Flowmon/ADS 新バージョン ver.12.04情報
PDF版のダウンロードはこちらから行えます。ver.12.04アップデートによる変更点(一部抜粋)は、下記の通りです。
見えないものを見える化!ネットワーク可視化の重要性
見えないものを見える化!ネットワーク可視化の重要性
2024年8月1日
ネットワークは今日のビジネスにおいて業務効率化や生産性の向上を図るため、なくてはならない重要な基盤となっています。誰しもが当たり前に利用しているネットワークですが、その複雑さは日に日に増しており、状態を把握することは簡単ではありません。インターネットは毎日利用しているものの、ネットワーク可視化に手を付けていなかったり、SNMPでトラフィック量だけは見てはいるものの詳細がわからず、どんな通信が流れているかはわからないといったケースが少なくありません。
何か問題が起きた時には原因調査をすることになりますが、日ごろのトラフィック情報の有無でトラブルシュートにかかる時間は大きく変わります。私たちが毎年健康診断を受けるのと同じように、ネットワーク環境も定期的な診断が必要で、日常の通信状態を把握することで障害発生時に問題の所在を推測することができます。そこでネットワークを定常的に監視することの重要性についてお話させていただきます。
どういったものを可視化するのか
まずネットワークを運用していく上で、可視化しなければならない情報について考えてみたいと思います。 サーバーやネットワーク機器などのハードウェア情報、アプリケーションの応答情報、通信のトラフィック量などのソフトウェア情報、セキュリティ関連項目まで含めると膨大になることが想定されます。どれも重要な情報ではありますが、今回はその中でもFlowmonが最も得意とする通信の可視化にフォーカスを当てたいと思います。
ネットワーク可視化の目的
ネットワークを可視化する目的について考えてみたいと思います。極端な話ネットワークを可視化しなくても、何も問題が発生しない限り不都合はありません。イーサネットはすでに成熟した技術であり、監視していないからと言って即座にトラブルが起きることはありません。ですが、いざ問題が起きたときには、その複雑さ故、どこから手を付ければいいかわからない、何が原因かわからないといった声をよく聞きます。
障害を未然に防いだり、障害発生時に迅速な解決を行うためにはネットワーク状況の把握が不可欠です。この時、部分的に把握するだけでなくできるだけ広い範囲を可視化することで、ネットワーク全体像が見え、より俯瞰的に原因調査ができます。 日々変化するトラフィックや状態を見て、現在の構成やスペックが適切であるかがわかると障害になりそうな原因をあらかじめ防ぐことができ、万が一障害が発生した際にもどこで問題が発生したのかが一目でわかるため、原因の特定と適切な対応を行うことができます。
また、アクセス集中による輻輳なども把握することができます。混雑する時間帯がわかっていれば、作業を行う時間を分散させて通信の集中を防ぐことが可能ですし、トラフィック量がわかれば回線の増強や見直しを検討することができます。このように、見えないものを見える化することで様々なケースに対応できることがイメージいただけると思います。
ネットワーク可視化を実現するために
可視化ツールには様々なものがあります。SNMP監視、NetFlow、パケットキャプチャなど、それぞれメリット/デメリットがありますが、自社のネットワークに必要な製品を選択していただきたいと思います。
例えば、Flowmonが利用するNetFlowは通信のヘッダ情報を使用することで、送信元・宛先のIPアドレス、ポートなど詳細な解析が可能です。 NetFlowには様々なメリットがありますが、一番の特徴はデータ量が軽いということです。つまり広範囲のトラフィックを取得しても、長期保存することができるということです。
データ量が軽い=大した情報が取れないと思われがちですが、そんなことはありません。HTTPホスト名や通信の遅延やレスポンスタイムを可視化することもできるので、ネットワークの遅延の原因がネットワーク側にあるのか、サーバー側にあるのかといった切り分けをすることも可能です。
終わりに
ネットワーク可視化は、複雑化する現代のITインフラを効率的に管理するために欠かせません。自社のニーズに合った可視化ツールを選び、定期的にネットワークの状態を確認することで、問題を未然に防ぎ、快適なネットワーク環境を維持することができます。 次のステップとして、自社のネットワーク構成を確認し、どのような可視化が必要か検討してみましょう。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
Flowmon ADS 新バージョン ver.12.03.01情報
三菱地所株式会社様
三菱地所株式会社様
三菱地所株式会社 DX推進部・マネージャの小林氏に、Flowmonを導入するまでの経緯と、その効果についてお話を伺いました。
背景・課題
SNMPでは不十分
Flowmonならばニーズに合わせた詳細解析
三菱地所株式会社様は、まちづくりを通じて働きやすい、生活のしやすい場所の提供を目指しており、変化し続ける社会に柔軟に対応し、来街者・生活者に寄り添った「共感できるまちづくり」を進めています。特に、DXを用いた「新規事業・サービスの推進・強化」及び「変革を支えるIT基盤の構築・強化」の両輪で、デジタルを起点とする様々な新事業創出、グループ全体のデータドリブン経営に向けた各事業の支援などに注力されています。
「弊社(三菱地所株式会社)環境では以前からSNMPによる監視システムが導入されており、通信の絶対量のみ把握が出来ていました。しかし通信の内容まで分からなかったため、ユーザーより通信が遅い等申告があった際や、通信量の閾値のアラームが上がった際にどの通信がネットワーク回線やネットワーク機器を逼迫しているのを解析することが難しい状況でした。また、ウイルス等に感染したPC端末から社内外のどの宛先に通信が発生したのかを把握することができず、FWのログなどから解析する必要があり、有事の際に解析に時間がかかっていました。これらの課題を解決するためにまずは通信の可視化が必須であると判断し、Flowmonの導入を検討しました。」
選定のポイント
URL単位の可視化ができることが導入の決め手
他社での利用実績やUIの仕上がりの良さも決め手のポイント
2022年6月から検討をはじめ、2022年10月から導入しました。同時に監視システムのリプレースや運用の整備も行っていたため、導入が完了したのは2023年6月でした。選定時に重視したポイントとして、大きくは3つあると小林氏は話します。
「1つ目は、ネットワーク管理者に使い勝手がよいユーザインタフェース(UI)であること。2つ目は、他社でも導入実績があること。そして3つ目は最も重視したポイントで、URL単位で通信量を把握できることでした。
弊社では、プロキシサーバーを使用しており、IPアドレスレベルでの通信量の把握をするとなると、プロキシサーバーに集約されてしまうため実態を把握することができませんでした。しかし、プローブを導入することでURL単位の通信量を可視化できるようになったことが、導入の一番の決め手となりました。また複数の他社製品とプローブを機能比較しましたが、特にベンダーのデモや提案資料等を確認する中でグラフをネットワーク管理者に理解しやすいよう複数形態で出力できることや、通信利用量のトップ10などを出力して使用状況を把握できることも魅力的でした。」
導入効果と今後の展望
通信の可視化により、さらに社内インフラで何が起きているのかを迅速に察知できる環境の構築へ
従来、三菱地所グループでは通信を可視化する手段がありませんでしたが、Flowmonを導入することで今後の需要予測や、万が一ウイルスに感染してもトレースすることが可能になりました。
「弊社は東京と全国のもう1拠点にインターネットの出口を持っており、今回は東京にプローブを導入しましたが、今後もう1拠点にも導入を検討しており、URL単位での通信量の把握ができることを期待しています。また従来のSNMPでは数時間、数日とかかっていた解析作業が数十分に短縮されることにも期待したいですね。通信の証跡という観点でも長期保存のニーズは多いと思います。
開発元への要望としては、コレクタやプローブというようにコンポーネントが多いため、それらをシンプルに一台で設置し、ロケーションが違う場所で通信内容を把握できるようにすると導入の敷居が更に下がると思います。また、通信傾向を把握することで長期的な増強計画に活かしたいとも考えており、外部ストレージへのエクスポートやそれらの解析を高速にできるようになると尚良いと思います。」
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
IDS Probeの活用
IDS Probeの活用
2024年5月27日
Flowmonはセキュリティー監視となるアドオンコンポーネントADSにより、高度な振る舞い検知機構を提供しています。そのほか、無償のオプションとして、オープンソースのIDSソフトウエア Suricata を稼働させ、それにより検知されるイベントをFlowmonのイベント処理機構に組み入れることも可能となっています。このコラム記事では、Flowmon社ブログ Augmenting behavior-based network detection with signature-based methods を参照し、このIDS Probe(プローブ)機構をご紹介します。
Suricataの取り込みによる多角的な検知の実現
Flowmonはネットフロー形式に変換されたネットワークデータをもとに、さまざまな解析を行いITインフラの可視化を行います。またアドオンコンポーネントの一つとなるADS (Anormaly Detection System)を付加することで、セキュリティー視点からの多様なイベントの検知が可能となります。Flowmon ADSではメソッドという検知パターンが用意されており、IPのブラックリストの他、特定のネットワーク上の振る舞いを検知し、サイバー攻撃などと疑われるリスクのある動きをイベントとして通知します。
一方、さまざまな製品により同様の検知機構は提供されていますが、一般的には、個々の製品の検知ロジックの実装は異なるため、その異なるロジックによるイベント検知度合いには差があるものと見られています。そのためより検知度合いを高めるためには、複数の製品を利用することが考えられますが、そのための管理コストなどから現実的には困難が伴います。 このような背景から、Flowmonでは侵入検知で定評のあるオープンソースのSuricataをFlowmon上で稼働する仕組みを整え、そこからのイベントをFlowmonのイベント表示等に取り入れる機構を整備いたしました。これにより追加費用なくより網羅性の高いイベント検知を実現することが可能となります。
統合された検知機構の利点
IDSツールのSuricataをFlowmonに統合することで、両方の検出手法の効果を最大限に引き出しました。Suricataが生成するアラートをFlowmonの機能で処理し、関連付けし、視覚化するために、Flowmonでは関連機能の拡張を継続的に行なってまいりました。この統合化されたアプローチにより、以下のような利用者のメリットをご確認いただけます。
- 防御の強化
- Flowmonによる振る舞い検知とシグネチャベースのSuricataによるイベント検出を組み合わせることで、より強力な防御が構築されます。これにより、脅威を広範囲にカバーし、既知の脅威と新たな脅威の両方を捕捉して、セキュリティーを強化します。
- ツールの効率性
- 他ベンダー製品の利用などによる複数ツールの運用管理の必要性が減り、簡素化され、ライセンスのみならず全体のコストが最適化されます。
- より深い洞察
- 異なるテクノロジーのセキュリティー製品の統合で、包括的な脅威の観点が提供され、既知の脅威に関する情報と異常なアクティビティーの情報がより詳細に提供されます。
- 信頼性の高いアラート
- アラートを相互検証することで検出精度が向上し、誤検知が減少し、応答の信頼性が高まります。これにより対応の優先順位付けなど、後続のプロセスの最適化に有効です。
- コンプライアンスの担保
- 複数の製品による診断結果を統合することで、業界の規制に適合し、包括的なセキュリティー対策を実施することが可能となります。
Flowmonは、その製品機能の複数のレベルでSuricataを組み込みました。ダッシュボードやレポートには、FlowmonおよびSuricata両方のシステムからの重要な情報が含まれ、セキュリティー意識を高め、最も重要なイベントに迅速に優先順位を付けて対応を計画することができます。
Suricataのイベントは、通常の分析ワークフローとドリルダウンに統合され、インシデント調査のプロセスも均一化します。Flowmon ADSは、両方のシステムからのイベントを関連付けて、ノイズを減らし、アラートの相互検証をサポートし、CVEの説明などの関連脆弱性情報などをご提供します。
Suricata構成概要
Suricataの導入および有効化は、以下のステップにより実施可能となっています。実際の導入構成の際には、こちらのオリジナル文書 How to enable signature-based detection in Flowmon Probe and Flowmon ADS もご参照ください。
- 1. IDS Probeパッケージの導入
- サポートポータルのガイド(Flowmon IDS Probe )
に従い、Suricata IDS を Flowmon プラットフォームにインストールします。
※ スタンドアロン プローブで ADS を実行している場合は、以下の2つの手順(2と3)をスキップできます。 - 2. Syslog転送設定
- IDS Probe(プローブ)を使用して、すべてのプローブで Syslogイベントロギングを設定します。 これにより、IDSイベントが Flowmon ADS を使用してターゲット コレクターに Syslog 経由でエクスポートされるようになります。 これは、[Configuration Center] > [システム] > [システム設定] > [Syslogイベントロギング] で設定できます。 ここでは、Syslogイベントロギングを有効にし、新しいサーバーを追加する必要があります。 次に、ADSでコレクターのIPアドレスを入力し、ポートとプロトコルを指定し、保存します。
- 3. Syslogサーバー構成
- コレクター側では、Syslog サーバーを構成する必要があります。 [Configuration Center] > [システム] > [システム設定] > [Syslogサーバ] に移動します。 外部Syslogを有効にし、新しいSyslogクライアントを追加します。 FlowmonプローブのIPアドレスを入力し、同じポートとプロトコルを使用して保存します。
- 4. ADSの有効化設定
- プローブはSyslog経由でIDSイベントを送信し、コレクターはそれを受信していますが、それを処理、保存、視覚化する設定を行う必要があります。ADSの[設定]に移動し、[システム設定] > [IDSコレクター] で [有効化]ボタンをクリックします。 これが完了すると、[分析]ページで IDSイベントを確認できるようになります。
その他、Suricata IDS の実行に際しては Suricata IDS Configuration and Tuning をご参照ください。 ガイドより、誤検知の調整、検出ルールの管理、ネットワーク変数の設定、独自のカテゴリの作成など、Suricataを有効に利用する上での詳細をご確認いただけます。
終わりに
NDRツールで、振る舞い検知などの動作ベースの検出方法と、シグネチャベースの検出方法を組み合わせることが、サイバーセキュリティーを強化するための重要な取り組みの一つとなります。この組み合わせにより、さまざまな脅威に対する強力な防御機構が整い、重要な洞察が得られ、アラートの精度が向上することとなります。
IDSツールのSuricataは、Flowmon ADSにより無料のモジュールとして利用できます。導入のための新たな設定は不要で、簡単なインストール手順により、利用を開始することができます。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連記事:
- オープンソース Suricata: ホームページ
- Flowmon社ブログ: Beyond Traditional Defenses: Integrating IDS and NDR for Improved Detection Capabilities
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
ハイブリッドネットワークの監視と保護
ハイブリッドネットワークの監視と保護
2024年5月20日
クラウドの一般化した昨今のIT環境では、オンプレミス環境と統合されたハイブリッドIT基盤に対する、効率的なモニタリングやセキュリティー監視が重要なテーマとなっています。この記事はFlowmon社ブログ Multi-Cloud – Rise of Hybrid Networks and the Need to Monitor & Secure Them をベースとし、その課題とFlowmonによる対応について書かれています。
ハイブリッド環境の監視の課題
現行の多くの企業で利用されているIT基盤は、自社内のITシステムとAWS,Azure, Googleなどの大手クラウドサービスを複合的に利用する形態が一般的です。またそれらクラウドサービスでも、アプリケーションによっては異なるクラウドサービス基盤で利用されている場合や、災害対策やコストの最適化などの観点で複数のクラウドサービスに分散されることもあります。今後もこの複合的なIT基盤は広く普及してゆくものと予想されています。
この分散IT環境は、様々な視点から最適化のメリットがありますが、同時にIT基盤の監視やセキュリティーという面では課題があります。ダイナミックにITリソースを再配置したり、物理的な把握が難しいクラウド環境に対して、固定的なオンプレミスのIT基盤管理手法を適用することは困難です。 統合的な監視ができていないそれらの複合環境では、環境ごとに異なるツールで個々の状況を把握し、そこで取得されたそれぞれのデータを手動で統合しなければなりません。手動で統合されたデータにより、最終的に自社のIT基盤の状態を把握するというステップは、IT部門にとってはかなりの負担となります。
これら大手のクラウドサービスでは、それぞれ独自の監視機能を提供しています。ただしその設定の複雑さやキャプチャーされた膨大な監視トラフィックデータの保存など、別の側面で課題があります。独自ツールはそのクラウドサービス特有のトラフィック監視には強力ですが、他のクラウドサービスを含めた横断的なトラフィック監視が必要とされる場合、その特有さが問題となってしまいます。
ハイブリッド環境の監視の簡素化
主なクラウドサービスでは、個々に持つ独自のトラフィック監視の仕組みの他、外部の監視ツールが活用できるデータ(フローログ)を提供する仕組みが実装されています。フローログはNetFlowデータと同等の情報を含んでおり、Flowmonのような外部システムが、オンプレミス環境のみならず、様々なクラウド環境も包含した分析処理を実現します。これにより個々のクラウド環境に依存しない外部システムが、オンプレミス環境のみならず、様々なクラウド環境も包含した分析処理が実現されます。
これらのクラウド基盤から提供されるフローログにより、Flowmonのプラットフォームを横断した解析・レポート機能に組み込み、統合的な可視化が可能となります。各クラウドが個別に提供する監視オプションを使用するよりも、低コストでハイブリッドなマルチクラウド監視を行うことができます。また必要に応じFlowmonプローブも構成に加えることで、アプリケーションレベルの可視化まで、その監視範囲を広げることも可能です。
構成概要
下図は、Flowmonのハイブリッド展開の全体的なイメージを示しています。 ここではクラウドプラットフォームからのネイティブフローログと組み合わせ、ハイブリッドネットワーク内の異なる場所にあるプローブからメタデータを収集する、中央アグリゲーターとしてFlowmonコレクターが構成されています。
また、以下の場合には、展開に際してFlowmonプローブを含める必要があります。
- 高度なネットワーク分析とネットワークパフォーマンスメトリックのための信頼性の高い正確なデータが必要な場合。
- ネットワークトラフィックの詳細な可視性が必要で、アプリケーション層の可視性(L7プロトコル)も含まれる場合。
- Flowmon Application Performance Monitoring(APM)やFlowmon Packet Investigator(FPI)などの高度な機能が必要な場合。
Flowmonブログ記事 How to Optimize Cloud Monitoring Costs Using Flow Logs in Progress Flowmon では、このトピックを詳しく解説し、Google CloudでのFlowmonプローブとフローログの利用に基づいてコストを比較しています。フローログを利用することで、最大で89%のコスト削減が可能です。
終わりに
複数のクラウドプロバイダーを使うことが多くの企業にとって新しい標準になっています。IT部門がすべてのパブリックプロバイダーやオンプレミスインフラをしっかり把握できるように、統合された使いやすい監視ソリューションが重要です。Flowmonのネットワーク監視ソリューションは、各プラットフォームのネイティブ監視ツールよりも格段に低コストでこの課題を解決します。
Flowmonのバージョン12は、AWS、Azure、Google Cloudが提供する全ての既存のネットワークテレメトリーソース(VPCフローログ)と、ルーターやスイッチ、パケットブローカーなどの標準的なオンプレミスフローソースを活用できる業界初のソリューションです。Flowmonは、既存のネットワークテレメトリーソースを利用するか、専用の軽量Flowmonプローブを使うことで、クラウドとオンプレミス環境に対して優れた可視性を提供します。これは、単一の画面でハイブリッド環境に一貫したレベルのネットワーク可視性を提供いたします。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連記事:
- Flowmonコラム: クラウドネットワーク可視化の課題
- Flowmonコラム: マルチクラウド戦略を支えるFlowmon 12について
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
クリプトジャッキングの検出
クリプトジャッキングの検出
2024年7月1日
サイバー攻撃ではその活動の種類により、被害ユーザーへのアプローチが異なっています。サービス拒否(DoS)攻撃のように攻撃活動の当初より、サービスの利用が不可となり、被害ユーザーにとってその活動が攻撃の第一段階から明示的なものがあります。また機密データの詐取や “身代金要求”を目的としたランサムウエア攻撃などでは、別のアプローチを取ります。そのアプローチでは、悪意のあるコードの侵入段階ではその活動を隠し、それに続く攻撃の第二段階においてデータ漏洩による被害や金銭支払いの脅迫を受けることで、被害ユーザーは攻撃を認識することとなります。
そして最終段階までその活動の隠蔽を目的とし、被害ユーザーには永続的にその攻撃被害を認知されないことを目的としたものがあります。継続的に被害ユーザーの機密情報を取得し、その情報をもとに別の攻撃手法により、被害ユーザーに甚大な被害を及ぼすアプローチです。このブログでご紹介する永続的な活動の隠蔽を目的とするクリプトジャッキングも、同様の部類に属するものとなります。
※この記事はProgress Software(以下Progress)社ブログ Detecting Cryptojacking with Progress Flowmon をベースとして書かれています。
クリプトジャッキングとは
クリプトジャッキングは、サイバー攻撃の一つであり、攻撃者がシステムの弱点を悪用し、被害ユーザーに気付かれないように仮想通貨をマイニングする手法です。この攻撃を受けると、侵害されたシステムのリソースが不正に利用されるだけでなく、他の種類の攻撃、たとえばランサムウェアによる被害を受ける可能性もあり、広範なセキュリティ問題が存在していることを示しています。
この攻撃では、攻撃者はDoS攻撃の一種である同期(SYN)フラッドを使って、ターゲットサーバーに大量のリクエストを送り込んで、混乱を引き起こし、他の危険な攻撃が検知されにくくなるように偽装する手法がとられます。
クリプトジャッキング攻撃の構造
クリプトジャッキング攻撃は、典型的にいくつかの段階を経ます。詳しく見ていきましょう。
まず、攻撃者はDoS攻撃の一種であるSYNフラッドなど、少量の攻撃を開始します。これにより、ネットワークにノイズや混乱が生じ、攻撃者の真の意図が隠されます。つまり、攻撃者がDMZ内の脆弱なサーバーを侵害する意図であることが隠蔽されるのです。
次に、攻撃者は、一般的な攻撃手法であるリモートデスクトッププロトコル(RDP)に対する辞書攻撃などを使用して、パッチが適用されていないシステムの脆弱性を悪用し、標的とするシステムへの完全なアクセスを取得します。
最後に、アクセスが確保されると、攻撃者は悪意のあるコードを展開し、サーバーを暗号通貨をマイニングするノードに変えます。これにより被害ユーザーのシステムリソースが、攻撃者の目的のために無断使用される仕組みが構築されることとなります。
基本的な監視ツールの制限
IT基盤の一般的な監視ツールは、システムの最適なパフォーマンスと可用性を確保する上で不可欠です。しかし、このような動きを取るクリプトジャッキングの、微妙な兆候を見逃すことがあります。DoS攻撃によるノイズが加わると、基本的な監視ツールが記録する平均CPU使用率メトリックがすぐにはアラートとして発報されない事象が発生します。また、クリプトジャッキングマルウェアによるCPUの使用率の増加は、DoS攻撃の終了後ではしばしば検知されないことがあります。つまり意図的に発生された別種の攻撃兆候により、攻撃者の本来の意図であるクリプトジャッキング攻撃を結果的に隠蔽することを許してしまうのです。
Flowmonによるクリプトジャッキングの検出
セキュリティ分析を行うアドオン Anomaly Detection System (ADS) と連携し、 Flowmonは、このようなクリプトジャッキングの攻撃特性を検出し、分析・検知することが可能です。
Flowmonはネットワークテレメトリデータを解析します。IPFIX形式のネットワークフローデータを使用し、脅威フィードや攻撃シグネチャによって補強されたデータを解析することで、詳細な事象の分析が可能となっています。 また、高度な検出アルゴリズムを採用し多角的な分析を行うことができ、一般的な脆弱性やCVEへの参照、MITRE ATT&CKフレームワークの詳細などを提供します。
Flowmonは、一般のIT基盤監視ツールとは異なり、ADSアドオンと連携することで主要なセキュリティイベントの検出が可能です。例えば、CPU使用率のダッシュボードでは、暗号通貨のマイニングによる使用率の急増を表示することができます。 さらに、Flowmonではイベントの概要と詳細な分析が行われます。DoS攻撃を装ったアクティビティなど、さまざまなイベントの概要を表示することができます。
Flowmonは、他のシステムとの直接的な統合が可能で、検知されたサイバー攻撃に関わる通信の、自動遮断の仕組みなどを任意に設定することも可能です。また検知された通信に疑われる既知の脆弱性の情報から、必要な適用パッチなどを特定いただくことが容易になります。 さらに、Flowmonの分析機能は、クリプトジャッキングの広範な影響を理解する上で役に立ちます。システム負荷や冷却要件、電力使用量などの影響を理解することで、適切な対策を講じることができます。同時に、攻撃者によるネットワーク内での横断的移動のリスクも把握することができます。 Flowmonは、IT部門がネットワーク上のクリプトジャッキング感染をより効果的に検出し、阻止するための情報をご提供します。
Flowmonによる暗号通貨マイニングを検出する機能の概要
以下の動画は、Progress社のソリューションアーキテクトによるビデオプレゼンテーションとなります。ここでご紹介している内容は、実際の事例研究に基づいており、DoSトラフィックなどの他の攻撃ベクトルによって隠蔽されている場合でも、Flowmonがクリプトジャッキングをどのように検出するかが解説されています。
※ この動画はFlowmon YouTubeチャンネルでご視聴いただけます。
終わりに
クリプトジャッキングは、ネットワークセキュリティにとって深刻な脅威であり、他の攻撃手法に紛れ、隠蔽を計る攻撃手法です。しかし、Flowmonは、このような高度なサイバー攻撃を検出し、分析し、実用的な洞察をご提供することができます。Flowmonは、企業がIT基盤のセキュリティを向上させ、クリプトジャッキングによる財務的および運用上の影響を軽減するのに役立ち、より安全で強固なIT基盤の構築・維持の実現をお手伝いいたします。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連記事:
- Flowmonコラム: 未知の脅威への対処
- Flowmonコラム: NDRによるリスク検知の実践
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
ICS/SCADAネットワークトラフィックの可視性とセキュリティ
ICS/SCADAネットワークトラフィックの
可視性とセキュリティ
2024年5月1日
Flowmonは一般のIT基盤のみならず、産業用制御システムいわゆるOTシステム基盤のネットワークモニタリングおよびセキュリティ機能もご提供しています。このコラムではFlowmon社の Network Traffic Visibility and Security for ICS/SCADA のコラムをベースに、その概要についてご紹介します。
産業用の制御システムが正しく機能することは、エネルギーの配布や機械操作、水の管理など、重要なプロセスの基盤となります。技術の進化により相互接続が進んだことで、外部からの影響に対してより脆弱になりました。ネットワークに変更が加えられると制限や完全なシステムの停止が起こる可能性があり、企業やその顧客に直接的な影響を与えてしまう恐れがあります。Flowmonのネットワーク可視性インテリジェンスによって企業は、このようなリスクを回避し、OT環境においてもセキュリティの脅威に対処しIT運用を強化することができます。
産業ネットワークの信頼性とセキュリティの確保
一時期までは、産業用制御システムは通常、企業のネットワークやインターネットから完全に切り離されていました。そのため、インフラに大幅な変更が行われることはほとんどなく、エンジニアはセキュリティについてあまり心配する必要はありませんでした。しかし、最近では、IoTデバイスや自動化、インダストリー4.0などの台頭により、産業用制御システムの環境は大きく変わりました。
広くITネットワークの可視化にご利用いただいているFlowmonですが、この産業用制御システムの関わるネットワークについても、すでに多くのお客様にご利用いただいています。 早期の異常検出と外部システムとの連携機能に加えて、災害復旧計画やフォレンジック分析のためのデータの取得にFlowmonをご活用いただいています。
Flowmon ADSのICS環境での検証レポート
チェコ共和国ブルノ大学では、FlowmonによるICS基盤の有効性についてこちらの レポート(Behavioral Anomaly Detection in Industrial Control Systems an Evaluation of Flowmon ADS: Technical Report no. FIT-TR-2020-02 Faculty of Information Technology, Brno University of Technology)にまとめられています。
Flowmonは、製造業や公益企業が産業ネットワークの信頼性を確保し、ダウンタイムやサービスの中断を避けるために利用できます。これは、継続的な監視と異常検出によって実現され、サイバースパイ活動やゼロデイ攻撃、マルウェアなどのデバイスの不具合やセキュリティインシデントを早急に報告して修復できるようになります。Flowmonでは現時点で、右の図にあるような関連プロトコル -IEC104, CoAP, Goose, MMS, DLMS- をサポートし、高い費用対効果で、産業用システム分野でも以下のようなエンタープライズクラスの機能セットを利用できるようになりました。
- リアルタイムでネットワークトラフィックを見ることで、ネットワークの利用状況を把握できます。
- 個々の環境・場所の特性に応じた、効率的なレポート作成ができます。
- 脅威やボットネット、ゼロデイ攻撃、パッチ未適用のサービスの悪用など、シグネチャやルールベースのソリューションでは見逃されがちなリスクを、先手で見つけ出します。
- 自動的に異常を検知し、ネットワークのトラブルや設定の問題に迅速に対処します。
Flowmon を活用するメリット
Flowmonにより、以下のようなシステム運用のメリットを得ることができます。
誤作動を起こしたサービスを修復し通常の業務を回復させるために、広範なネットワークを確実に監視し、信頼できる唯一の情報源とトラブルシューティングの機能をFlowmonは提供します。またトラフィックの特性や接続の信頼性、パフォーマンス、コンテンツ属性の掌握が可能となります。Flowmonの利用するNetFlowに基づく、ネットワーク監視の詳細は ブログ「NetFlowとは」 をご参照ください。
Flowmonは署名やルールベースではなく、高度な分析機能を活用し高いセキュリティを担保することで、ネットワーク全体のセキュリティポリシーに対する適用評価を行います。全てのインフラストラクチャやエンドポイントデバイスを幅広く監視し、多様な実装機能を使って機密データを保護し、APTやゼロデイ脅威、高度なマルウェアを検知します。このFlowmonの異常検出技術はGartnerによっても認められています。
適切に配置されたGUI、わかりやすいダッシュボード、ドリルダウン機能により、トラブルシューティングが効率的に行え、高い操作性を甘受できます。 また安全でないデバイスやセキュリティ設計とプロセスの不備、不規則なパッチ適用、古い機器やOSによる攻撃や侵害などを早期に検知して警告し、EPCIPやNISなどの各指令に対応することが可能です。 その他Flowmonでは、特定のニーズに合わせた正確で詳細な自動レポートを提供します。これにより、定期的またはオンディマンドで業務に求められるレポートの出力要求に対応が可能です。
Flowmon SCADA監視およびセキュリティスキーム
技術的な性質から、ファイアウォールとIPSはネットワーク内の特定ゾーン(L2とL3の間)にしか影響を及ぼしません。これは企業ネットワークには効果的でも、SCADA/ICS環境には十分でないとされています。そのため、ネットワーク内で最も重要な部分が依然として脆弱な状態に置かれています。Flowmonは、従来のセキュリティアプローチを超えて、ゾーン内(L2内)の可視性を提供し、トラフィックに対する完全な理解を提供します。(左図参照)
ファイアウォールは、ネットワークの境界とDMZ間の通信を保護しますが、SCADA環境内の可視性や検出は提供されません。SCADAシステムへの侵入や攻撃は、感染したラップトップを持ち込んでネットワークに接続することなど、比較的容易です。しかし、ファイアウォールでは計画されたメンテナンスや悪意のある活動が表示されない可能性があります。
Flowmonは、IPネットワーク内の通信を監視することに特化しています。これにより、SCADAネットワーク内のすべての通信、サーバーとエンドステーション間の通信、およびSCADAサーバーとHMI(Human Machine Interface)間の通信を深く掌握できます。さらに、包括的なトラブルシューティング機能を提供し、機械学習と異常検出技術を活用して、従来のシグネチャが利用できない場合でも、疑わしい動作を検出します。
終わりに
産業用制御システム(OT)と一般業務ネットワーク(IT)の融合を受けて、統合的なネットワークモニタリングがより重要な位置を占めるようになってまいりました。現在IT環境で高いお客様評価をいただいているFlowmonを、OT環境でも是非ご活用ください。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連記事:
- Flowmon社ブログ: OTユーザー事例:EG.D社
- Youtube: ICS/SCADA protection against incoming attack with Flowmon
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
富士通ネットワークソリューションズ株式会社様から見るFlowmonの価値とは?
富士通ネットワークソリューションズ株式会社
様から見るFlowmonの価値とは?
2024年4月1日
オリゾンシステムズでは、高い提案力・技術力を備えたパートナー様と連携し、Flowmonの拡販に努めております。 2016年に日本国内のパートナー制度を開始し、各社パートナー様に拡販をいただきましたおかげで、ユーザ様の拡大とともにFlowmonの良さという部分を広く認知していくことができました。 2024年現在、18社のパートナー様でFlowmonをお取り扱いいただいております。
本記事では、パートナーご担当者様へのインタビューを通して、Flowmonをご存じない方や、お取扱い実績のある企業様・パートナー様へ改めてFlowmonのメリットや魅力/価値をご案内いたします。
今回は、富士通ネットワークソリューションズ株式会社(FNETS) の皆様にお話を伺いました。
御社がパートナーになった経緯について教えてください。
弊社(FNETS)はネットワークとセキュリティを軸にしたトータルソリューションプロバイダーとして、お客様価値/創造を提供しています。FlowmonはNetFlowを採用することで大量のトラフィックを詳細に可視化できる優れたネットワーク可視化製品です。ネットワークトラフィックをリアルタイムで監視し、異常を検知する高度なセキュリティ機能を備えているため、両社の高い技術力を組み合わせることで、お客様に対してより高品質なサービスを提供できると考えパートナーになりました。
Interop Tokyoで知ったことがきっかけでした。それ以前からネットワーク監視製品を探していましたが、当時はSNMP監視のほうが主流でNetFlowは今ほどメジャーではありませんでした。そのような中でFlowmonに巡り合ったのですが、一目で「これだ!」と感じました。今でも私達の業態とマッチしていると思いますし、パートナー契約を推進してよかったです。
御社が思うFlowmonの魅力について教えてください。
大きくは以下の3つのポイントです。 1点目は、高度なネットワーク監視と高い異常監視機能を有している点です。 2点目は、ネットワークのパフォーマンスを最適化できる点です。 3点目は、直感的で使いやすいUIが採用されている点です。 トラフィックを常時リアルタイムで監視することで、ネットワーク異常やセキュリティ侵害を早期に発見でき、迅速な対応を行うことができます。またネットワーク遅延や断続的な接続問題が発生しても、Flowmonは常にデータを取得しており、使いやすいUIにより複雑なネットワーク状況下においても簡潔に運用ができ、結果として業務効率の向上につながっています。御社内でのFlowmon認知度について教えてください。
社内での認知度は非常に高いです。 弊社(FNETS)では独自に導入事例を中心に社内勉強会を開催しており、 BP(ビジネスプロデューサー)やSEに関わらず幅広く紹介しています。また、スポットNW可視化サービスという独自のサービスを提供していることもあり、社内認知度は非常に高いです。
Flowmon導入後のお客様の反響について教えてください。
某ユーザ様では、Flowmon導入以前からトラフィック解析を行う手法はお客様で確立していましたが、調査に非常に時間がかかっていました。「Flowmonを導入後はどこでどのような通信が影響を及ぼしているのかといったような原因の特定が即座に行えるようになった」というお声をいただいています。この種のフィードバックは複数のお客様からいただいており、NetFlow分析は手軽に原因特定ができるソリューションであることを改めて実感しています。
お客様との定例会でSNMPを取得したトラフィックグラフなどを提出した際に、どのような通信内容かわからないことが多く、「たぶん○○かな・・・」といった推測で終わることがあります。しかし、Flowmonを使用することで、誰がどのような通信を行っていたのかが特定できるため、お客様への説明に重宝しています。
また、パケットキャプチャ製品と比較することもありますが、キャプチャは障害発生時にデータを取得する必要があり、常に全てのデータを取得している場合、障害が発生した際に膨大なデータの中から探る必要があるため、時間と労力がかかります。一方、Flowmonでは障害が起こった時間帯のみデータを切り抜いて分析できるため、非常に効率的です。
御社で得意とする業種において、Flowmon導入に至った経緯を1つ教えてください。
特定の業種への偏りはさほどなく、様々な業種のお客様に幅広く導入いただいています。 事例を一つお話しすると、ネットワークがマルチベンダー機器で構成されているお客様から、トラフィックの遅延や障害が発生した場合、どこに問題解決の糸口があるか不明で困っているとご相談をいただきました。まずはネットワークの見える化から着手するためにFlowmonをご提案いたしました。Flowmonであれば、マルチベンダー環境でもネットワークにも影響を及ぼさず、簡単に帯域を占有する通信の特定ができるとお客様に判断いただけて、導入に至ったケースがございました。
Flowmon提案時の強みや弱みについて教えてください。
強みは、既存のネットワーク構成を大幅に変更せずに導入できる点です。 また、トライアル機器をお貸出しいただけることで、お客様に購入前に使用感を体感いただけることも導入の決め手となっています。 弱みは、10Gモデルのプローブの価格が高額なことです。最近は10G環境が一般的になりつつあり、これに伴い関連製品の価格が比較的安価になってきています。しかし、10Gモデルのプローブは価格が下がらないため、提案しても価格面で検討から外れてしまうことが何度かありました。機会損失を最小限に抑えるため機器の費用を見直していただきたいと考えています。 また、プリセット機能についても改善の余地があると思います。 ユーザ様が既知のクラウドサービスであれば、プロファイルを作成する必要がないため非常に便利な機能です。しかし、情報が更新された際には手動で更新しなくてはならない点や、定義が変わると過去の解析結果が得られない点については改善していただきたいです。
今後、Flowmonに期待する機能等ありましたら教えてください。
現状、NDR面を踏まえてご提案を行う際には、FlowmonADS単体では遮断機能が備わっていないため、他製品と連携してご提案をしています。しかし、単体で遮断可能であれば、よりセールスのハードルが低くなり、販売機会の向上と共にADSの価値を更に高めることができると考えています。また、SOCサービスを立ち上げていただけると、お客様での運用ハードルが下がるため、更に営業しやすいと思います。
基本的なネットワークの可視化だけではなく、更に付加価値をつけてオブザーバビリティを意識した機能を追加していただきたいです。 直近では過去三週間の平均値を取得できるようになりましたが、他にも可視化し提示できる情報はあると考えています。 また、プローブをFlowmon製品として開発している優位性を生かして、一般的なNetFlowでは見ることが出来ない項目を増やし、コレクタとのシナジーを強化していただきたいです。
今後弊社やメーカーに求めることはありますか。
業種毎の導入事例を拡充していただきたいです。営業会議などで導入事例として、お客様の課題に対してどうマッチしてどのような効果があったかを紹介できると、同じような課題を抱えるお客様への横展開がスムーズになると考えています。また、最近では振る舞い検知プラグインであるADSの案件も増加しています。ADSを導入していたことで、セキュリティインシデントが未然に防げた、このような事例があると社内でも展開しやすいです。
最後に、意気込みを一言お願いします。
ネットワークトラブル調査や今後の設備プランニング、そしてセキュリティインシデントへの対応など、様々な課題に対して大いに役立つソリューションだと感じています。こういった課題でお困りのお客様の助けとなるべく、BPやSEが訴求・アプローチしやすくなる仕掛けをこれからも考え、実現していきたいと考えています。
終わりに
この度、Flowmonの販売パートナーである富士通ネットワークソリューションズ株式会社様へインタビューをさせていただきました。お客様とより近い距離で接していただいているパートナー様の生の声を聞かせていただくことで、改めてFlowmonの強みや弱み、要望機能などについて大変有意義なお話をお伺いすることができました。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
取材担当:プリセールス 惣田、営業 渡辺
関連コラム記事:
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
v12.03.05 脆弱性対応
既知の脆弱性の影響について
Flowmon バージョンVer.12.03.04以下およびVer11.01.13以下に重大なセキュリティ脆弱性が存在することが確認されました。
- 概要
- 詳細
- 対策方法
- Flowmon Ver.12.03.05
(Ver12.00.00~Ver12.03.04をご利用の場合) - Flowmon Ver.11.01.14
(~Ver11.01.13をご利用の場合)
認証されていない攻撃者がFlowmonのWebインターフェイスにアクセスすることで、
Flowmonアプライアンス上で任意のシステムコマンドを実行できる脆弱性が発覚しました。
この脆弱性のFlowmonへの影響についてご説明します。
Flowmon バージョン Ver.12.03.04以下およびVer11.01.13以下の場合、この脆弱性の影響を受けます。
現時点では、本脆弱性が悪用されたという報告は受けておらず、直接的な運用上の影響は確認しておりません。潜在的な脅威に対して環境を強化するために、できるだけ早く脆弱性対策パッチが適用されたバージョンを適用することをお勧めします。
脆弱性対策パッチが適用されたバージョンは次のとおりです。
当社(Progress)はVer.12.03.04以下およびVer11.01.13以下を実行しているすべてのお客様にセキュリティ強化ガイドラインに従いこの更新プログラムを適用すること強く推奨します。