フローを使ったネットワークログ分析ではここまでできる！

フロー分析技術を活用したファイルサーバのレスポンス悪化の原因調査

インターネットの利用状況調査

フロー分析技術（NetFlow）を活用した定期分析レポート

標的型攻撃および情報漏洩対策

関連ページ

■製品紹介
Flowmon コレクタ

Flowmonによるフローセキュリティのススメ

日本は不正アクセス天国？

昨今、日本では、企業のサイトやサービスを狙った不正アクセス・情報漏洩などといったセキュリティ事件の発生が後を絶ちません。
また、こうしたセキュリティ事件の被害を受けたといわれる企業名のリストを眺めてみますと、
そこには日本を代表するような組織や団体が数多く含まれており、今やどんな企業であっても、
「うちは大丈夫！」と胸を張って言えるところは少ないのではないかとさえ思えます。
実際のところ、ほとんどの企業では、頻発する他社のセキュリティ事件に戦々恐々としては、
「明日は我が身」とばかりに、不正アクセスや情報漏洩対策に躍起となっているのではないでしょうか。

セキュリティ事故の発生要因

このタイプの攻撃は、巧妙すぎるために、ユーザが攻撃を受けていることに全く気がつかなかったり、ファイアウォールやアンチウイルスソフト、IPS/IDSなどといったセキュリティ製品では検知できなかったりするのです。（※1）

信じる者は救われる？ 過信は禁物？

では、こうした従来のセキュリティ製品は、現在におけるセキュリティ対策として、まったく意味のない
ものになってしてしまったのでしょうか？
いいえ、そうではありません。ファイアウォールやIPS/IDS、アンチウイルスは今でも大変有効であり、
現在においても第一に導入すべき対策です。
しかし、それらの機能にもう一つの要素を加えることで、格段にセキュリティレベルを押し上げることが出来るようになります。
それが、防犯カメラ的セキュリティ要素です。
実は日本のネットワークシステムのセキュリティ対策は、この防犯カメラ的セキュリティ要素の部分が
すっぽり抜け落ちてしまって、不完全な状態となってしまっている残念なケースが大変多いのです。

以下のネットワークセキュリティ対策における３大要素では、ファイアウォールやIPS/IDSを、外部からの攻撃を水際で防ぐ「境界セキュリティ」としてとらえ、アンチウイルス対策やアプリケーションの脆弱性
対策をサーバ/クライアント側の「エンドポイントセキュリティ」としてとらえています。
その上で、ネットワーク全体のセキュリティを強化するために、さらにもう一つの防犯カメラ的要素である「LANの可視化（フローセキュリティ）」をも加えることを提唱しています。

フローセキュリティによる振る舞い検知

ネットワークにおける防犯カメラはなぜ有効か？
防犯カメラの犯罪抑止効果は良く知られていますが、同様の効果がLANの可視化で得られます。
NetFlowなどのフロー統計技術を活用したフロー解析を行うことで、ネットワーク上で、
誰が・いつ・どこで・何をしたかを監視することが可能になり、ユーザの不用意な行動（不審なサイト、
外部IPアドレスへのアクセスやP2P通信、ファイル共有、違反行為）を抑制できます。
また、ファイアウォールやIPS/IDSの内側から発信される攻撃やワームの発見、望ましくないユーザの
振る舞い、ネットワーク障害などといったことを簡単に検知できるため、内部乗っ取りによる攻撃にも
効果を発揮します。
さらに、情報漏洩の予兆的な動きを検知することで、操られた不審ホストを特定し、そのホストが重要な
情報にたどり着きセキュリティ事故が発生する前に（※2）、そのホストをネットワークから切り離すこともできます（検疫状態）。
さらには、フローによる通信ログを残すことで、情報漏洩や不正アクセス事故発生時の証跡確認・照合にも利用でき、痕跡を残さないタイプの不正アクセスがあった際にも、被害範囲の特定や手口の分析にも活用
することができます。

Flowmon ADS（Anomaly Detection System）によるフローセキュリティとは

NetFlow技術をベースにしたフロー統計情報の定常的な評価および汎用的な振る舞いリストとの
比較により、ネットワーク上の異常や望ましくない動きをいち早く検出し、乗っ取りや不正アクセスの
兆候を知らせます。
そうすることにより、ファイアウォールやIPS/IDSで守られたネットワーク内部のセキュリティをさらに強化することが可能です。

SIEM（セキュリティ情報イベント管理）システムとの連携も

また、Flowmon ADSやコレクタで検知したアラートを、社内のSIEM（セキュリティ情報イベント管理）システムに飛ばすことで、これまで見落としがちだった、各ネットワークの監視モニタ的視点を、セキュリティ監視ポイントの一部として取り込み、より充実したSIEMシステムを構築することも可能です。

ますます巧妙になってくる昨今のサイバー攻撃を100%完璧に防ぐことは難しいかもしれません。
しかし、完璧ではなくても、100%に近づけるように努力することは出来ます。
また、万一事故が発生してしまった際に、被害を最小限にとどめることや、事故後の対応・調査を
スピーディーに行い、信頼をいち早く回復させる道筋を、あらかじめ用意しておくことも可能です。
フローセキュリティは、そうした企業・団体側のセキュリティに対する真剣な取り組みを、強力に
支援することのできる技術なのです。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

～いつ・誰が・どこで・何をしたのか～

NetFlow（ネットフロー）によるネットワークトラフィック監視

NetFlowとは、米シスコシステムズ（Cisco Systems,INC.）が開発した、ネットワークのトラフィックの
情報を監視・分析するための技術です。
主にシスコ製のルーターやスイッチに実装されていますが、現在では、フロー計測における業界の標準と
なりつつあり、多くのベンダーのネットワーク機器でサポートされるようになっています。
NetFlowなどのフロー情報を分析することで、操作上またはセキュリティ上の問題を明らかにし、
外部または内部のネットワークセキュリティを強固にします。

ネットワークにおけるフローおよびフロー計測とは

ネットワークトラフィック分析におけるフローとは、ネットワーク上を流れる共通の属性をもった
パケットグループのようなものです。
たとえば、送信元／送信先IPアドレス、送信元／送信先ポート番号、プロトコル番号などの属性が
共通であれば、そのパケットは同一のフローとしてみなされます。
わかりやすい例では、あるユーザがサーバにファイルをアップロードしたとしますと、その場合の処理は
1フローとして見なされます（パケット単位でみると、共通の属性をもった複数のパケットの
あつまりになります）。
このフロー情報を解析することで、ユーザやアプリケーション単位でのトラフィックの監視・分析が
可能となるのです。

従来のトラフィック分析との違い（SNMPとNetFlowとパケットキャプチャ）

従来からあるネットワークトラフィックの分析では、SNMP(Simple Network Management Protocol)によるインターフェース単位のトラフィック総量を計測するのが主流でした。
しかし、近年、ネットワーク使用目的の多様化・複雑化、さらにはセキュリティに対する関心の高まり
から、インターフェース単位のトラフィック総量だけではなく、ユーザやアプリケーション単位での
トラフィックや振る舞いを、監視・分析したいという要望が高まってきました。
NetFlowを利用した解析では、フロー単位でネットワークトラフィックの状況を把握することが
可能なため、ネットワーク内部の振る舞いを可視化できる技術として注目を集めています。
SNMP以外にも、ネットワークのトラフィックを解析する手法として、パケットキャプチャがあります。
パケットキャプチャによる解析は、ネットワーク上に流れるパケットのヘッダ情報だけでなく、
ペイロード（実データ）部分ごと取り込んで（キャプチャして）、トラフィックを解析します。
パケットキャプチャによる解析では、流れるパケットの内容を、すべて把握することができるため、
詳細な分析が可能です。
しかし、データ量があまりにも膨大になるため、大規模・大容量のネットワークトラフィックを
リアルタイムで監視・分析するのには不向きと言われています。
また、分析者が実際のデータ（通信やメールの内容）を参照することになるため、プライバシー上
問題になるケースもあります。
とくにISPやASP事業者では、顧客のプライバシーを侵害する恐れがあり、利用するには十分な注意が
必要です。
その点、NetFlowによるトラフィック分析は、実データを取り込むわけではないので、
大規模・大容量のトラフィックにも対応した効率的で高速なトラフィック解析が可能で、かつ、
顧客のプライバシーにも配慮した理想的な手法といえます。

どのように活用する？

フロー分析を行うことで、ユーザ単位・ネットワーク単位（レンジやサブネット単位）・アプリケーション単位・プロトコル単位で、現在のネットワーク帯域使用の問題点や改善すべき点をピンポイントで把握することができます。そのため、効率的で効果的なネットワークの問題解決およびキャパシティプランニングに活用できます。

また、ネットワークフローの通信ログを残すことで、ネットワーク内部の各フローの振る舞いを完全に把握することができ、情報漏洩（漏えい）や流出時の通信ログの証跡確認にも利用できます。
さらに、誰が・いつ・どこで・何をしたかを把握することができるため、社内ネットワークの規律保持にも活用できます。（Flowmonでは、フローのサンプリング（間引き）設定を行う必要がなく、すべての通信ログを保持することが可能です。）

その他にも、フロー分析技術を活用することで、ネットワーク上で望ましくない振る舞いをしている
ユーザや機器、アプリケーションを特定することができます。
たとえば、特定の送信先に対する大量の接続要求がみられたり、通常使用されないマルチキャスト送信が
頻繁に行われていたりする場合などは、DoS(Denial of Service)攻撃、DDoS(Distributed Denial of Service)攻撃、ポートスキャン攻撃などの不正な行いを疑うことができます。（Flowmonでは、Flowmon ADSプラグインを使用して、こうした振る舞い検知を実現しています。）

関連ページ

■製品紹介
Flowmon コレクタ