2026年3月31日

はじめに

2026年2月、神奈川県某大学病院にてランサムウェアの被害があったことが公表されました。院内サーバへの不正アクセスにより患者情報が流出した可能性があると報じられています。
今回の事件では、医療機器の保守用VPN装置が侵入経路として悪用されていたことが確認されています。VPNは本来安全なリモート接続を提供する仕組みです。しかし同時に、内部ネットワークへの入口である以上、最も狙われやすいポイントの一つとも言えます。実際に警視庁が公開しているデータでも、VPN やリモートデスクトップ機器からの侵入が全体の８割以上を占めていると報告されており^※1、潜在的なリスクの高さがうかがえます。
昨今のリモートワークの普及に伴い、VPN利用がこれまで以上に拡大している中でのこのような事案は、医療機関に限らず多くの組織にとってセキュリティの見直しを促す重要な警鐘となりました。ランサムウェアへの対策においては、「侵入されないこと」が第一ですが、それと並んで重要なのが「侵入された後いかに早く気づき、対処できるか」という視点です。本コラムでは、近年被害の多い「VPNを起点としたランサムウェア攻撃」に対し、Flowmon ADSでどのような対策ができるのか、その優位性について解説いたします。

*1 参考：令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について – 警察庁サイバー警察局

拡大するランサムウェア被害の現実と狙われるVPN

ランサムウェアとは、標的の企業や組織のデータを不正に暗号化するマルウェアの一種です。データを暗号化して利用不可にすることで業務停止に追い込み、その復号と引き換えに身代金（ランサム）を要求するという手口に利用されます。さらに近年においては、単にデータを暗号化するだけではありません。暗号化の前にデータを窃取し、支払いに応じなければ公開すると脅迫する“ダブルエクストーション”型が主流になっています。
一般的な攻撃の流れは次の通りです。

• 1. 初期侵入
• 2. 内部ネットワークの偵察
• 3. 権限昇格と横展開
• 4. 外部C2サーバとの通信確立
• 5. データ窃取
• 6. ランサムウェアの一斉実行

攻撃の最初の段階である初期侵入にはメールや偽のWEBページを使ったフィッシングや、社内サーバの脆弱性を狙うものなど様々ありますが、VPN装置も狙われやすい侵入口の一つです。VPNやリモートアクセス機器は、業種問わず幅広く利用されていますが、保守用VPNのように利用頻度が少ない場合や、外出先や自宅からの一時的な接続にしか利用されないような場合には、メインのIT系統に比べて管理が後回しになりがちです。ファームウェア更新の滞りや、既知の脆弱性の放置、不十分な認証設定など、些細な“穴”でも非常に大きな危険を招く可能性があります。
また、こうしたランサムウェア攻撃で特に注意すべきなのは、侵入から暗号化実行までに一定の潜伏期間があるケースが多いことです。ファイアウォールで外部からの侵入を阻んだり、アンチウイルスでマルウェアを検出したりといった従来型のセキュリティ対策は、既知の脅威や端末単位の検知には有効な半面、正規アカウントを使った不正ログインや、シグネチャに一致しない未知の脅威は見落としやすい傾向にあります。こうして一度侵入・感染を見逃してしまうと、境界型防御やエンドポイントセキュリティでは攻撃に気づくことすら困難になります。

Flowmon ADSで検知可能なランサムウェアの”振る舞い”

ここで有効となるのが、ネットワーク全体の通信挙動を可視化し、異常を検知するNDR（Network Detection & Response）の考え方です。Flowmon ADS（以降ADS）はフローデータ（NetFlow/IPFIX）を用いてネットワーク全体を監視、通信の振る舞いから脅威を検知します。
ここでは、VPN装置が侵入口になったケースを想定し、段階ごとに見てみましょう。

フェーズ1：不審なVPN接続の検知

VPNを利用して不正なアクセスが発生した際、ADSは次のような異常を可視化できます。

• 業務時間外のVPN接続
• 通常と異なる地域からの接続
• 1セッション内での大量の内部通信

機械学習によるベースライン分析により、「普段の利用状況との違い」を検出できます。これにより、侵入直後の段階で気付ける可能性が高まります。

フェーズ2：横展開の兆候検知

侵入後、攻撃者は内部ネットワークを探索します。短時間に多数のIPへ接続する動きや、通常は通信しないセグメント間のアクセス増加は、典型的な横展開の兆候です。ADSでは次のような通信として検知することができます。

• 解放されているポート/ホストのスキャニング
• 多様な接続先/サービスへの通信
• ネットワーク内部での不審な大容量通信

フロー情報からこうした不自然な通信パターンを捉え、ランサムウェアによる暗号化前の段階で検知できれば、被害拡大を防ぐことができます。

フェーズ3：C2通信やデータ流出の検出

ランサムウェア攻撃では、外部サーバとの通信やデータ送信が行われます。ADSは、

• 周期的な外向き通信
• 通常業務では見られない通信先
• DNSトンネリングの疑い

といった挙動を検知できます。データ窃取段階で対応できれば、ダブルエクストーションのリスクを大きく低減できます。

フェーズ4：インシデント対応の支援

ADSはフロー分析機Flowmon Collectorにインストールする形のソフトウェアであることも大きな利点となっており、万が一インシデントが発生してしまった後でも、Collectorが保持するフローデータが通信の証跡として役立ちます。

• 通信証跡の保全
• 侵入経路・感染範囲の特定
• 感染端末のデータアクセスの追跡

Flowmon 1台で異常の検知から原因・影響範囲の調査まで一元的に支援できるため、インシデント後の対応を迅速に進めることができます。

おわりに

ランサムウェア被害で耳にすることの多いVPNですが、今やどのような組織にとっても欠かせないものとなっています。便利なVPNを安全に使い続けるために、機器の更新や設定強化はもちろん重要ですが、それだけでリスクをゼロにすることは難しいのが現状です。だからこそ、

• 侵入後の挙動を継続的に監視すること
• 横展開の兆候を早期に検知すること
• データ流出を未然に防ぐこと
• 被害後も迅速に原因を特定すること

といった多層的な視点が求められます。
振る舞い検知型NDR「Flowmon ADS」は、こうしたランサムウェア感染後の迅速な対応の実現に最適です。フローデータを用いてネットワーク全体を監視し、小さな異変の発見はもちろん、感染端末の追跡や侵入経路の特定まで、ランサムウェア対策を支える基盤としてお使いいただけます。侵入を完全に防ぐことが困難になっている現代において、「ネットワーク内の振る舞いを監視する仕組み」を持つことが、組織を守るための大きな一歩になるのではないでしょうか。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

2026年2月13日

はじめに

新しくネットワーク監視ツールを導入する際に、
「Microsoft 365の通信状況を可視化したいが、何から手を付ければよいのか分からない」
「解析はできても、ダッシュボードやレポートを一から作成する時間がない」
「フィルタ構文の習得に時間がかかり、本格運用までたどり着けない」
といった課題に直面した経験はないでしょうか。 実際、新たなツールを導入した場合、初期設定に1週間以上を要するケースも珍しくありません。Flowmonにおいても、プロファイルの設計やフィルタ条件の定義、ダッシュボードの構築といった作業には一定の専門知識が求められ、IT部門において一定の工数が必要になります。
Flowmonのプリセット機能は、こうした初期設定のハードルを下げ、数クリックで実運用に耐えうる可視化・解析環境を構築できる仕組みです。 本コラムでは、実務で即活用できるプリセット機能の価値と、その具体的な活用方法についてご紹介します。

プリセット機能とは

プリセット機能とは、Flowmonの開発元であるProgress社から提供されている、特定のユースケース向けに事前定義された設定が利用可能になる機能です。各プリセットには、プロファイルやダッシュボード、レポート、アラートが定義され、適用後すぐに通信の可視化・解析を始めることができます。

提供されているプリセットの種類は28種類^※1あります。例えばMicrosoft 365やZoomといったクラウドアプリケーション、DNSやDHCPのような特定のプロトコルに関するものや、セキュリティに関するプリセットも提供されています。
※1 2026年2月現在

代表的なプリセット例：

• クラウドサービス系：Microsoft 365、Teams、Zoom、Social networks^※2
• プロトコル系：DNS、DHCP、SMTP、Samba
• セキュリティ系：MITRE ATT&CK^※3

※2 Facebook Instagramなどの各種SNS系
※3 Flowmon ADSのご利用が必要です

ただし、プリセットはFlowmon Probeを導入していない環境では一部機能に制限があります。 フィルタ条件にProbeでフロー生成をした際に表示可能な項目^※4を含むものは、Probe未導入の環境では十分な解析が行えません。また、Flowmonがインターネットにアクセス可能な環境が必要です。
※4　例：HTTPホスト名、DNS、DHCP、Sambaなど

プリセット作成手順

プリセットは、Dashboard and Report画面の上部にあるタブからプリセットのトップ画面を開きます。そして、①インストールするプリセットの選択→②ユーザ権限設定→③オプション設定→④作成するコンテンツ選択の4段階で、ウィザード形式で簡単に作成することができます。②に関しては、部署ごとに異なる監視ビューを提供することも可能になります。例えば、営業部門にはMicrosoft 365やWebexなど利用しているツールの監視画面を、インフラチームにはプロトコル系やセキュリティ系の監視画面を提供するといった使い分けができます。 実際に「Microsoft 365」のプリセットを使用して作成されたコンテンツは以下の通りとなります。

図3：プロファイル（拡大図）

図4：解析例（拡大図）

プリセット活用方法

Microsoft 365のプリセットは、以下のような場面で活用することができます。

• ダッシュボード/レポートで、Microsoft 365向けの通信傾向やネットワーク負荷を常時監視（図2）
• プロファイルでMicrosoft 365アプリケーションで帯域を占有しているユーザ端末を素早く特定（図4）

Microsoft 365以外にも様々なユースケースに沿った便利なプリセットが多数提供されています。例えばNPM Alertsでは、ラウンドトリップタイム（ネットワーク遅延）、サーバーレスポンスタイム（サーバー遅延）、リトランスミッション（TCPの再送回数）に関する3つのアラートが作成されます。それぞれの基準値からの急激な逸脱が発生した場合に通知が行われ、ネットワーク起因の遅延なのか、サーバー側の応答遅延なのかといった問題の切り分けを早期に行うことができ、障害対応時の初動を大幅に短縮することが可能になります。

おわりに

本コラムでは、Flowmonにおけるプリセット機能についてご紹介しました。プリセット機能を活用することで、プロファイルやダッシュボード、レポート、アラートといった設定を効率的に構成でき、ネットワークの可視化や解析をこれまで以上に簡単かつスピーディに実現することができます。特に、Flowmonの導入初期や新たな監視対象を追加する場面において、プリセットは運用設計の出発点として有効な機能と言えるでしょう。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

2025年12月22日

1.はじめに

総務省は2025年9月、SNSを通じた詐欺などの被害抑止のため、SNS事業者らに通信履歴を最低でも3～6カ月程度保存することを求める事業者向け指針の改正案を公表しました。この改正案は、従来の「原則として通信履歴は速やかに破棄する」という方針から大きな転換を意味するものであり、SNS事業者に限らず、通信ログの扱いに関心を持つ多くの企業にとっても無視できない動きと言えます。
本稿では、この指針改正の背景と内容を整理したうえで、企業が実務上どのような課題に直面するのか、そして通信内容を記録せずに通信履歴を管理する一つの手段として、NetFlow／IPFIX技術およびネットフロー解析ソリューション「Flowmon」を活用する方法について考察します。

2.改正案の背景と内容

近年、SNS上での誹謗中傷や詐欺被害が深刻化しています。特に2023年下半期以降、なりすまし型の偽広告を端緒としたSNS型投資詐欺などが急速に拡大し、社会問題として広く認識されるようになりました。

こうした被害に対して、被害者が発信者情報の開示を請求しても、事業者が通信履歴を既に削除しているため、加害者を特定できないケースが多発していました。この課題を受け、総務省の有識者会合が2025年7月にまとめた報告書案では、通信事業者に対して通信履歴を最低3～6カ月保存することを推奨する制度改正案が示されました。なお、本指針は法的義務ではなく、事業者に対する要請という位置づけであり、違反に対する直接的な罰則は設けられていません。しかし、世界的には通信ログの保存義務化が進んでおり、EUでは2018年に一般データ保護規則（GDPR）が施行され、英国では2023年にオンライン安全法が制定されるなど、各国で法整備が進んでいます。日本も今後、こうした国際的な流れに沿った法制化が進む可能性があります。よって、ガイドラインとして示された以上、多くの事業者が一定の対応を検討することが想定されます。
今回の指針で保存対象となる通信履歴には、以下のような情報が含まれます。

• IPアドレス
• 電話番号
• 通信日時
• アカウントに関する識別情報

いずれも通信内容そのものではなく、いわゆる「メタデータ」に該当する情報であり、メール本文やチャットメッセージの内容が保存対象となるものではありません。

3.NetFlowが最適な理由

この要請に対して、NetFlow/IPFIX技術が最適な解決策となり得ます。NetFlowの最大の特徴は、パケットのペイロード(実データ)部分を破棄し、通信に関するメタデータのみを記録することです。パケットをそのまま保存するフルパケットキャプチャ方式と比較すると、NetFlowのデータ量は1/500～1/1000程度となり、同じストレージ容量で遥かに長期間の通信ログを保存できます。そのため、3〜6カ月という保存期間の要請に対しても現実的なコストで対応しやすいという利点があります。また、通信内容（メール本文、チャットメッセージ、Webページの内容など）は記録されないため、利用者のプライバシーに配慮した形でログを保存できます。
NetFlowには、主に以下の情報が記録されます。

• 送信元/宛先IPアドレス
• ポート番号
• プロトコル
• 通信日時
• 通信量（バイト数/パケット数）

これらの情報から「どの端末が」「いつ」「どのような通信を行ったか」といった通信の状況を把握できます。この点において、NetFlowは今回の指針が想定する考え方と親和性の高い方式の一つであるといえるでしょう。

4.Flowmonで実現できること

ネットフロー解析ソリューション「Flowmon」は、NetFlow/IPFIXデータを活用し、通信履歴の保存と分析を支援する製品です。ここでは、通信履歴管理の観点から代表的な機能を紹介します。

過去への遡及調査

先述のようにFlowmonは、ネットワーク上のフロー情報を取得し、「誰が」「いつ」「何をしたか」を可視化できます。これにより、以下のような分析が可能になります。

• IPアドレスを基に端末毎の通信状況を可視化
• 使用したアプリケーションの特定
• 通常とは異なる通信パターンの検出

これらの情報は、単なるコンプライアンス対応だけでなく、セキュリティ対策やネットワーク運用の最適化にも活用できます。

レポーティングとコンプライアンス対応

Flowmonにはレポート機能が備わっており、任意の期間や条件で通信状況を整理したレポートを出力できます。特定のIPアドレスやアドレス範囲によるフィルタリング、トラフィック量による並び替えなどを行うことで、ネットワークの変化や異常を可視化できます。定常監視により長期的な視点でトラフィックの傾向を把握し、監査対応や社内会議のための文書作成を効率化できます。

セキュリティ強化への貢献

Flowmonは、単なる通信解析兼ログ保存ツールではありません。拡張プラグインである「Flowmon ADS（Anomaly Detection System）」を追加することで、フロー統計情報の定常的な評価に基づき、ネットワーク上の異常や不適切な振る舞いを検出できます。ポートスキャン、標的型攻撃、不正なアプリケーションの使用、情報漏洩の兆候など、様々なセキュリティインシデントを早期に発見し、対処することが可能になります。過去のログも長期間保存出来るため、インシデント発生後のフォレンジック調査に活用できます。

5.社会的意義と懸念事項

今回の指針改正には、被害者救済や犯罪抑止という明確な社会的意義があります。通信履歴が一定期間保持されることで、事後的な検証が可能となり、不正行為に対する抑止効果も期待されます。 一方で、懸念事項も存在します。最も重要なのは、通信履歴の保存拡大が監視社会化につながるのではないかという懸念です。現時点では3～6カ月という期間に限定されていますが、将来的に保存期間がさらに延長される可能性は否定できません。実際、警察庁は犯罪捜査のために保存期間を1年6カ月にする意見を出していましたが、今回は採用されなかった経緯があります。また、通信履歴というメタデータは、通信内容そのものではないものの、誰がいつ誰と通信したかという情報から、個人の行動パターンや人間関係を推測することが可能です。こうした情報の集積が、プライバシーに対する脅威となる可能性も指摘されています。

6.おわりに

通信の秘密という憲法上の権利と、被害者救済や社会的安全の確保。この二つのバランスをどう取るかが、今回の指針改正の本質と言えるでしょう。NetFlowは、この難しいバランスに対する最適解だと考えています。

Flowmonのようなネットフロー解析ソリューションは、プライバシーに配慮しながら通信履歴を確保し、さらにセキュリティ強化やネットワーク運用の最適化という付加価値も提供します。今回の指針は直接的にはSNS事業者を対象としていますが、通信ログをどのように保存し、どのように活用するかという課題は、今後あらゆる企業に共通するテーマとなっていくでしょう。自由と安全の両立を図りながら、持続可能なデジタル社会を実現するための取り組みが求められています。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

2025年12月2日

1.はじめに

AWS、Microsoft Azure、Google Cloud Platform（GCP）をはじめ、主要なクラウドサービスが登場して20年以上が経ちました。現在では多くの企業がオンプレミスとクラウドを組み合わせたハイブリッド構成を採用し、一部では基幹システムを含めて全面的にクラウドへ移行する動きも進んでいます。最近では、日本取引所グループ（JPX）が適時開示情報閲覧サービス（TDnet）の基盤を2027年度にAWSへ移行すると発表するなど、クラウド活用はさらに広がりを見せています。 一方で、クラウド移行を進めた結果、かえって運用管理が複雑化し、課題が顕在化した企業も少なくありません。中にはオンプレミスへの回帰を検討するケースも見られるようになりました。
本記事では、クラウド利用が当たり前となった今の時代においてなぜ通信が“見えない”状況になるのか、そしてその課題をどのように解決できるのかについて解説します。

2.マルチクラウド構成が生む複雑性とリスク

クラウドが普及した大きな理由として、

• サーバーを自社で用意せずに利用できる
• 使った分だけ支払う従量課金で無駄なコストを削減できる
• 導入・運用に必要な作業が大幅に軽減できる

といったメリットがあります。
しかし複数のクラウドサービスを組み合わせるマルチクラウド構成が進むにつれ、通信経路は一気に複雑化しました。ユーザーのアクセスはSaaS、IaaS、オンプレをまたいで発生し、どの区間で遅延が起きているのかを特定しにくくなっています。 オンプレ環境ではネットワーク機器に直接アクセスして状況を確認できますが、クラウドでは通信経路の詳細がサービス側の仕組みに依存するため、管理者が把握できる範囲が限られます。
その結果、

• 「どこで遅延しているのかわからない」
• 「SaaSが遅いのか、ネットワークが遅いのか判断できない」

といったトラブルが発生しやすくなりました。
さらに複雑化はセキュリティリスクの増加にもつながります。

• クラウド同士の通信異常に気付きにくい
• 外部との通信が複雑になり、不審な接続が見逃される
• C2通信^※の早期発見が困難

※ Command and Control通信。攻撃者がマルウェアを操作するために使う通信のこと。

環境ごとに監視が分断されることにより、可視性のギャップが広がってしまうのです。

3.フローデータがクラウド可視化に適している理由

オンプレとクラウドが混在する環境では、通信がどこで、どれだけ、どのように行われているのかを一元的に把握するのが難しくなります。この課題に対して、近年あらためて注目されているのがフローベースの監視です。
フローデータとは、通信の中身（ペイロード）ではなく、

• 送信元/宛先IPアドレス
• ポート番号
• 通信量（バイト数/パケット数）
• 通信の回数・頻度
• HTTPホスト名など一部のL7情報^※

※標準的なNetFlow/IPFIXでは取得できませんが、Flowmon Probeで生成したフローにより取得可能

といった共通の属性を持つ通信のまとまり（メタデータ）を記録した情報です。
クラウドサービスが標準で提供するFlow Logsとも親和性が高く、オンプレとクラウドを同じ形式で扱えることが大きな利点です。

暗号化通信が増えても可視化できる理由

HTTPS/TLS通信を標準で採用しているクラウドサービスの普及によって、ネットワーク全体で暗号化通信が急増しています。暗号化通信では、送受信されるデータのペイロードが暗号化されるため、通信の内容を確認することが難しくなりつつあります。 しかし、フロー監視はそもそも「通信内容を見るのではなく、通信のまとまりを観察する」 ことを目的としています。主に暗号化通信で暗号化されるのはペイロードのみであり、フロー情報のもととなるパケットヘッダー（送信元・宛先IPアドレス、ポート番号など）は平文のまま残されているため、暗号化の有無に影響されず監視が可能です。
つまり、通信の中身が見えなくても「どこで」「どれくらい」「どのような通信が行われているか」を把握できるのがフローデータの強みと言えます。さらに、通信内容に触れないという特性上、「プライバシー侵害リスクが低い」「復号鍵の管理が不要」「コンプライアンス面の懸念が少ない」「実装・運用コストが抑えられる」といったメリットもあり、監視対象が増えるクラウド環境では特に有利です。

分散環境でも広く収集できる

クラウドでは通信が複数の経路に散らばりますがフローデータは軽量であるため、複数環境から収集してもネットワーク負荷やコストが膨らみにくい点も利点です。 このように、「軽量で広範囲の収集が可能」かつ「暗号化通信でも可視化できる」という特性から、クラウド可視化においてフローデータは非常に相性が良い技術と言えます。

4.Flowmonによるハイブリッドネットワークの一元可視化アプローチ

Flowmonはこのフローデータを中心にネットワーク全体を可視化するソリューションです。オンプレの機器から取得したデータだけでなく、Flow Logsも取り込み、オンプレとクラウド双方を一つの画面で把握できます。

①遅延原因を素早く特定

フロー情報を分析することで、

• 回線の混雑
• クラウド区間の輻輳
• サーバー側の遅延

などを切り分けることができ、問題箇所の特定に時間が掛かりません。

②帯域のひっ迫や利用傾向の可視化

フロー量の推移を見ることで、

• 拠点の帯域不足
• 一時的なバックアップや更新による負荷
• SaaSの利用状況

といった傾向も把握できます。
フロー分析は「通信量が多い」リソースだけでなく、「通信量が少ない」または「全く通信していない」リソースの特定にも有効です。 クラウド環境では手軽にインスタンスを構築できる反面、開発・検証用に立ち上げたサーバを作成したまま放置されているケースも少なくありません。 こうした放置されたインスタンスは、通信がほとんど発生していないにもかかわらず、起動している限り料金が発生します。 Flowmonで長期間通信が発生していないインスタンスを特定することで、不要なリソースを洗い出し、無駄なコストを削減することができます。

③不審な外部通信の検知（Flowmon ADS）

Flowmonのセキュリティソリューション ADS（異常検知）を組み合わせると、

• 海外への不自然な通信
• 頻繁に接続を繰り返す端末
• マルウェア感染の疑いがある動き

といった、通常のログでは見つけにくい兆候も検出できます。 このように、Flowmon一台でハイブリッド・マルチクラウド構成でも「誰が」「どこへ」「どのくらい」「どのような傾向で」通信したかの統合的監視から、クラウド利用の課題であったセキュリティ強化に至るまで、網羅的な対策が可能となります。

5.まとめ：クラウド時代の通信可視化はフローベースへ

クラウド化が進み、通信経路が複雑に分散する現在、従来の監視方法だけではネットワークの全体像を把握することが難しくなりました。暗号化通信の増加、ゼロトラストの普及、ネットワークセキュリティ境界の曖昧化は今後さらに進むため、通信のメタデータを俯瞰して捉えるというアプローチが必須になります。 その中で、フローデータはクラウド可視化の中心的な役割を果たし始めています。 Flowmonはこのフローデータを高度に扱える監視基盤として、ハイブリッドネットワークの実態把握とセキュリティ強化を両立するツールです。クラウド移行が当たり前になる今こそ、フローベースの可視化により「見えない通信」を減らし、ネットワークの健全性を維持する仕組みが求められています。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

2025年11月6日

1.はじめに

前回コラムでは、ネットワーク監視の三つの視点として、NetFlow・PCAP・SNMPを紹介しました。今回のコラムではその中でも弊社が扱うFlowmonが採用するNetFlowについて、さらに掘り下げていきたいと思います。フロー情報の仕組みやバージョンごとの進化、NetFlowとsFlowの違いまでを順を追って解説していきます。

2.ネットワークフローとNetFlowの概要

本章では、ネットワークフローの概念を整理し、通信の全体像を理解してNetFlowとは何か、どのように扱われるのかを解説していきます。
ネットワーク上に流れる通信を分析するツールとして「ネットワークフロー」という考え方があります。フローとは、送信元/宛先のIPアドレスやポート番号、プロトコルなどの共通した属性を持つパケットのまとまりを指します。 例えば、「ユーザがWebサイトを閲覧する通信」や「サーバにファイルをアップロードする通信」など、一連のやり取りを1つの単位（フロー）として扱うことで、誰がどこへ、どれくらい通信をしているかを把握することができます。
このフローという考え方を実際の仕組みとして実装したのがNetFlowです。 NetFlowはCisco社が開発した技術で、特徴的な仕組みとしては、まずルータやスイッチなどのネットワーク機器を通過するパケットを監視し、同じフローに属するパケットをまとめて1つのフロー情報として生成します。各フローには、送信元・宛先IP、ポート番号、プロトコル、パケット数やバイト数、開始・終了時刻、TCPフラグなどの情報が含まれます。NetFlowで収集されたフロー情報は、可視化ツールや分析ソフトウェアを活用し、単なるトラフィック量の把握だけでなく、どの通信がどれくらいの帯域を使用しているか、異常な通信が発生していないかなどを詳細に分析できます。

3.NetFlowの進化と各形式の特徴

本章では、NetFlowがどのように進化してきたか、各形式の特徴を整理します。 初期のNetFlowであるNetFlow v5では収集できる情報がIPv4アドレス、ポート番号、プロトコル、パケットやバイト数などに限定された、固定形式のデータフォーマットを使用していたため拡張性が低く、主にCisco装置間での利用に限られていました。 その後登場したNetFlow v9では、テンプレート方式のデータフォーマットが導入され、収集するフィールドを柔軟に指定できるようになりました。これによって、IPv6やMPLS、VPNラベル、アプリケーション識別など、より詳細な情報の取得が可能となりました。さらに、データフォーマットの柔軟性により、必要な情報のみを効率的に出力できるようになったことで、従来の固定形式よりも複雑なネットワーク環境や分析ニーズに対応できるようになりました。 そして、NetFlow v9をベースに、IETF標準として策定されたのが IPFIX（IP Flow Information Export） です。IPFIXではベンダー間での互換性が高まり、異なる装置間でも同一のデータ形式でフロー情報をやり取りできることが大きな特徴です。IPFIXはNetFlow v9と同じテンプレート方式を採用していますが、NetFlow v9そのものではなく、NetFlow v9をもとに標準化された別仕様の規格として位置づけられています。 このように、NetFlowは収集情報の範囲やデータフォーマットの柔軟性、標準化・互換性の面で進化してきました。

4.sFlowとNetFlowの違い

前章では、NetFlowやIPFIXを取り上げ、それぞれの特徴について解説しました。
これらと同じく、ネットワークフローを収集する技術としてsFlowがあります。ネットワーク上を流れる通信を観測するという点はNetFlowと同じ考え方になりますが、sFlowはサンプリング方式を採用している点に違いがあります。すべての通信を詳細に記録するNetFlowとは異なり、ネットワーク上を流れる膨大な通信の中から、例えば1,000パケットに1つ（1/1,000）といった割合でパケットを抽出し、そのヘッダ情報を通信全体の疑似的な統計として利用します。これにより、大規模ネットワークでも機器負荷やデータ量を抑えつつ、全体のトラフィック傾向を把握できます。
その一方で、すべての通信を収集するわけではないため、通信分析の面では情報の粒度が低下してしまいます。 そのため、詳細分析やトラブルシューティングなど通信単位の分析を行いたい場合にはNetFlowが適しており、大規模ネットワーク環境での全体傾向の把握やキャパシティプランニングはsFlowが有効です。

5．まとめ

本コラムでは、NetFlowの基本概念から、バージョン・規格ごとの特徴までを解説しました。 弊社が扱うFlowmonでは、NetFlow v5やv9、IPFIX、sFlowなど主要なフロー規格に幅広く対応しており、フローデータを用いて通信の可視化・分析をすることができます。これにより、ネットワーク運用の最適化やトラブルシューティング、帯域利用状況の把握など、さまざまな場面で意思決定を支援することが可能です。
今後は、クラウドサービスの導入や拠点間接続の多様化により、ネットワーク環境はますます複雑化していくことが予想されます。こうした中で、フローデータを活用した可視化・分析は単なるトラフィック把握にとどまらず、問題の早期発見、運用計画の立案、資源配分の最適化など、ネットワーク管理全般における重要な判断材料となるでしょう。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

2025年10月7日

1.はじめに

ネットワーク監視の方法、トラフィック測定の方法として、様々な手法がありますが、中でも代表的なものとしてPCAP（パケットキャプチャ）やSNMP、NetFlowが挙げられます。 それぞれ異なる特徴や得意領域があり、どの方式を選択するかによって得られる情報や運用負荷は大きく異なります。 本コラムでは、PCAP、SNMP、NetFlowの３つの手法を比較しながら、それぞれの役割を整理するとともに、どのように活用するとより効果的にネットワーク全体の可視化・監視を行えるかについて考えていきます。

2.それぞれの仕組みと特徴

PCAP

PCAPはネットワーク上を流れるパケットをTAP/SPANポートでコピーし収集することで、ヘッダからアプリケーション層のデータ（ペイロード）までを記録し、トラフィックの詳細な解析を行う手法です。 利点は明確で、パケットヘッダ情報やペイロード（暗号化されていない場合）等の通信内容を完全に再現することができるため、不正アクセスの調査や通信不具合の詳細な切り分けに強みを持ちます。一方で実データを取得するためデータ量は膨大になり、長期保存には不向きです。例えば平均1Gbpsの通信を1日分取得すると、データ量は10.8TBと非常に大きくなります。したがってスポット的な深堀調査には有効ですが、常時運用の基盤には向いていません。

SNMP

SNMPは、ネットワーク機器の状態や統計情報を取得するためのプロトコルで、多くのルータやスイッチ、サーバなどが標準で対応しています。 仕組みとしては、管理対象機器（SNMPエージェント）の基本情報やインターフェースの状態、機器リソースなどが定義されたMIB（Management Information Base）という管理情報のデータベースを使用します。SNMPマネージャーがこれをポーリングしたり、機器側からトラップとして通知を受け取ったりすることで情報を収集します。
したがって、SNMPで取得できる情報の強みは、インターフェースの帯域使用率やエラーカウンタ、CPU・メモリ使用率などの機器内部の管理統計となります。 SNMPはほぼすべての機器で利用可能なだけでなく、データ量が非常に小さいことも特徴の一つです。例えば、1台の機器で10個のMIB項目を1分間隔で取得する場合、1日あたり1.44MB程度しかありません。これらの特徴から、SNMPはトラフィック量の監視やCPU/メモリ使用率などのリソース管理に広く使われています。しかしネットワーク可視化の観点では「どれだけ流れているか」は分かりますが、「誰が・いつ・どのような」といった通信の内訳を分析することはできません。

NetFlow

NetFlowはCiscoが開発した、フロー（送信元／宛先IP、ポート、プロトコルで構成される通信のまとまり）を単位としてトラフィックのサマリを収集する技術です。ルータやスイッチなどのネットワーク機器、またはFlowmon Probeのようなフロー生成機からCollectorへ送信し、蓄積・分析に利用できます。 NetFlowで取得できる情報は、送信元/宛先IPアドレス、ポート、プロトコル、通信量、セッション時間などのメタデータです。これにより「誰が・いつ・どのような通信をしたか」といったネットワーク利用状況を把握できます。 また、NetFlowはパケットのヘッダ情報だけをサマリしてペイロードは破棄するため、データ量はパケット全体を保存するPCAPと比べて約1/500と圧倒的に少なく、長期間・広範囲の通信状況を可視化することができます。 例えば、平均1Gbpsのトラフィックを取得した場合、パケットそのものは1日で10.8TBになりますが、NetFlowでは約21.6GBまで抑えられます。このようにデータ量を大幅に削減できるため、より長期間にわたって記録・分析を行うことが可能です。つまり、NetFlowはトラフィック傾向分析や異常検知といった常時運用に適した手法と言えます。

3.利用シーンと活用方法

PCAP

PCAPはネットワーク上のパケットをヘッダからアプリケーション層まで取得できるため、一般的にはトラブルシュート時に多く活用されます。 具体的な例として、Webサーバとの接続エラーがどの段階（TCP 3ウェイハンドシェイクやTLS証明書交換など）で起きているのかを、パケットごとに順を追ってペイロードの中身まで踏まえながら特定可能です。別の例では、特定経路で通信できなくなった場合、経路上の各ノードでPCAPを取得することで、パケットがドロップしているポイントを特定することができます。このように、PCAPはピンポイントなトラブルシュートとして非常に有効なツールです。

SNMP

SNMPはネットワーク機器の状態や統計情報を収集するため、日常的な運用監視やリソース管理に適しています。SNMPでは主にポーリングとトラップという2つの方法で情報を取得できます。 ポーリングでは、ルータやスイッチのトラフィック量やCPU使用率、メモリ使用率、インターフェースの帯域利用状況などを定期的に確認できます。 例えば、ある拠点のルータでCPU使用率が高くなっている場合、ポーリングで早期に検知し負荷分散などの判断に繋げることができます。
一方、トラップでは、機器が異常やダウンを検知した際に自動で通知が送信されるため、迅速な対応が可能です。 例えば、リンクダウンやインターフェース障害が発生した場合、即座にアラートを受け取ることで障害箇所の特定や迅速な復旧作業が行えます。 このように、SNMPを活用することで、日常的な運用監視や死活監視、障害対応の効率化、ネットワークの安定稼働に役立てることができます。

NetFlow

NetFlowはフローベースで通信状況を収集します。これによりネットワーク全体のトラフィック傾向把握や長期間の利用状況分析に強みがあります。そのため、帯域使用率の増加やネットワーク遅延の原因特定、現状の帯域幅が適切かどうかを確認したいという要件に適しています。 例えば、社内ネットワークの各拠点からどのサービスにどれだけアクセスされているかの把握や新しいサービス導入・回線増強の判断材料に活用することができます。さらに、Flowmon製品の一つであるFlowmonProbeを併用することで、HTTPヘッダやTLS SNI情報からアプリケーション識別もでき、部門ごとのクラウドサービス利用状況の可視化に活用できます。事例として、業務時間中に「インターネットが遅い」という事象が発生したとします。NetFlowのデータを確認すると、帯域使用率が急増している時間帯に、YouTubeやOneDrive通信が大半を占めており、動画閲覧と大容量ファイルのアップロードが原因と特定することが可能です。さらに送信元IPから特定ユーザーのPCを突き止めることもできます。このように、NetFlowを用いることで「誰が・いつ・どのアプリケーションで」帯域を圧迫していたかを把握し、迅速な原因究明と対策に繋げることができます。

4.終わりに

本コラムでは、様々なネットワークの可視化・監視手法がある中で、PCAP、SNMP、NetFlowの3種類を挙げました。それぞれ異なる特徴や得意領域があるため、一つのツールに頼らずに、用途に合わせて適切なツールを選択することが重要です。
弊社が扱うFlowmonでは、NetFlow/IPFIXベースでのフローデータ収集・分析に特化して設計されており、長期的なトラフィック傾向把握やアプリケーション利用状況の可視化といった要件に対応できます。さらに、Flowmon ADSというプラグインを追加することでネットワーク異常やセキュリティ上のリスクを早期に検知できる点も大きな強みとなっています。日常的なネットワーク可視化では、NetFlow/IPFIXを軸にPCAPとSNMPを必要に応じて組み合わせることが、より効率的な運用に繋がるのではないでしょうか。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー