量のトップ10などを出力して使用状況を把握できることも魅力的でした。」

「運用保守も併せてベンダー選定を実施していましたが、3社中2社がFlowmonを提案しており、ベンダーからも信頼の厚いFlowmonに決めました。そして、その中でも高度な技術と確かな知見を持つ三菱地所ITソリューションズ株式会社(MJIT社)と、安心安全のICTソリューションと高品質のサービスを提供する三菱電機インフォメーションネットワーク株式会社(MIND社)を選択しました。」

導入効果と今後の展望

通信の可視化により、さらに社内インフラで何が起きているのかを迅速に察知できる環境の構築へ

従来、三菱地所グループでは通信を可視化する手段がありませんでしたが、Flowmonを導入することで今後の需要予測や、万が一ウイルスに感染してもトレースすることが可能になりました。
「弊社は東京と全国のもう1拠点にインターネットの出口を持っており、今回は東京にプローブを導入しましたが、今後もう1拠点にも導入を検討しており、URL単位での通信量の把握ができることを期待しています。また従来のSNMPでは数時間、数日とかかっていた解析作業が数十分に短縮されることにも期待したいですね。通信の証跡という観点でも長期保存のニーズは多いと思います。
開発元への要望としては、コレクタやプローブというようにコンポーネントが多いため、それらをシンプルに一台で設置し、ロケーションが違う場所で通信内容を把握できるようにすると導入の敷居が更に下がると思います。また、通信傾向を把握することで長期的な増強計画に活かしたいとも考えており、外部ストレージへのエクスポートやそれらの解析を高速にできるようになると尚良いと思います。」

NetFlowを利用したネットワーク
トラフィック監視製品「Flowmon」に
関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

IDS Probeの活用

IDS Probeの活用

2025年1月6日


Flowmonはセキュリティー監視となるアドオンコンポーネントADSにより、高度な振る舞い検知機構を提供しています。そのほか、無償のオプションとして、オープンソースのIDSソフトウエア Suricata を稼働させ、それにより検知されるイベントをFlowmonのイベント処理機構に組み入れることも可能となっています。このコラム記事では、Flowmon社ブログ Augmenting behavior-based network detection with signature-based methods を参照し、このIDS Probe(プローブ)機構をご紹介します。

Suricataの取り込みによる多角的な検知の実現

Flowmonはネットフロー形式に変換されたネットワークデータをもとに、さまざまな解析を行いITインフラの可視化を行います。またアドオンコンポーネントの一つとなるADS (Anormaly Detection System)を付加することで、セキュリティー視点からの多様なイベントの検知が可能となります。Flowmon ADSではメソッドという検知パターンが用意されており、IPのブラックリストの他、特定のネットワーク上の振る舞いを検知し、サイバー攻撃などと疑われるリスクのある動きをイベントとして通知します。

一方、さまざまな製品により同様の検知機構は提供されていますが、一般的には、個々の製品の検知ロジックの実装は異なるため、その異なるロジックによるイベント検知度合いには差があるものと見られています。そのためより検知度合いを高めるためには、複数の製品を利用することが考えられますが、そのための管理コストなどから現実的には困難が伴います。 このような背景から、Flowmonでは侵入検知で定評のあるオープンソースのSuricataをFlowmon上で稼働する仕組みを整え、そこからのイベントをFlowmonのイベント表示等に取り入れる機構を整備いたしました。これにより追加費用なくより網羅性の高いイベント検知を実現することが可能となります。

統合された検知機構の利点

IDSツールのSuricataをFlowmonに統合することで、両方の検出手法の効果を最大限に引き出しました。Suricataが生成するアラートをFlowmonの機能で処理し、関連付けし、視覚化するために、Flowmonでは関連機能の拡張を継続的に行なってまいりました。この統合化されたアプローチにより、以下のような利用者のメリットをご確認いただけます。

防御の強化
Flowmonによる振る舞い検知とシグネチャベースのSuricataによるイベント検出を組み合わせることで、より強力な防御が構築されます。これにより、脅威を広範囲にカバーし、既知の脅威と新たな脅威の両方を捕捉して、セキュリティーを強化します。
ツールの効率性
他ベンダー製品の利用などによる複数ツールの運用管理の必要性が減り、簡素化され、ライセンスのみならず全体のコストが最適化されます。
より深い洞察
異なるテクノロジーのセキュリティー製品の統合で、包括的な脅威の観点が提供され、既知の脅威に関する情報と異常なアクティビティーの情報がより詳細に提供されます。
信頼性の高いアラート
アラートを相互検証することで検出精度が向上し、誤検知が減少し、応答の信頼性が高まります。これにより対応の優先順位付けなど、後続のプロセスの最適化に有効です。
コンプライアンスの担保
複数の製品による診断結果を統合することで、業界の規制に適合し、包括的なセキュリティー対策を実施することが可能となります。

Flowmonは、その製品機能の複数のレベルでSuricataを組み込みました。ダッシュボードやレポートには、FlowmonおよびSuricata両方のシステムからの重要な情報が含まれ、セキュリティー意識を高め、最も重要なイベントに迅速に優先順位を付けて対応を計画することができます。

Suricataのイベントは、通常の分析ワークフローとドリルダウンに統合され、インシデント調査のプロセスも均一化します。Flowmon ADSは、両方のシステムからのイベントを関連付けて、ノイズを減らし、アラートの相互検証をサポートし、CVEの説明などの関連脆弱性情報などをご提供します。

Suricata構成概要

Suricataの導入および有効化は、以下のステップにより実施可能となっています。実際の導入構成の際には、こちらのオリジナル文書 How to enable signature-based detection in Flowmon Probe and Flowmon ADS もご参照ください。

1. IDS Probeパッケージの導入
サポートポータルのガイド(Flowmon IDS Probe ) に従い、Suricata IDS を Flowmon プラットフォームにインストールします。
※ スタンドアロン プローブで ADS を実行している場合は、以下の2つの手順(2と3)をスキップできます。
2. Syslog転送設定
IDS Probe(プローブ)を使用して、すべてのプローブで Syslogイベントロギングを設定します。 これにより、IDSイベントが Flowmon ADS を使用してターゲット コレクターに Syslog 経由でエクスポートされるようになります。 これは、[Configuration Center] > [システム] > [システム設定] > [Syslogイベントロギング] で設定できます。 ここでは、Syslogイベントロギングを有効にし、新しいサーバーを追加する必要があります。 次に、ADSでコレクターのIPアドレスを入力し、ポートとプロトコルを指定し、保存します。
3. Syslogサーバー構成
コレクター側では、Syslog サーバーを構成する必要があります。 [Configuration Center] > [システム] > [システム設定] > [Syslogサーバ] に移動します。 外部Syslogを有効にし、新しいSyslogクライアントを追加します。 FlowmonプローブのIPアドレスを入力し、同じポートとプロトコルを使用して保存します。
4. ADSの有効化設定
プローブはSyslog経由でIDSイベントを送信し、コレクターはそれを受信していますが、それを処理、保存、視覚化する設定を行う必要があります。ADSの[設定]に移動し、[システム設定] > [IDSコレクター] で [有効化]ボタンをクリックします。 これが完了すると、[分析]ページで IDSイベントを確認できるようになります。

その他、Suricata IDS の実行に際しては Suricata IDS Configuration and Tuning をご参照ください。 ガイドより、誤検知の調整、検出ルールの管理、ネットワーク変数の設定、独自のカテゴリの作成など、Suricataを有効に利用する上での詳細をご確認いただけます。

終わりに

NDRツールで、振る舞い検知などの動作ベースの検出方法と、シグネチャベースの検出方法を組み合わせることが、サイバーセキュリティーを強化するための重要な取り組みの一つとなります。この組み合わせにより、さまざまな脅威に対する強力な防御機構が整い、重要な洞察が得られ、アラートの精度が向上することとなります。

IDSツールのSuricataは、Flowmon ADSにより無料のモジュールとして利用できます。導入のための新たな設定は不要で、簡単なインストール手順により、利用を開始することができます。 なお、Suricataはオープンソースのため、Flowmonの保守サポート対応範囲外となります。予めご了承ください。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)

ハイブリッドネットワークの監視と保護

ハイブリッドネットワークの監視と保護

2024年12月2日


クラウドの一般化した昨今のIT環境では、オンプレミス環境と統合されたハイブリッドIT基盤に対する、効率的なモニタリングやセキュリティー監視が重要なテーマとなっています。この記事はFlowmon社ブログ Multi-Cloud – Rise of Hybrid Networks and the Need to Monitor & Secure Them をベースとし、その課題とFlowmonによる対応について書かれています。

ハイブリッド環境の監視の課題

現行の多くの企業で利用されているIT基盤は、自社内のITシステムとAWS,Azure, Googleなどの大手クラウドサービスを複合的に利用する形態が一般的です。またそれらクラウドサービスでも、アプリケーションによっては異なるクラウドサービス基盤で利用されている場合や、災害対策やコストの最適化などの観点で複数のクラウドサービスに分散されることもあります。今後もこの複合的なIT基盤は広く普及してゆくものと予想されています。

この分散IT環境は、様々な視点から最適化のメリットがありますが、同時にIT基盤の監視やセキュリティーという面では課題があります。ダイナミックにITリソースを再配置したり、物理的な把握が難しいクラウド環境に対して、固定的なオンプレミスのIT基盤管理手法を適用することは困難です。 統合的な監視ができていないそれらの複合環境では、環境ごとに異なるツールで個々の状況を把握し、そこで取得されたそれぞれのデータを手動で統合しなければなりません。手動で統合されたデータにより、最終的に自社のIT基盤の状態を把握するというステップは、IT部門にとってはかなりの負担となります。

これら大手のクラウドサービスでは、それぞれ独自の監視機能を提供しています。ただしその設定の複雑さやキャプチャーされた膨大な監視トラフィックデータの保存など、別の側面で課題があります。独自ツールはそのクラウドサービス特有のトラフィック監視には強力ですが、他のクラウドサービスを含めた横断的なトラフィック監視が必要とされる場合、その特有さが問題となってしまいます。

ハイブリッド環境の監視の簡素化

主なクラウドサービスでは、個々に持つ独自のトラフィック監視の仕組みの他、外部の監視ツールが活用できるデータ(フローログ)を提供する仕組みが実装されています。フローログはNetFlowデータと同等の情報を含んでおり、Flowmonのような外部システムが、オンプレミス環境のみならず、様々なクラウド環境も包含した分析処理を実現します。これにより個々のクラウド環境に依存しない外部システムが、オンプレミス環境のみならず、様々なクラウド環境も包含した分析処理が実現されます。

これらのクラウド基盤から提供されるフローログにより、Flowmonのプラットフォームを横断した解析・レポート機能に組み込み、統合的な可視化が可能となります。各クラウドが個別に提供する監視オプションを使用するよりも、低コストでハイブリッドなマルチクラウド監視を行うことができます。また必要に応じFlowmonプローブも構成に加えることで、アプリケーションレベルの可視化まで、その監視範囲を広げることも可能です。

構成概要

下図は、Flowmonのハイブリッド展開の全体的なイメージを示しています。 ここではクラウドプラットフォームからのネイティブフローログと組み合わせ、ハイブリッドネットワーク内の異なる場所にあるプローブからメタデータを収集する、中央アグリゲーターとしてFlowmonコレクターが構成されています。

また、以下の場合には、展開に際してFlowmonプローブを含める必要があります。

  • 高度なネットワーク分析とネットワークパフォーマンスメトリックのための信頼性の高い正確なデータが必要な場合。
  • ネットワークトラフィックの詳細な可視性が必要で、アプリケーション層の可視性(L7プロトコル)も含まれる場合。
  • Flowmon Application Performance Monitoring(APM)やFlowmon Packet Investigator(FPI)などの高度な機能が必要な場合。

Flowmonブログ記事 How to Optimize Cloud Monitoring Costs Using Flow Logs in Progress Flowmon では、このトピックを詳しく解説し、Google CloudでのFlowmonプローブとフローログの利用に基づいてコストを比較しています。フローログを利用することで、最大で89%のコスト削減が可能です。

終わりに

複数のクラウドプロバイダーを使うことが多くの企業にとって新しい標準になっています。IT部門がすべてのパブリックプロバイダーやオンプレミスインフラをしっかり把握できるように、統合された使いやすい監視ソリューションが重要です。Flowmonのネットワーク監視ソリューションは、各プラットフォームのネイティブ監視ツールよりも格段に低コストでこの課題を解決します。

Flowmonのバージョン12は、AWS、Azure、Google Cloudが提供する全ての既存のネットワークテレメトリーソース(VPCフローログ)と、ルーターやスイッチ、パケットブローカーなどの標準的なオンプレミスフローソースを活用できる業界初のソリューションです。Flowmonは、既存のネットワークテレメトリーソースを利用するか、専用の軽量Flowmonプローブを使うことで、クラウドとオンプレミス環境に対して優れた可視性を提供します。これは、単一の画面でハイブリッド環境に一貫したレベルのネットワーク可視性を提供いたします。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)