クラウド移行で増える“見えない通信”をどう解消するか
— フローデータ活用によるハイブリッドネットワークの新しい可視化手法 —
2025年12月2日
1.はじめに
AWS、Microsoft Azure、Google Cloud Platform(GCP)をはじめ、主要なクラウドサービスが登場して20年以上が経ちました。現在では多くの企業がオンプレミスとクラウドを組み合わせたハイブリッド構成を採用し、一部では基幹システムを含めて全面的にクラウドへ移行する動きも進んでいます。最近では、日本取引所グループ(JPX)が適時開示情報閲覧サービス(TDnet)の基盤を2027年度にAWSへ移行すると発表するなど、クラウド活用はさらに広がりを見せています。
一方で、クラウド移行を進めた結果、かえって運用管理が複雑化し、課題が顕在化した企業も少なくありません。中にはオンプレミスへの回帰を検討するケースも見られるようになりました。
本記事では、クラウド利用が当たり前となった今の時代においてなぜ通信が“見えない”状況になるのか、そしてその課題をどのように解決できるのかについて解説します。
2.マルチクラウド構成が生む複雑性とリスク
クラウドが普及した大きな理由として、
- サーバーを自社で用意せずに利用できる
- 使った分だけ支払う従量課金で無駄なコストを削減できる
- 導入・運用に必要な作業が大幅に軽減できる
といったメリットがあります。
しかし複数のクラウドサービスを組み合わせるマルチクラウド構成が進むにつれ、通信経路は一気に複雑化しました。ユーザーのアクセスはSaaS、IaaS、オンプレをまたいで発生し、どの区間で遅延が起きているのかを特定しにくくなっています。
オンプレ環境ではネットワーク機器に直接アクセスして状況を確認できますが、クラウドでは通信経路の詳細がサービス側の仕組みに依存するため、管理者が把握できる範囲が限られます。
その結果、
- 「どこで遅延しているのかわからない」
- 「SaaSが遅いのか、ネットワークが遅いのか判断できない」
といったトラブルが発生しやすくなりました。
さらに複雑化はセキュリティリスクの増加にもつながります。
- クラウド同士の通信異常に気付きにくい
- 外部との通信が複雑になり、不審な接続が見逃される
- C2通信※の早期発見が困難
※ Command and Control通信。攻撃者がマルウェアを操作するために使う通信のこと。
環境ごとに監視が分断されることにより、可視性のギャップが広がってしまうのです。
3.フローデータがクラウド可視化に適している理由
オンプレとクラウドが混在する環境では、通信がどこで、どれだけ、どのように行われているのかを一元的に把握するのが難しくなります。この課題に対して、近年あらためて注目されているのがフローベースの監視です。
フローデータとは、通信の中身(ペイロード)ではなく、
- 送信元/宛先IPアドレス
- ポート番号
- 通信量(バイト数/パケット数)
- 通信の回数・頻度
- HTTPホスト名など一部のL7情報※
※標準的なNetFlow/IPFIXでは取得できませんが、Flowmon Probeで生成したフローにより取得可能
といった共通の属性を持つ通信のまとまり(メタデータ)を記録した情報です。
クラウドサービスが標準で提供するFlow Logsとも親和性が高く、オンプレとクラウドを同じ形式で扱えることが大きな利点です。
暗号化通信が増えても可視化できる理由
HTTPS/TLS通信を標準で採用しているクラウドサービスの普及によって、ネットワーク全体で暗号化通信が急増しています。暗号化通信では、送受信されるデータのペイロードが暗号化されるため、通信の内容を確認することが難しくなりつつあります。
しかし、フロー監視はそもそも「通信内容を見るのではなく、通信のまとまりを観察する」 ことを目的としています。主に暗号化通信で暗号化されるのはペイロードのみであり、フロー情報のもととなるパケットヘッダー(送信元・宛先IPアドレス、ポート番号など)は平文のまま残されているため、暗号化の有無に影響されず監視が可能です。
つまり、通信の中身が見えなくても「どこで」「どれくらい」「どのような通信が行われているか」を把握できるのがフローデータの強みと言えます。さらに、通信内容に触れないという特性上、「プライバシー侵害リスクが低い」「復号鍵の管理が不要」「コンプライアンス面の懸念が少ない」「実装・運用コストが抑えられる」といったメリットもあり、監視対象が増えるクラウド環境では特に有利です。
分散環境でも広く収集できる
クラウドでは通信が複数の経路に散らばりますがフローデータは軽量であるため、複数環境から収集してもネットワーク負荷やコストが膨らみにくい点も利点です。 このように、「軽量で広範囲の収集が可能」かつ「暗号化通信でも可視化できる」という特性から、クラウド可視化においてフローデータは非常に相性が良い技術と言えます。
4.Flowmonによるハイブリッドネットワークの一元可視化アプローチ
Flowmonはこのフローデータを中心にネットワーク全体を可視化するソリューションです。オンプレの機器から取得したデータだけでなく、Flow Logsも取り込み、オンプレとクラウド双方を一つの画面で把握できます。
①遅延原因を素早く特定
フロー情報を分析することで、
- 回線の混雑
- クラウド区間の輻輳
- サーバー側の遅延
などを切り分けることができ、問題箇所の特定に時間が掛かりません。
②帯域のひっ迫や利用傾向の可視化
フロー量の推移を見ることで、
- 拠点の帯域不足
- 一時的なバックアップや更新による負荷
- SaaSの利用状況
といった傾向も把握できます。
フロー分析は「通信量が多い」リソースだけでなく、「通信量が少ない」または「全く通信していない」リソースの特定にも有効です。
クラウド環境では手軽にインスタンスを構築できる反面、開発・検証用に立ち上げたサーバを作成したまま放置されているケースも少なくありません。
こうした放置されたインスタンスは、通信がほとんど発生していないにもかかわらず、起動している限り料金が発生します。
Flowmonで長期間通信が発生していないインスタンスを特定することで、不要なリソースを洗い出し、無駄なコストを削減することができます。
③不審な外部通信の検知(Flowmon ADS)
Flowmonのセキュリティソリューション ADS(異常検知)を組み合わせると、
- 海外への不自然な通信
- 頻繁に接続を繰り返す端末
- マルウェア感染の疑いがある動き
といった、通常のログでは見つけにくい兆候も検出できます。
このように、Flowmon一台でハイブリッド・マルチクラウド構成でも「誰が」「どこへ」「どのくらい」「どのような傾向で」通信したかの統合的監視から、クラウド利用の課題であったセキュリティ強化に至るまで、網羅的な対策が可能となります。
5.まとめ:クラウド時代の通信可視化はフローベースへ
クラウド化が進み、通信経路が複雑に分散する現在、従来の監視方法だけではネットワークの全体像を把握することが難しくなりました。暗号化通信の増加、ゼロトラストの普及、ネットワークセキュリティ境界の曖昧化は今後さらに進むため、通信のメタデータを俯瞰して捉えるというアプローチが必須になります。 その中で、フローデータはクラウド可視化の中心的な役割を果たし始めています。 Flowmonはこのフローデータを高度に扱える監視基盤として、ハイブリッドネットワークの実態把握とセキュリティ強化を両立するツールです。クラウド移行が当たり前になる今こそ、フローベースの可視化により「見えない通信」を減らし、ネットワークの健全性を維持する仕組みが求められています。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
NetFlowの歴史と技術的進化
NetFlowの歴史と技術的進化
2025年11月6日
1.はじめに
前回コラムでは、ネットワーク監視の三つの視点として、NetFlow・PCAP・SNMPを紹介しました。今回のコラムではその中でも弊社が扱うFlowmonが採用するNetFlowについて、さらに掘り下げていきたいと思います。フロー情報の仕組みやバージョンごとの進化、NetFlowとsFlowの違いまでを順を追って解説していきます。
2.ネットワークフローとNetFlowの概要
本章では、ネットワークフローの概念を整理し、通信の全体像を理解してNetFlowとは何か、どのように扱われるのかを解説していきます。
ネットワーク上に流れる通信を分析するツールとして「ネットワークフロー」という考え方があります。フローとは、送信元/宛先のIPアドレスやポート番号、プロトコルなどの共通した属性を持つパケットのまとまりを指します。
例えば、「ユーザがWebサイトを閲覧する通信」や「サーバにファイルをアップロードする通信」など、一連のやり取りを1つの単位(フロー)として扱うことで、誰がどこへ、どれくらい通信をしているかを把握することができます。
このフローという考え方を実際の仕組みとして実装したのがNetFlowです。
NetFlowはCisco社が開発した技術で、特徴的な仕組みとしては、まずルータやスイッチなどのネットワーク機器を通過するパケットを監視し、同じフローに属するパケットをまとめて1つのフロー情報として生成します。各フローには、送信元・宛先IP、ポート番号、プロトコル、パケット数やバイト数、開始・終了時刻、TCPフラグなどの情報が含まれます。NetFlowで収集されたフロー情報は、可視化ツールや分析ソフトウェアを活用し、単なるトラフィック量の把握だけでなく、どの通信がどれくらいの帯域を使用しているか、異常な通信が発生していないかなどを詳細に分析できます。
3.NetFlowの進化と各形式の特徴
本章では、NetFlowがどのように進化してきたか、各形式の特徴を整理します。 初期のNetFlowであるNetFlow v5では収集できる情報がIPv4アドレス、ポート番号、プロトコル、パケットやバイト数などに限定された、固定形式のデータフォーマットを使用していたため拡張性が低く、主にCisco装置間での利用に限られていました。 その後登場したNetFlow v9では、テンプレート方式のデータフォーマットが導入され、収集するフィールドを柔軟に指定できるようになりました。これによって、IPv6やMPLS、VPNラベル、アプリケーション識別など、より詳細な情報の取得が可能となりました。さらに、データフォーマットの柔軟性により、必要な情報のみを効率的に出力できるようになったことで、従来の固定形式よりも複雑なネットワーク環境や分析ニーズに対応できるようになりました。 そして、NetFlow v9をベースに、IETF標準として策定されたのが IPFIX(IP Flow Information Export) です。IPFIXではベンダー間での互換性が高まり、異なる装置間でも同一のデータ形式でフロー情報をやり取りできることが大きな特徴です。IPFIXはNetFlow v9と同じテンプレート方式を採用していますが、NetFlow v9そのものではなく、NetFlow v9をもとに標準化された別仕様の規格として位置づけられています。 このように、NetFlowは収集情報の範囲やデータフォーマットの柔軟性、標準化・互換性の面で進化してきました。
4.sFlowとNetFlowの違い
前章では、NetFlowやIPFIXを取り上げ、それぞれの特徴について解説しました。
これらと同じく、ネットワークフローを収集する技術としてsFlowがあります。ネットワーク上を流れる通信を観測するという点はNetFlowと同じ考え方になりますが、sFlowはサンプリング方式を採用している点に違いがあります。すべての通信を詳細に記録するNetFlowとは異なり、ネットワーク上を流れる膨大な通信の中から、例えば1,000パケットに1つ(1/1,000)といった割合でパケットを抽出し、そのヘッダ情報を通信全体の疑似的な統計として利用します。これにより、大規模ネットワークでも機器負荷やデータ量を抑えつつ、全体のトラフィック傾向を把握できます。
その一方で、すべての通信を収集するわけではないため、通信分析の面では情報の粒度が低下してしまいます。
そのため、詳細分析やトラブルシューティングなど通信単位の分析を行いたい場合にはNetFlowが適しており、大規模ネットワーク環境での全体傾向の把握やキャパシティプランニングはsFlowが有効です。
5.まとめ
本コラムでは、NetFlowの基本概念から、バージョン・規格ごとの特徴までを解説しました。
弊社が扱うFlowmonでは、NetFlow v5やv9、IPFIX、sFlowなど主要なフロー規格に幅広く対応しており、フローデータを用いて通信の可視化・分析をすることができます。これにより、ネットワーク運用の最適化やトラブルシューティング、帯域利用状況の把握など、さまざまな場面で意思決定を支援することが可能です。
今後は、クラウドサービスの導入や拠点間接続の多様化により、ネットワーク環境はますます複雑化していくことが予想されます。こうした中で、フローデータを活用した可視化・分析は単なるトラフィック把握にとどまらず、問題の早期発見、運用計画の立案、資源配分の最適化など、ネットワーク管理全般における重要な判断材料となるでしょう。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
NetFlow、PCAP、SNMPによるネットワーク監視の三つの視点
NetFlow、PCAP、SNMPによるネットワーク監視の三つの視点
2025年10月7日
1.はじめに
ネットワーク監視の方法、トラフィック測定の方法として、様々な手法がありますが、中でも代表的なものとしてPCAP(パケットキャプチャ)やSNMP、NetFlowが挙げられます。 それぞれ異なる特徴や得意領域があり、どの方式を選択するかによって得られる情報や運用負荷は大きく異なります。 本コラムでは、PCAP、SNMP、NetFlowの3つの手法を比較しながら、それぞれの役割を整理するとともに、どのように活用するとより効果的にネットワーク全体の可視化・監視を行えるかについて考えていきます。
2.それぞれの仕組みと特徴
PCAP
PCAPはネットワーク上を流れるパケットをTAP/SPANポートでコピーし収集することで、ヘッダからアプリケーション層のデータ(ペイロード)までを記録し、トラフィックの詳細な解析を行う手法です。 利点は明確で、パケットヘッダ情報やペイロード(暗号化されていない場合)等の通信内容を完全に再現することができるため、不正アクセスの調査や通信不具合の詳細な切り分けに強みを持ちます。一方で実データを取得するためデータ量は膨大になり、長期保存には不向きです。例えば平均1Gbpsの通信を1日分取得すると、データ量は10.8TBと非常に大きくなります。したがってスポット的な深堀調査には有効ですが、常時運用の基盤には向いていません。
SNMP
SNMPは、ネットワーク機器の状態や統計情報を取得するためのプロトコルで、多くのルータやスイッチ、サーバなどが標準で対応しています。
仕組みとしては、管理対象機器(SNMPエージェント)の基本情報やインターフェースの状態、機器リソースなどが定義されたMIB(Management Information Base)という管理情報のデータベースを使用します。SNMPマネージャーがこれをポーリングしたり、機器側からトラップとして通知を受け取ったりすることで情報を収集します。
したがって、SNMPで取得できる情報の強みは、インターフェースの帯域使用率やエラーカウンタ、CPU・メモリ使用率などの機器内部の管理統計となります。
SNMPはほぼすべての機器で利用可能なだけでなく、データ量が非常に小さいことも特徴の一つです。例えば、1台の機器で10個のMIB項目を1分間隔で取得する場合、1日あたり1.44MB程度しかありません。これらの特徴から、SNMPはトラフィック量の監視やCPU/メモリ使用率などのリソース管理に広く使われています。しかしネットワーク可視化の観点では「どれだけ流れているか」は分かりますが、「誰が・いつ・どのような」といった通信の内訳を分析することはできません。
NetFlow
NetFlowはCiscoが開発した、フロー(送信元/宛先IP、ポート、プロトコルで構成される通信のまとまり)を単位としてトラフィックのサマリを収集する技術です。ルータやスイッチなどのネットワーク機器、またはFlowmon Probeのようなフロー生成機からCollectorへ送信し、蓄積・分析に利用できます。 NetFlowで取得できる情報は、送信元/宛先IPアドレス、ポート、プロトコル、通信量、セッション時間などのメタデータです。これにより「誰が・いつ・どのような通信をしたか」といったネットワーク利用状況を把握できます。 また、NetFlowはパケットのヘッダ情報だけをサマリしてペイロードは破棄するため、データ量はパケット全体を保存するPCAPと比べて約1/500と圧倒的に少なく、長期間・広範囲の通信状況を可視化することができます。 例えば、平均1Gbpsのトラフィックを取得した場合、パケットそのものは1日で10.8TBになりますが、NetFlowでは約21.6GBまで抑えられます。このようにデータ量を大幅に削減できるため、より長期間にわたって記録・分析を行うことが可能です。つまり、NetFlowはトラフィック傾向分析や異常検知といった常時運用に適した手法と言えます。
3.利用シーンと活用方法
PCAP
PCAPはネットワーク上のパケットをヘッダからアプリケーション層まで取得できるため、一般的にはトラブルシュート時に多く活用されます。 具体的な例として、Webサーバとの接続エラーがどの段階(TCP 3ウェイハンドシェイクやTLS証明書交換など)で起きているのかを、パケットごとに順を追ってペイロードの中身まで踏まえながら特定可能です。別の例では、特定経路で通信できなくなった場合、経路上の各ノードでPCAPを取得することで、パケットがドロップしているポイントを特定することができます。このように、PCAPはピンポイントなトラブルシュートとして非常に有効なツールです。
SNMP
SNMPはネットワーク機器の状態や統計情報を収集するため、日常的な運用監視やリソース管理に適しています。SNMPでは主にポーリングとトラップという2つの方法で情報を取得できます。
ポーリングでは、ルータやスイッチのトラフィック量やCPU使用率、メモリ使用率、インターフェースの帯域利用状況などを定期的に確認できます。
例えば、ある拠点のルータでCPU使用率が高くなっている場合、ポーリングで早期に検知し負荷分散などの判断に繋げることができます。
一方、トラップでは、機器が異常やダウンを検知した際に自動で通知が送信されるため、迅速な対応が可能です。
例えば、リンクダウンやインターフェース障害が発生した場合、即座にアラートを受け取ることで障害箇所の特定や迅速な復旧作業が行えます。
このように、SNMPを活用することで、日常的な運用監視や死活監視、障害対応の効率化、ネットワークの安定稼働に役立てることができます。
NetFlow
NetFlowはフローベースで通信状況を収集します。これによりネットワーク全体のトラフィック傾向把握や長期間の利用状況分析に強みがあります。そのため、帯域使用率の増加やネットワーク遅延の原因特定、現状の帯域幅が適切かどうかを確認したいという要件に適しています。 例えば、社内ネットワークの各拠点からどのサービスにどれだけアクセスされているかの把握や新しいサービス導入・回線増強の判断材料に活用することができます。さらに、Flowmon製品の一つであるFlowmonProbeを併用することで、HTTPヘッダやTLS SNI情報からアプリケーション識別もでき、部門ごとのクラウドサービス利用状況の可視化に活用できます。事例として、業務時間中に「インターネットが遅い」という事象が発生したとします。NetFlowのデータを確認すると、帯域使用率が急増している時間帯に、YouTubeやOneDrive通信が大半を占めており、動画閲覧と大容量ファイルのアップロードが原因と特定することが可能です。さらに送信元IPから特定ユーザーのPCを突き止めることもできます。このように、NetFlowを用いることで「誰が・いつ・どのアプリケーションで」帯域を圧迫していたかを把握し、迅速な原因究明と対策に繋げることができます。
4.終わりに
本コラムでは、様々なネットワークの可視化・監視手法がある中で、PCAP、SNMP、NetFlowの3種類を挙げました。それぞれ異なる特徴や得意領域があるため、一つのツールに頼らずに、用途に合わせて適切なツールを選択することが重要です。
弊社が扱うFlowmonでは、NetFlow/IPFIXベースでのフローデータ収集・分析に特化して設計されており、長期的なトラフィック傾向把握やアプリケーション利用状況の可視化といった要件に対応できます。さらに、Flowmon ADSというプラグインを追加することでネットワーク異常やセキュリティ上のリスクを早期に検知できる点も大きな強みとなっています。日常的なネットワーク可視化では、NetFlow/IPFIXを軸にPCAPとSNMPを必要に応じて組み合わせることが、より効率的な運用に繋がるのではないでしょうか。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
IBCDAY2025出展のお知らせ
IBCDAY2025出展のお知らせ
2025年10月10日(金)に開催される「IBCDAY2025」に出展いたします。
イベント詳細や参加お申込みはこちらよりご確認ください。
会場へお越しの際は、ぜひFlowmonブースへお立ち寄りください。皆様のご来場をお待ちしております。
◆イベント概要
- 日 程:2025年10月10日(金)
- 入場料:無料
- 主 催:アイビーシー株式会社
-
会 場:鉃鋼エグゼクティブラウンジ&カンファレンスルーム
〒100-0005 東京都千代田区丸の内1丁目8−2 鉃鋼ビルディング 南館, 4階 - 特設ページ:https://system-answer.com/event-ibcday2025/
脅威の一部始終を見逃さない!Flowmon ADSによる脅威検知シナリオ
脅威の一部始終を見逃さない!
Flowmon ADSによる脅威検知シナリオ
2025年9月1日
1.はじめに
近年、情報セキュリティの重要度はますます高まっております。前月公開のコラムではNetFlowを活用した振る舞い検知型NDRソリューション「Flowmon ADS」について、最新のセキュリティ情勢にマッチしたNDRの強みをご紹介いたしました。Flowmon ADSでは、今年7月に最新バージョン12.05が国内リリースされ、よりご利用いただきやすくなるアップデートのほか、新興のサイバー攻撃に対応する「脅威ブリーフィング」機能が新たに追加されました。そこで今月のコラムでは、前回に引き続きADSのご紹介として、最新アップデートに触れつつ、ADSで対応できる脅威について、具体的な攻撃シナリオに沿って詳しく解説いたします。
また当社オリゾンシステムズでは、現在期間限定でFlowmon ADSの大幅なディスカウントキャンペーンを実施しております。加えて、ADSの魅力を知っていただくための特別セミナーも開催しており、実機によるイベント検知の実演や運用に役立つノウハウのご紹介、ディスカウントキャンペーンの詳細など盛りだくさんの内容となっていますので、ご興味のある方はこちらもぜひご参加ください。
▼前回の記事はこちらからご覧ください。
▼次回以降のセミナーへのお申し込みはこちらからお願いいたします。
2. Flowmon ADSによる脅威の検知
Flowmon ADSでは、通信の送受信者やプロトコル、データ量等を基にネットワーク全体を可視化します。さらに、機械学習による傾向の予測や兆候レベルでの異常検知が可能です。検知には、不審な通信に特有の振る舞いを定義したメソッドと呼ばれるものが使用され、マルウェアやDoS攻撃、ポリシー違反など様々な脅威に対応した44種類(2025年8月時点)のメソッドが定義されています。それでは、具体的な攻撃の流れとともに、検知に使用されるメソッドのいくつかをご紹介していきます。
外部からの攻撃
現代のサイバー犯罪は侵入から目的遂行までが段階的に行われ、それぞれのフェーズで多種多様な攻撃手法が利用される計画的かつ複雑なものとなっています。標的型攻撃を用いたシナリオを例として、各フェーズにおける攻撃とADSによる検知を見てみましょう。
標的型攻撃とは特定企業や個人を標的としたサイバー攻撃を指し、ばらまき型のフィッシングメールなどと異なり、ターゲットに合わせて巧妙に偽装された電子メールなどを使用するため侵入の予防・検出が困難になります。侵入後は潜伏しながら内部で展開することで攻撃のための基盤構築フェーズと、情報の持ち出しなどを行う目的遂行フェーズに分けられます。
まず初期侵入段階は、標的型メール(スピアフィッシング)や悪意あるWebサイトへの誘導から開始します。ユーザが不審な添付ファイルを開封したり、偽装URLにアクセスしたりしてしまうことで、端末がマルウェアに感染します。感染したユーザ端末は、多くの場合攻撃者が設置したC&C(Command and Control)サーバへ通信を行います。C&Cサーバは攻撃者の司令塔として機能し、マルウェアの制御や感染端末へ攻撃ツールのインストール等を行います。この時、ADSでは国外のサーバやブラックリストに載っているIP、ランダムなドメインとの通信を検知し、C&C通信を発見します。
続いて、潜伏と侵入の拡大が行われる基盤構築段階では、目的の情報への到達を目指して最初の感染端末を起点に内部展開(ラテラルムーブメント)を行います。具体的にはポートスキャンや辞書攻撃を使ったネットワークの脆弱性探索が行われますが、ADSではこれらの通信を検出することが可能です。それ以外にも、機械学習ベースのANOMALYメソッドなどでは、端末の過去の通信傾向を基にした予測値と実際の通信とを比較して異常を検知します。これにより、不審なサーバからのファイルダウンロードや、過去全く通信がなかった相手との急な接続といった目立たない兆候もとらえることができます。
最終フェーズの目的遂行段階では、情報窃取や業務妨害等を目的とした攻撃が実行されます。ネットワーク内で大量のデータのやり取りや外部サーバへのデータの送信といった急激な通信パターンの変化、BitTorrentのような不正なP2P通信などの検知は情報漏洩や不正アクセスの可能性が高く、迅速な対処が求められます。
標的型攻撃の中でも特に高度なものはAPT(Advanced Persistent Threat: 高度かつ継続的な脅威)と呼ばれ、大企業や国家機関を対象に数カ月から数年間にわたって潜伏した状態で攻撃が継続されることもあります。また、標的型攻撃による情報窃取とランサムウェアを組み合わせて身代金を要求するケースや、DDoS攻撃を同時に仕掛けることで標的型攻撃をカモフラージュするようなケースもあり、いずれの場合も不審な兆候を見逃さず、初期侵入段階や潜伏期間といった早期の検出が非常に重要です。
内部脅威
ネットワーク内部に潜む脅威は、主に以下の3つに分類されます。
- 不注意な内部者(メールの誤送信やフィッシングの被害等)
- 悪意のある内部者(意図的な情報漏洩やデータ破壊)
- 危殆化した内部者(流出した内部情報を使用したなりすまし等)
本来信頼できる領域とみなされてきた”ネットワーク内部”は、従来型セキュリティの死角になりがちでした。さらに近年では、サプライチェーンを構成する関連企業や委託先も“内部者”と捉える必要性が高まり、内部脅威への対策は極めて重要な課題となっています。
内部脅威では、「不審なアクセスパターン」や「大容量のデータ転送」などの兆候がしばしば見られます。ADSは、機械学習を用いて予期されない接続先との通信や社内システムへの不要なアクセスの検出、大容量ファイルの転送やアップロードの検出が可能です。さらに、未確認端末の接続、TORやTELNETなどの社内ポリシーに違反するプロトコルの使用や、ユーザ情報の窃取に使用されることの多いDNS/DHCPスプーフィングなども検知できるため、情報窃取の前兆段階から対策をとることもできます。内部脅威対策には、こうしたプロアクティブな検知に加えて、”内部者”のセキュリティ意識向上も不可欠です。ADSは、通信の証跡記録やユーザアクティビティの追跡によってネットワーク内の監視カメラとして機能するため、過失や悪意ある情報漏洩の抑止にも効果的といえます。
3. 新機能「脅威ブリーフィング」
今年7月より利用可能となった最新バージョン12.05では、日々新たに登場する脅威に対して、継続的なアップデートにより最前線の防衛を実現する新機能「脅威ブリーフィング」が実装されました。この機能では、AIを活用した巧妙なフィッシングや、新型のマルウェア、未修正の脆弱性を狙った攻撃など、世界的に注目度の高い様々なゼロデイ脅威を検知します。検知には「THREATS」メソッドというこちらも新たに追加された新メソッドが使用され、AIによる振る舞い定義と情報セキュリティの専門家によるレビューを経て、各脅威の検知に最適なメソッドが随時リリースされます。
4. おわりに
Flowmon ADSは、多数のメソッドを使用してネットワークに潜む様々な脅威を検知できます。NetFlowによる通信可視化と機械学習を活用した振る舞い検知によって、非常に多岐にわたる脅威に対応できることがお分かりいただけたのではないでしょうか。冒頭でもご紹介したADS特化セミナーでは、模擬攻撃を行って実際にADSで検知される様子をお見せするデモパートもございます。実際の使用感をイメージしていただきやすい内容になっておりますので、本コラムでADSの振る舞い検知にご興味を持っていただけた方にはぜひご参加いただきたく思います。これからのセキュリティに必要不可欠な脅威の早期発見と事後対応の迅速化をサポートするFlowmon ADSを、セキュリティ強化の第一歩としてぜひご検討ください。
◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
NDR導入の第一歩!Flowmon ADSが解決するセキュリティの課題
NDR導入の第一歩!
Flowmon ADSが解決するセキュリティの課題
2025年8月4日
1.はじめに
今日の情報社会の発展の陰で、情報資産を脅かすサイバー犯罪は高度かつ巧妙な手口へ進化しており、多層的な保護と迅速な対応を実現するセキュリティが必要とされています。Progress社のブログ「Analysts Share Their 2025 Cybersecurity Predictions(https://www.progress.com/blogs/analysts-share-their-2025-cybersecurity-predictions)」では、ランサムウェアの脅威に加え、SNSや生成AIの悪用、サプライチェーン攻撃など、新たな攻撃リスクの増加が指摘されています。特に、SNSやサプライチェーンといった、これまで見過ごされがちだった領域からの攻撃により、侵入に気づきにくい「ステルス性」の高さが大きな特徴といえます。さらに、発覚後の対応体制の不備が被害を拡大させるケースも多く、”早期発見”と”迅速な対応”の重要性が増しています。加えて、クラウドやリモートワークの普及によりネットワーク境界が曖昧となった昨今では、内部からの情報漏えいリスクも無視できない課題となっています。
これら脅威の変化に対して、従来の境界型やシグネチャベースの防御では対応が不十分となりつつあり、ゼロトラストやSIEM(Security Information and Event Management)などを活用した多層防御といった”新しい情報セキュリティ”への移行が世界的なトレンドになっています。このような背景で現在注目されているのが、「Flowmon ADS(Anomaly Detection System)」をはじめとした、ネットワークの“振る舞い”に基づいて攻撃を検知するNDR(Network Detection and Response)型の製品です。海外ではFlowmonユーザの約4割のお客様にADSをご導入いただいており、ネットワークの可視化と脅威検知の組み合わせが有効な対策として受け入れられていますが、一方で日本国内での導入率はやや低く、まだ普及の途上にあります。これには、セキュリティ対策を導入する段階における技術的・運用的なハードルや優先度、製品等の具体的な情報の不足が背景にあるのではと考えられます。
そこで、本コラムではFlowmon ADSの強みと、現代の脅威に対してどのように有効かを詳しく解説いたします。ADSの導入を検討いただいているお客様だけでなく、「既存の従来型セキュリティに不安を感じており、始めやすいきっかけを探している」「NDRの導入でどのような効果を得られるか知りたい」といった課題をお持ちのお客様に、ぜひご一読いただきたい内容となっています。
2.Flowmon ADSとは
Flowmon ADSはNetFlowを使用してネットワーク内のトラフィックを監視し、通信の”振る舞い”から異常を検知します。その最大の強みは以下の3点にあります。
振る舞いベース検知
振る舞いベース検知はシグネチャのような明示的な特徴ではなく、既知脅威に類似した通信傾向からリスクを”推定”して検知を行います。このような推論的・経験則的な手法はシグネチャベースより精度は劣るものの、課題とされていた未知のマルウェアやゼロデイ攻撃にも対応できることが強みです。ADSでは監視対象のネットワークごとに機械学習でベースライン(正常な振る舞い)を構築し、人間の目では気づきにくいような異常も高精度で検知しながら、チューニングによって不要な誤検知は最小限に抑えます。
ネットワークレイヤの監視
ファイアウォールやIDS/IPSといった境界セキュリティ、アンチウイルス等のEPPやEDRといったエンドポイントセキュリティは現在ほとんどの企業様で実装されていますが、その間に位置するネットワークレイヤは手薄になりがちです。ADSではネットワーク内を流れる通信を監視するため、境界とエンドポイントとの間のギャップを補完した多層防御を実現できます。境界/エンドポイントをすり抜けてしまった攻撃にも気づくことができるほか、社内サーバのなりすましやデータの持ち出しといった内部脅威にも対応が可能になります。
リアルタイムのネットワーク可視化
ADSでは40を超えるメソッド(脅威に特徴的な通信の振る舞いパターンを定義したもの)を使用してネットワーク内のあらゆる通信を見分け、異常なイベントをリアルタイムでアラートします。さらに異常が検知されたホストの動きを時系列で追跡したり、感染の様子から侵入経路を特定したりといった分析を行うことが可能です。また、インシデント証跡として該当通信のNetFlowデータの記録や、ファイアウォール・ネットワークコントローラ等の外部機器との連携で該当経路の即時隔離など、即座に防御アクションに移ることが可能となります。
上記以外にも、ADSには異常検知から原因分析、事後対応までを一貫して支援する豊富な機能が搭載されている点も魅力です。直感的なGUIを使った容易な分析、MITRE ATT&CKフレームワークと照らし合わせた脅威の分類や、分かりやすい文章でのイベント概要により、オペレーションの負荷が大幅に軽減されます。先日国内リリースされた最新バージョンのv12.05では、イベント詳細に原因特定や被害拡大を防ぐ是正措置につながる推奨事項も追加され、インシデント対応における意思決定をよりスムーズに行うことが可能になりました。
💡MITRE ATT&CKフレームワークとは
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)フレームワークは、アメリカの非営利研究開発機関であるMITRE社が開発・公開しているナレッジベースで、サイバー攻撃における脅威行動を体系的に整理・分類しています。
このフレームワークは、攻撃者の「Tactics(戦術)」と、それを達成するために使われる「Techniques(テクニック)/Sub-techniques(サブテクニック)」という要素で構成されており、攻撃のライフサイクルを可視化することが可能です。
現在、以下14の戦術と、それらをさらに細分化した数百ものテクニックやサブテクニックが定義されています。これにより、防御側が脅威の全体像を把握しやすくなり、検知、対応、復旧の各フェーズにおいて実践的な対策を講じるための指針として活用されています。
MITRE ATT&CK Tactics
| Phase | Tactics (戦術) | 説明 |
|---|---|---|
| 01 |
偵察
Reconnaissance
|
攻撃を計画するための情報を収集。 |
| 02 |
リソース開発
Resource Development
|
攻撃に使用するインフラを構築。 偽ウェブサイトの作成等。 |
| 03 |
初期アクセス
Initial Access
|
標的への侵入を試みる最初の攻撃手法。 フィッシングメール等。 |
| 04 |
実行
Execution
|
攻撃活動を実行。 悪意あるコードの注入・実行等。 |
| 05 |
永続化
Persistence
|
様々なテクニックを使い、侵入したネットワーク上への永続性を維持。 |
| 06 |
権限昇格
Privilege Escalation
|
高度な攻撃を実行するため、より高い権限やアクセス許可を取得。 |
| 07 |
防御回避
Defence Evasion
|
攻撃者がネットワーク内で発見されることを回避するための動き。 |
| 08 |
資格情報アクセス
Credential Access
|
まだ完全に侵入していないシステムへのログイン情報を盗聴・窃取。キー情報の入力等。 |
| 09 |
調査
Discovery
|
ネットワーク上で感染・制御の対象となる他のシステムを見つける。 |
| 10 |
水平展開
Lateral Movement
|
一度感染したシステムから別のシステムへ移動。複数のシステム間で有効な認証情報を使って広がるのが一般的。 |
| 11 |
収集
Collection
|
販売や次なる攻撃計画の利用、脅迫に有用なデータを収集。 |
| 12 |
指令・制御
Command and Control
|
ネット上の攻撃者のシステムと感染したシステムとの通信。通常のパケットに偽装した通信を使用するのが一般的。 |
| 13 |
情報流出
Exfiltration
|
ダークウェブで販売、または身代金要求や後続攻撃に利用のため、収集したデータを攻撃者のサーバーに転送。 |
| 14 |
影響
Impact
|
ITシステムの運用を妨害。 ランサムウェアによる暗号化が最も一般的だが、他の手法も用いられる。 |
3. 現代のセキュリティトレンドとFlowmon ADS
現代情報セキュリティにおけるキーワードである「ゼロトラスト」及び「SIEM」は、これからのセキュリティの基本戦略といえますが、Flowmon ADSをはじめとするNDRはこれらの実現にどのように寄与するのでしょうか。
ゼロトラストセキュリティ
従来の「境界型セキュリティ」では、ファイアウォールやIDS/IPSによってネットワークの“内部”と“外部”を明確に分離し、外部からの脅威を遮断することを基本方針としていました。このモデルには「境界の内側は信頼できる」という前提があり、一度侵入を許すと被害の拡大を防ぐのが困難という弱点があります。現代では、攻撃の高度化・巧妙化によりそのすべてを境界で防ぐのは現実的ではなくなっています。内部脅威に対する問題意識の高まりも相まって、根本からの再構築が求められています。こうした中で登場した「ゼロトラストセキュリティ」は、「すべてを信頼しない」ことを前提にした考え方で、「多角的監視」や「ユーザ認証」、「アクセス制御」がキーコンポーネントとされています。クラウドやリモートワークの普及により情報資産・ユーザが社内外に分散するようになったことで、近年特に注目を集めているゼロトラストですが、具体的に何をすべきか悩む企業様も多いのではないでしょうか。NDRソリューションは発信元に関わらずすべてのネットワーク活動を監視・検知・分析することで、内部外部を問わない包括的な可視性を提供します。これにより、境界を前提としないセキュリティの新たな視点を得ることができ、ゼロトラストセキュリティの実効性を高めることが可能です。
SIEM(セキュリティ情報及びイベント監視)
現代のセキュリティ対策では、単一のソリューションに依存するのではなく、複数の視点と技術を組み合わせた多層的なアプローチが不可欠です。SIEMとは、ファイアウォール、EDR、NDRなど多様なセキュリティツールから収集したログやアラートを一元的に管理し、相関分析を通じて異常を検知・可視化するプラットフォームです。SIEMとの連携において、NDRはデータのやり取りやユーザアクティビティといったネットワーク全体の可視性を提供し、異常検知・脅威対応を格段に強化、より迅速かつ的確なインシデント対応を可能とします。
現代のサイバー攻撃に対してはネットワークへの侵入を100%防ぐことは不可能であり、侵入してしまった脅威をいかに早期発見・対処できるかが重要となります。そのためには様々な視点からの多角的防御が不可欠であり、NDRの導入は非常に有効な手段といえるでしょう。
4. おわりに
サイバー犯罪は日々、より高度かつ巧妙な手法へと進化しており、それに応じて情報資産の防御も常にアップデートが求められています。本コラムでは、ネットワーク全体の可視化を通じて新たなセキュリティの視点を提供するNDR製品「Flowmon ADS」についてご紹介しました。Flowmonはネットワーク構成を大きく変更することなく導入できるアウトバンド型の構成であり、監視対象の機器に障害が生じた場合でも、ネットワークそのものには影響を与えないため、導入のしやすさも魅力の一つです。振る舞いベースの高度な異常検知と迅速なインシデント対応を支援する様々な機能を備えておりますので、社内のセキュリティ強化に向けた実践的かつ効果的な選択肢として、ぜひFlowmon ADSの導入をご検討いただければ幸いです。
◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
Flowmonレポート調査サービス
-
夕方の特定の時間帯になると、Web会議が重い。 - 月末、基幹システムへのアクセスが集中して業務が滞る。
- ユーザーから「ネットワークが遅い」という漠然とした問い合わせが頻発する。
- 原因がわからず、場当たり的な対応しかできていない。
- 経営層からはコスト最適化を求められるが、改善の根拠を示せない。
アプリケーション別解析による傾向分析や
ボトルネックの特定により生産性の向上
トラブルシューティング
バーストトラフィックや過剰な帯域占有など
業務通信レスポンス悪化の原因を特定
現状把握に基づき、不要な回線増強などの
過剰投資を防ぎITコストを最適化
サービス概要
Flowmonトラフィック可視化サービスは、短期間・低コストでネットワークの状態を可視化する、
ネットワーク可視化のスポット対応サービスソリューションです。
| 対象 | 本社/支店/クラウド接続拠点など |
|---|---|
| レポート納品までの期間 | お申込みから約2ヶ月 |
| 提供形態 | 物理機器貸出(仮設置) |
| 成果物 | PDFレポート 5~20項目(要相談) |
| 費用 | お問い合わせください |
レポートイメージ
Flowmonのネットワークトラフィック解析機能により、設置環境で収集されるネットワークをベースにその特性をレポートいたします。また管理コンソールからの様々な解析機能もご利用いただくことで、問題事象の原因調査やそのエビデンスを確保することも可能です。出力されるデータはグラフィカルでわかりやすく、GUIは全て日本語に対応しており、経営層や管理部門に対しても確かなデータに基づいた改善提案が可能となります。
◆主な解析項目
- ・ バーストトラフィックの発生原因
- ・ 時間帯別のトラフィック量と変動傾向
- ・ アプリケーション/サービス別の通信傾向
- ・ 通信遅延値・再送回数等の分析
- ・ 特定拠点・フロア内の通信可視化
設置イメージ
対象とするネットワークに、一定期間(2~3週間程度)Flowmonを設置し、収集されたトラフィック情報を元にレポートをご提供させていただきます。
また設置期間中、Flowmonのトラフィック解析機能をお客様にもお試しいただけます。
導入の流れ
お申し込みからレポート納品まで約2ヶ月程度となっており、スピーディーに問題解決の糸口を見つけることができます。手軽でありながら、精度の高いトラフィック可視化サービスをご提供します。
よくあるご質問(FAQ)
ネットワークの課題を、確かな可視化で解決!
まずはお気軽にご相談ください。
お問い合わせはこちら 資料をダウンロードFlowmon ADS 新バージョン ver.12.05情報
ADS 新バージョン ver.12.05情報
PDF版のダウンロードはこちらから行えます。ver.12.05アップデートによる変更点(一部抜粋)は、下記の通りです。
【Flowmon × AWS】VPCフローログ連携で実現するクラウド通信可視化
【Flowmon × AWS】VPCフローログ連携で実現するクラウド通信可視化
2025年7月1日
はじめに
クラウド化が進む昨今、お客様の中でも社内サーバのクラウド移行を検討している、または既に移行しているというようなケースをよく耳にします。クラウド移行を検討しているお客様では、オンプレミスで設置している移行前のサーバに対して現状どれだけの通信が発生しているのかをまず可視化し、それをもとに移行後のキャパシティプランニングやローカルブレイクアウトの計画に役立てたいというようなご用件から、トラフィック可視化ツールFlowmonにご注目いただくことが多いです。既に移行を済ませているようなお客様でも、クラウドサーバとの通信可視化の必要性はオンプレ環境と変わりません。これらのようなケースでは、可視化対象はオンプレ端末-オンプレサーバ間及びオンプレ端末-クラウドサーバ間の通信となり、いずれもオンプレ側が基点となります。では、例えばクラウド上のVM同士の通信を見たい場合はどのような方法が取れるでしょうか。FlowmonではAWS(Amazon web Service)、Azure、GCP(Google Cloud Platform)の3種類のクラウドサービスと連携し、クラウドの内部通信を可視化することができます。本コラムではAWSにフォーカスし、連携方法や可視化検証をご紹介いたします。
VPC Flowログとは
AWSの内部通信は、VPC(Virtual Private Cloud)のFlowログという機能を使用することで可視化が可能です。このFlowログはCloudWatch Logs Insightsを使ってマネジメントコンソールから確認する方法や、S3バケット経由でAmazon Athena・AWS Glueなどの解析ツールと連携する方法が一般的ですが、FlowmonのFlowログ連携機能を使うことでFlowmon Collectorでも表示することができます。この機能ではFlowログをIPFIX(NetFlow)形式で収集します。収集したログは通常のネットワーク機器で生成したFlowと同様に生データ保持・解析ができるため、オンプレとクラウドでツールを分けることなく、Flowmonで一括して扱うことが可能になります。
FlowmonとVPC Flowログの連携
FlowmonとFlowログの連携は、以下のような流れで行われます。
①VPC内のリソース(EC2インスタンス等)で通信が発生すると、②ENI(Elastic Network Interface)単位でFlowログが生成され、③Amazon CloudWatchのロググループに格納されます。④格納されたログをFlowmon Collectorが1分または5分(プロファイル粒度に依存)間隔で取得し、IPFIX形式に変換して保持します。また、Flowmonで対応しているVPC Flowログレコードは、デフォルトフォーマット及びデフォルトのフィールドに「tcp-flags」を追加したカスタムフォーマットの2種類となります。VPC FlowログとIPFIX形式変換後とのフィールドのマッピングは以下の通りです。
なお、カスタムフォーマットを用いる場合は、表に記載の順序でレコードを作成する必要があります。 AWS連携の詳しい設定方法は弊社までお気軽にお問い合わせください。
AWS環境可視化検証
AWS上に下図のような環境を構築し、VPC Flowログを用いて実際にどのように可視化ができるのかを検証いたしました。
Flowmonは物理版のほかにAWS等の仮想環境にも対応したアプライアンスをご用意しており、AWS版ではAWS Marketplaceにてデプロイ可能なAMI(Amazon Machine Image)を公開しております。今回の構成ではAWS版Flowmon Collector(Collector_EC2)と検証用のダミーサーバ(Test_EC2)を1台ずつデプロイし、これらのインスタンス間で通信を発生させます。Flowログの連携にはデプロイしたCollector_EC2を使用しておりますが、連携に使用するCollectorはAWS環境に設置されている必要はなく、オンプレ環境の物理Collectorでも問題ありません。 環境構築後、Test_EC2からCollector_EC2に対してping、ssh、curl(HTTPS)を実行し、これらの通信をCollector_EC2で確認しました。表1に記載の情報が取得されるはずですので、「フローのリスト」解析を用いて以下の項目を出力しています。
- 開始時間 – 最終確認
- 期間
- 送信元IPアドレス
- 宛先IPアドレス
- 送信元ポート
- 宛先ポート
- プロトコル
- パケット
- バイト
- パケット/秒
- ビット/秒
- バイト/パケット
- フロー
- TCPフラグ
- 入力インターフェース
- FlowソースIPアドレス
実際に取得された情報は以下の通りです。
それぞれの項目がきちんと取得されており、pingの場合はプロトコルが「ICMP」、宛先ポートが「Echo reply」となっています。また、sshやcurlの場合はポートがそれぞれ「ssh」、「https」となっているほか、TCP通信のためカスタムフィールドのTCPフラグも取得されました。入力インターフェースにはENIのIDが記載されています。また、VPC Flowログのフィールドにはありませんが、FlowソースIPアドレスにはCloudWatchロググループの名前が出力されました(IPアドレス部分は127.128.0.xで、Flowソースとして認識された順に0から振られていきます)。このように、ロググループ単位でFlowソースとして認識されるため、ロググループを複数作成することで別々のFlowソースとして管理することが可能です。CollectorでVPCの通信を取得できることが確認できましたが、AWS CloudWatchで直接Flowログを確認できるLogs Insights機能ではどのように見えるのでしょうか。
図4は、図3と同じpingの通信ログをCloudWatch Logs Insightsから確認した画面です。こちらでは、Flowmonでは非対応の「accountId」や、セキュリティグループ・ネットワークACLでの処理結果を示す「action」(ACCEPT/REJECT)なども確認できます。また、Flowログから通信量の多いIPアドレスや使用されているポートの統計であったり、通信量の推移をグラフで出力したりといった解析を行うこともできますが、クエリコマンドを入力する必要があり初心者では手を出しづらい印象があります。
一方、Flowmonでは、統計解析やトラフィックグラフ描画がGUIで簡単に行えます。
VPC Flowログで取得したデータと通常のネットワーク機器から収集したFlowデータとは同等に扱われ、解析機能などに差はありません。また、このことから、VPCから生成したFlowログとオンプレ環境で生成したFlowをCollector 1台で同時に扱うことができ、環境によって複数のツールを使い分ける手間を省くことができます。加えて、オンプレ環境とAWS環境両方に監視ポイントを設けることで可視化できる範囲が拡張でき、双方のトラフィックデータを組み合わせることでより詳細な解析も可能になるといえます。
5. おわりに
本コラムでは、Flowmonを用いてAWS環境の可視化を実現する、VPC Flowログ連携についてご紹介しました。今回はAWSに焦点を絞ってご紹介しましたが、ほかにもAzureやGCPといったクラウドサービスにも対応しております。オンプレ環境だけでなくクラウド環境まで可視化範囲を広げることで、Flowmonを最大限活用いただければと思います。
◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
Flowmonセキュリティーイベント監視サービス
Flowmonのセキュリティープラグイン・ADSをご利用いただいているお客様へ、Flowmonの検知したセキュリティーイベントの監視サービスをご提供いたします。
- 国内でも400社以上のお客様にご利用いただいているFlowmonは、プラグインでご提供しているセキュリティープラグイン・ADSを利用することで、様々なセキュリティーイベントを検知することが可能です。
- AXENTA社は、Flowmonの検知するセキュリティーイベントのモニタリングサービスで10年以上の実績を持つ、Flowmon製品の開発地であるチェコ共和国ブルノ市に本社を置くセキュリティー企業です。
- 弊社のFlowmon専任エンジニアにより、AXENTA社が解析したセキュリティーイベントについてお客様にご報告させていただきます。また、その対応についてAXENTA社の持つFlowmonセキュリティーイベント監視のKnow-howをベースに、ご支援させていただきます。
セキュリティーイベント管理の課題
イベント対処
プライオリティー付け
フォールスポジティブ対処
イベント監視サービス
このサービスでは、オリゾンシステムズとAXENTA社との連携により、FlowmonのADS機能をご利用しているお客様へ、以下のようなご支援をご提供いたします。
タイムリーな対応
Flowmonの生成するセキュリティーイベントについて、数労働日の範囲で解析結果をご報告いたします。
定例レポート
月次でそれぞれのセキュリティーイベントの解析結果をまとめた、統合レポートをお送りいたします。
最適化支援
月次でそれぞれのセキュリティーイベントの解析結果をまとめた、統合レポートをお送りいたします。
AXENTA社について
AXENTA社 は、チェコのブルノ市に本拠を置くITセキュリティー企業です。同社は、ネットワークセキュリティー、サイバー攻撃の防止、データ保護、およびリスク管理に特化したソリューションを提供しています。AXENTA社は、企業や組織のデジタル資産を守るための包括的なサービスを展開し、お客様のニーズに応じたカスタマイズ可能なセキュリティソリューションを提供しています。また、最新の技術と専門知識を活用して、セキュリティーインシデントの迅速な対応と、サイバー攻撃の予防に努めています。AXENTA社は、高い品質と信頼性を誇るサービスを提供することで、地域および国際的な市場での競争力を強化しています。
※ こちらのオリゾン通信記事「サービス協業先、AXENTA社を訪ねて」では、弊社とAXENTA社の協業の取り組みについてご紹介しています。
