2025年3月3日

はじめに　※今回Flowmonの解説は出てきません！

HTTPはWeb上でデータを通信するために利用されているプロトコルであり、インターネットの閲覧には不可欠となっています。しかしながらHTTPは通信が暗号化されないことや認証機能を備えていないことから、安全性の高いプロトコルとは言えません。このセキュリティ面の課題を解決するために生み出されたのがHTTPSです。HTTPSは厳密にはプロトコルではなく、SSL/TLSという暗号化プロトコルを組み込むことで安全性を確保した、”セキュアなHTTP通信”のことを指します。近年では重要なデータをやり取りするログインページ等のほかにも、Webサイト内のすべてのページをSSL化する常時SSL化の動きが広まっています。HTTPSの使用率は日本では95%（2025/2/8時点、※1）にも上り、セキュアな通信が当たり前の時代になっているといえます。

通信の高い安全性が求められる一方で、ネットワーク管理者の立場からは「インターネットへ向けたLAN内の通信を可視化したい」というような相反するニーズも存在します。そこで本コラムでは今月と来月の二回にわたり、HTTPSの秘匿された通信がトラフィック可視化ツールFlowmon上でどのように視えるのかを解説いたします。まずパート1となる今月はHTTPSの基礎解説編として、どのような仕組みで暗号化通信が行われているのかの解説を行います。（ですので今回Flowmonの解説は出てきません！）Flowmonを用いたHTTPS通信可視化については、来月公開予定のパート2実機検証編にて詳しくご紹介いたします。

HTTPS通信の流れ

次の図は、HTTPとHTTPSそれぞれの通信シーケンスの概略図です。

基本的な流れとしては、クライアント-Webサーバ間のTCP接続が確立した後、HTTP通信でクライアントからのリクエストとサーバからのレスポンスがやり取りされます。HTTPSの場合では間にSSL/TLSハンドシェイクと呼ばれるネゴシエーションが入り、ここで暗号化に必要な情報が交換されます。バージョンによって暗号化される範囲が異なり、TLS 1.2以前ではHTTPS通信部分のみ、TLS 1.3以降ではSSL/TLSハンドシェイクの途中からが暗号文を用いた通信となります。SSL/TLSハンドシェイクでは認証/暗号化アルゴリズムの合意に加え、暗号化を行うカギの交換や接続先の認証も行われます。これらについて、以降の章で詳しくご説明していきます。

共通鍵と公開鍵/秘密鍵

暗号化に用いるカギによって共通鍵暗号方式と公開鍵暗号方式という2種類の暗号方式が存在し、HTTPSではこれらを組み合わせたハイブリット方式が用いられています。

共通鍵方式は暗号化と復号を共通のカギで行うもので、公開鍵方式と比べて処理速度が速いというメリットがあります。しかし、送信者（暗号化する側）と受信者（復号する側）以外の第三者にカギが渡ってはいけないため、通信相手が増えるほど必要なカギの種類も増え、管理が複雑になります。加えて、カギの受け渡しの際も漏洩を防ぐよう十分に注意する必要があります。
それに対して公開鍵暗号では2つのカギのペアを使い、暗号化/復号をそれぞれ別のカギで行います。一方のカギで暗号化されたものはもう一方でしか復号できず、その逆も同様です。公開鍵方式では、このペアのうち片方をだれでも取得できる公開鍵とし、もう片方は秘密鍵として生成者のみが保有します。こうすることで、暗号化は公開鍵を利用して誰でも行えますが、復号は秘密鍵の所有者（受信者）にしかできない仕組みになっています。この方式の特徴として、公開鍵では復号ができないため盗聴されても問題なく、共通鍵方式のデメリットであった暗号鍵受け渡し時のリスクが解消されます。さらに、複数の送信者で暗号鍵の共用が可能となり、通信相手が増えても複数のカギを用意する必要がなくなります。しかし、暗号化と復号を別々のカギで行うことで処理速度が低下するというデメリットもあります。
HTTPSでは公開鍵方式と共通鍵方式を組み合わせて暗号化通信を行います。次の図ではTLS 1.2以前のカギ交換の概略を説明します。

1. まずクライアントからの接続要求があると
2. Webサーバは応答として公開鍵を送付します。
3. 次にクライアントは暗号化通信に利用する共通鍵を生成し、
4. 受け取った公開鍵を用いてこれを暗号化します。
5. その後、暗号化した共通鍵をクライアントからサーバに送付します。
6. サーバは受け取った共通鍵を自らが保有する秘密鍵で復号することで暗号鍵の受け渡しが完了し、
7. 暗号化通信（HTTPS通信）が開始されます。

暗号化通信には共通鍵暗号方式を利用することで処理速度を向上し、共通鍵の受け渡しに公開鍵暗号を使うことで機密性が確保される仕組みとなっています。ちなみに、公開鍵暗号にはいくつか種類があり、ここで共通鍵の受け渡しに利用されているのはRSA暗号を用いたものとなっています。TLS 1.3以降ではDH（Diffie-Hellman）鍵交換という公開鍵方式の技術を用いることで、共通鍵を送付するのではなく、サーバとクライアントの双方が個別に同一の共通鍵を生成することが可能となっています。ただし、DHには認証機能がないためサーバの認証を行うためにRSAも利用されています。
ここで認証機能という単語が出てきましたが、公開鍵暗号ではデジタル署名という技術で通信相手の認証を行うことができます。前述のように公開鍵と秘密鍵は暗号化/復号の役割を入れ替えることができるため、秘密鍵で暗号化した物を公開鍵で復号することができます。公開鍵は誰でも入手できるため機密性の観点からはあまり意味のない行為ですが、通信相手から提供された公開鍵で復号できるということは、その暗号化を行った秘密鍵と自らが入手した公開鍵が対になっていることの証明になります。したがって、暗号化を行った人物と公開鍵を送付した人物が同一であることが保証できます。このように秘密鍵で暗号化を行うことをデジタル署名と呼びます。
TLS 1.3以降で行われているDH鍵交換では、サーバとクライアントがお互いにDH公開鍵/秘密鍵のペアを用意し、それぞれのDH公開鍵を送付しあいます。これらのDH鍵交換を用いた共通鍵の生成に関しては今回割愛させていただきますが、この時のDH公開鍵の交換においてサーバ側はDH公開鍵をRSA秘密鍵で暗号化（署名）して送付します。これを受信したクライアントは、先に受け取っているRSA公開鍵でDH公開鍵（SV）が復号できるかどうかでサーバのなりすましがないかを確認できます。

サーバ証明書

SSL/TLSにおいて、WebサーバのRSA公開鍵はサーバ証明書というものに含まれた状態で送付されます。この証明書はWebサーバが正当な接続先であることの証明（実在証明）に用いられ、RSA公開鍵を安全に送付する手段にもなっています。デジタル署名を用いたDH鍵交換では、DH公開鍵を暗号化した人物とRSA公開鍵を送付した人物が同一であるかを確認できましたが、そもそもRSA公開鍵が改ざんされていた場合はなりすましに気づくことができません。サーバ証明書を用いることでRSA公開鍵が正当なWebサーバのものであることが保証されます。サーバ証明書は認証局（CA、Certificate Authorities）という「無条件で信頼される第三者」により発行され、これらの機関によってサーバの実在証明やRSA公開鍵の正当性の保証が行われます。
証明書を受け取ったクライアントは以下を確認することで正当性をチェックします。

• 自分が所有するルート証明書とサーバ証明書に含まれる発行局の情報の比較（証明書の発行者が信頼できるか）
• デジタル署名の確認（証明書の発行者がなりすまされていないか）
• ハッシュ値の検証（証明書自体が改ざんされていないか）

ルート証明書とはWebブラウザにあらかじめインストールされている「信頼できる認証局の情報」のことで、サーバ証明書に記載されている発行局の信頼性を確認します。
デジタル署名はWebサーバのなりすましだけでなく、認証局のなりすまし検知にも利用されます。前述のルート証明書には認証局が生成する公開鍵が含まれており、これを使ってサーバ証明書に含まれる認証局のデジタル署名が検証されます。
また、ハッシュ値とはデータの改ざん検知に使われる情報で、RSA公開鍵を含むサーバ証明書が改ざんされていないことを確認します。ハッシュ値を計算する関数をハッシュ関数といいますが、これは入力値をもとに「入力値を代表する値（ハッシュ値）」を出力します。より具体的な例では、入力値「FLOWMON」に対して「一文字おきに文字を取り出す」という操作を行うと出力値（ハッシュ値）は「FOMN」となります。改ざんの検知においては、やり取りするデータに対して送信側と受信側で互いにハッシュ値の計算を行う、即ち送信前と受信後のデータからハッシュ値をそれぞれ計算し、これらを比較します。ここで、データが通信途中で「FLOW”N”ON」と改ざんされていたとすると、受信側で出力されたハッシュ値は「FONN」となり改ざんされていることに気づくことができます。もちろんここで示した「一文字おきに文字を取り出す」という関数は実用的ではなく、「FLOWM”A”N」という改ざんに対しては同じハッシュ値「FOMN」が出力されてしまう（衝突）などの問題があります。実際に用いられるハッシュ関数ではより工夫が必要になります。
それでは、サーバ証明書が実際にどのように利用されているか、通信全体の流れをご説明いたします。

まずサーバ証明書の発行を行うフェーズでは、①Webサーバの運用者がサーバの情報とともにRSA公開鍵を認証局に提出して申請します。②認証局により承認されるとWebサーバのRSA公開鍵が入れられたサーバ証明書が発行されます。③証明書を受け取ったWebサーバ運用者はサーバ上に証明書を設置します。続いてクライアントとの通信を行うフェーズでは、⓪前提としてクライアントは認証局からルート証明書を入手しています。①クライアントの接続要求に対して、②サーバは証明書を送付します。これを受け取ったクライアントは③ルート証明書との照会と、ルート証明書から取り出した公開鍵（CA）を使って④デジタル署名の検証、及び⑤ハッシュ値の検証を行います。ここで証明書の正当性が確認できれば、証明書に含まれる公開鍵（SV）が正当なものであることがわかるため、図4や図5のカギ交換に移ることができます。

Flowmonにおける暗号化（HTTPS）通信の視え方

フロー生成機Flowmon Probeを利用することで、HTTPホスト名といったHTTP通信の情報を可視化することができますが、HTTPSの暗号化通信の場合はどうでしょうか。Flowmonでは、SSL/TLSハンドシェイクの拡張機能であるSNI（Server Name Indication）という情報からHTTPホスト名を取得しています。このSNIというのは、SSL/TLSハンドシェイクにおいてクライアント側が接続したいWebサイトを指定するための情報です。一般に、一つのWebサーバでは複数のWebサイトをホストしています。このような場合、同じIPアドレスに対して複数のサイトが、更にそれらのサーバ証明書もそれぞれ存在することになります。したがって、正しいサーバ証明書を送付するためにはHTTPホスト名をSSL/TLSハンドシェイクの時点で指定する必要があります。この役割を担うのがSNIとなります。クライアントからの接続要求を受け取ったサーバは、SNIを読むことでどのサイトの証明書を送付すべきなのかが分かります。このやり取りはSSL/TLSによる暗号化の前に行われるため、HTTPSの通信においてもFlowmonによってHTTPホスト名を取得することができます。
しかし、近年ではSNIのやり取りから暗号化を行うESNI（Encrypted SNI）と呼ばれるものも登場し、Flowmonでは現状これを可視化することはできません。このようなFlowmonを用いて可視化できる通信とできない通信について、来月公開予定のパート2で詳しく検証できればと思います。

おわりに

本コラムでは、HTTPS通信で用いられている共通鍵暗号、公開鍵暗号やサーバ証明書などの仕組みをご紹介しました。パート2のFlowmonにおけるHTTPS暗号化通信の可視化検証編の前知識にもなるかと思いますので、ご参考になれば幸いです。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

2025年2月3日

 REST APIはアプリケーション間のデータ交換手段として広く利用されており、現代のWebサービスやアプリケーション開発を支える重要な基盤といえるでしょう。REST（REpresentational State Transfer）とはソフトウェアのアーキテクチャスタイルの一つであり、6つの基本原理（クライアント-サーバ、ステートレス、キャッシュ、統一インターフェース、階層型システム、コードオンデマンド）により定義されます。この設計理念に基づいたREST APIは、シンプルかつスケーラブルものとなります。
 ”RESTful”なAPIは、その柔軟性や拡張性の高さから第三者による二次利用のハードルを下げ、効率的なアプリケーション開発を実現します。現在では、多くの企業が自社サービスのAPIを公開しています。開発者はこれら既存のサービスを構成する「機能」を個別に「再利用」することで開発の手間を省き、様々なシステムを統合して新たなサービスを作り出すことも容易にできるのです。
 本コラムでは、Flowmonが公開しているREST APIの一部をご紹介いたします。Flowmonをより便利に利用するシステムづくりのヒントになれば幸いです。

Flowmon REST APIガイド

 FlowmonのWeb GUIから、公開されているREST APIガイドを確認することができます。ADSやFPIなどのプラグインモジュールも含めると300個以上のメソッドが公開されており、ブラウザ上からコマンドを送信することもできるためCLI操作に慣れていない方でも手軽にAPIを試していただけます。

トークン発行

 APIコマンドを送信する際はユーザ認証のためのアクセストークンが必須となります。APIガイド上ではページ上部の「Authorize」ボタン、または各メソッドの右側にある南京錠マークをクリックすると認証情報を入力するポップアップが表示されます。

認証が成功すると、下図のように南京錠マークが閉じ、コマンドが実行できるようになります。

 CLIで実行する場合は、下記のコマンドを使用してトークンを発行します。他のコマンドを送信する際に、取得したアクセストークンをcurlのヘッダーオプションとして付加します。なお、Flowmon OSでは自己証明書を用いており、そのまま実行しようとするとcurlのSSLエラーではじかれてしまうので、-kオプションを付ける必要があります。

curl -X 'POST' -k 'https://<flowmon_address>/resources/oauth/token' \
  -H 'accept: application/json' \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'grant_type=password&client_id=invea-tech&username=<username>&password=<password>' | jq

画像はコマンドの実行例です。有効期限86400秒（24時間）のアクセストークンと、リフレッシュトークン（有効期限はデフォルトで2日間）が発行されました。

解析の実行

 次のコマンドでは、Monitoring Centerの統計情報解析を実行します。に統計基準、に並べ替え基準、に集約といった形で、Web GUIでの解析と同様の条件指定をすれば問題ありません。

curl -X 'POST' -k 'https://<flowmon_address>/rest/fmc/analysis/statistics' \
  -H 'accept: application/json' \
  -H 'Content-Type: application/json' \
  -H 'Authorization: Bearer <access_token>' \
  -d '{
    "search": {
      "from": "<start_time>",
      "to": "<end_time>",
      "profile": "<profile_id>",
      "channels": [
        "<channel_id#1>", "<channel_id#2>", ...
      ],
      "statistics": {
        "statistics": "<statistics>",
        "orderBy": "<order_by>"
      },
      "specific": {
        "aggregateBy": [
          "<aggregate_by#1>", "<aggregate_by#2>", ...
        ]
      },
      "filter": "<filter>"
    },
    "showonly": <number_of_displays>
  }' | jq

画像の実行例では、プロファイルに「All Sources（CLI上の表記はlive）」、統計基準に「IP通信（record）」を選び、「送信元IPアドレス（srcip）」及び「宛先IPアドレス（dstip）」で集約しています。このコマンドを送信すると、出力として解析結果のIDが返されます。

 解析結果の確認は次のコマンドで行います。に前述のIDを入力することで、解析結果が出力されます。

curl -X 'GET' -k 'https://<flowmon_address>/rest/fmc/analysis/results/<result_id>' \
  -H 'accept: application/json' \
  -H 'Authorization: Bearer <access_token>' | jq

実行例では、通信の開始時間（ts）と期間（td）、送信元IP（srcip）、宛先IP（dstip）、パケット数（pkt）、バイト数（byt）、フロー数（fl）が確認できます。

 Web GUIを用いて同じ解析を行った場合と見比べてみましょう。CLIでの解析と同じ結果が得られていることがわかりますが、バイト数の値が若干異なっているのはCLIではバイト単位、GUIではメビバイト（MiB、2の20乗バイト）単位で表示しているためです。

トラフィック量の出力

 次のコマンドでは、トラフィック量を取得することができます。には出力したいトラフィック値として「traffic」や「packets」、「flows」が指定できます。また、は数字のID（0：すべて、1：ICMP、4：IPv4、6：TCP、等）で指定します。

curl -X 'POST' -k 'https://<flowmon_address>/rest/fmc/analysis/chart' \
  -H 'accept: application/json' \
  -H 'Content-Type: application/json' \
  -H 'Authorization: Bearer <access_token>' \
  -d '{
    "search": {
      "from": "<start_time>",
      "to": "<end_time>",
      "profile": "<profile_id>",
      "channels": [
        "<channel_id#1>", "<channel_id#2>", ...
      ],
      "chart": {
        "measure": "<measure_value>",
        "protocol": <protocol_id>
      }
    }
  }' | jq

出力結果はプロファイルの粒度単位でのトラフィック量となり、実行例では5分粒度プロファイルで10分間を指定したため、5分ごとの値が2つ出力されています。

 Web GUI上では、トラフィックグラフ上で同じ値を確認できます。

まとめ

 本コラムではFlowmonのREST APIについてご紹介しましたが、ここでお見せしたコマンドはほんの一部です。ほかにもたくさんの機能があり、トラフィック状況に応じたネットワーク機器との外部連携やデータ出力のカスタマイズ、設定の自動化などアイデア次第で多様な活用方法が考えられます。Flowmonをもっと便利に使いたい！という際は、ぜひFlowmon REST APIをご活用ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

2025年1月6日

現代のネットワーク環境において、トラフィックの可視化と分析はネットワーク管理者にとって必要不可欠な要素となっています。正確な分析を行うためには、トラフィック状況やリソースの使用状況など様々な情報が必要になります。ですが、分析データを収集して整理し、わかりやすい形式でまとめる作業には多くの労力を要し、定期的に発生するタスクは長い期間で考えると、実に多くの時間を費やすことになります。
本コラムでは、Flowmonのダッシュボード＆レポート機能を利用することで、これらの定期作業を効率的にする方法をご紹介させていただきます。

直感的な監視を実現するダッシュボード

Flowmonのダッシュボードの特徴は、何と言ってもその高いカスタマイズ性にあります。トラフィック量、プロトコル分析、アプリケーション使用状況など、必要な情報を一画面に集約して表示できます。気になるトラフィックデータをクリックすることで、該当の通信に絞り込み、詳細解析画面にシームレスに遷移することも可能です。そして、直感的な操作性もポイントの一つです。ドラッグ＆ドロップによるサイズ調整や配置変更が簡単に行えるため、運用管理者それぞれの好みに応じた使いやすい画面構成を構築できます。

レポート機能による業務効率化

レポート作成は運用管理者の重要な業務の一つですが、Flowmonはこの作業を大幅に効率化します。スケジューリング機能を利用することで日次・週次・月次等での定期レポートを自動作成できます。これにより、Flowmonへアクセスしなくても、重要なトラフィックのサマリーデータを定期的に取得することができますので、レポート作成業務に追われることなく、運用管理者の働き方改革にも貢献します。
レポートの出力先は、指定のメールアドレスへの送信や外部データストレージへの保存を選択できます。PDF/CSV形式でのエクスポートに対応しており、月次のトラフィック使用状況の記録や、定例会での報告資料として幅広く活用できます。また、過去のトレンド分析や監査対応の際にも、過去のレポートが有用なデータソースとなります。

レポートの定義方法

レポートを作成するためには事前にプロファイルを作成する必要があります。プロファイルとはFlowmonに保持されるフロー情報をあらかじめフィルタ条件で定義付けすることで、プロファイルデータとして管理し、複数のフロー情報をグルーピングする機能です。例えばLAN内の通信がセグメント単位で構成されている場合、プロファイルでグループ化することで拠点単位での通信の可視化を簡単に行うことができます。その他にもHTTPホスト名を指定すれば、該当アプリケーションの通信量や使用したユーザを特定することもでき、お客様のニーズに合わせたプロファイルを作成できます。プロファイルを基にレポートの出力内容を定義します。表示形式はTOP(n)形式かトラフィックグラフ形式から選択でき、必要な項目を組み合わせることで、情報量の豊富なレポートを作成できます。例えば、「利用の多いホストTOP10」や「拠点内での直近1週間のトラフィック量」といった具体的な分析ができます。また、出力内容や形式は複数パターンから選択できるため、既存で利用しているレポートから内容を大きく変更せずにFlowmonのレポートを作成することができます。

トラブルシューティングにおける活用事例

ネットワークの問題解決においてFlow分析は非常に効果的なアプローチとなります。ダッシュボードや定期的なレポートを活用することで、特定の時間帯におけるトラフィックがひっ迫していることや、特定のアプリケーションで頻繁に発生している遅延など、問題の兆候や原因を早期に発見できます。問題発生後にパケットを取得して解析するより効率的に問題の根本原因を把握できます。

最後に

Flowmonのダッシュボード＆レポート機能は、日々複雑化するネットワーク環境の可視化と効率的な運用管理を実現します。直感的な操作性によるスムーズな管理性と、自動化されたレポート作成機能を備えているため、日々の業務効率化に大きく貢献します。 今後ネットワーク環境がさらに複雑化していく中で、Flowmonは運用管理者にとって強力なパートナーとしての役割を果たすことが期待できます。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事：

• Flowmonコラム: 見えないものを見える化！ネットワーク可視化の重要性
• Flowmonコラム: サンプリングレートによる解析結果の変化

2024年11月01日

はじめに

昨今、コンピュータ性能向上や利用目的の多様化、接続されるホスト数の増加により、ネットワークトラフィックは日々増大しています。ネットワーク監視やトラフィック解析のニーズも相まって、ネットワーク全体のトラフィックを可視化するためには大規模なストレージが求められるようになってきています。HDDの価格は一昔前に比べればはるかに安価となっていますし、またNetFlowの情報はパケットのヘッダー情報のみを参照する為、パケットキャプチャに比べればはるかにデータ量は少ないですが、有限なストレージを有効活用する為、Flowmonのお客様でもFlow生成時のパケットサンプリングを検討されることがあります。パケットサンプリングは一般的な技術として広く認知されていますが、信頼性はサンプリングレートの設定に大きく依存しており、適切な設定を行わないと解析結果が大きく変わってしまう可能性があります。パケットサンプリングについては、お客様からしばしばお問合せがありますが、適切な回答が難しく、改めて弊社環境を用いて検証しました。
※あくまでも弊社検証環境における結果であり、お客様の環境によっては異なる結果となる可能性があります。

サンプリングレートとは

まずサンプリングレートについて説明します。NetFlow界隈におけるパケットサンプリングとはトラフィックとして流れるパケットをどのような粒度で収集するかを決定するパラメータです。例えば、1:1000のサンプリングレートは、1000パケットに1つ、1:4000のサンプリングレートでは4000パケットに1つのパケットを収集しFlow化することを意味します。つまり、サンプリングレートが高いほど、参照されないパケットが増え、ネットワークの詳細情報は少なくなります。これにより、生成されるFlow数が少なくなりFlowを保存するストレージが節約できます。一方、サンプリングレートが低いと、詳細な情報が得られる代わりにFlow数が増え、大容量のストレージが必要になります。

検証内容及び前提

以下の前提で弊社環境でのデータをもとに、異なるサンプリングレートが解析結果に与える影響を検証します。
• 本検証では同一のトラフィックを、異なるサンプリングレートでFlow生成しA（サンプリングなし）とB（サンプリングレートを動的に変更）の差分を比較し百分率で表示する。
• A、B共にサンプリングレート0の場合の差分は0として扱う。
（補足）FlowmonでサンプリングされたFlowを受信した際の処理について
トラフィック量にパケット数にサンプリングレートの倍率を乗算することで実際に流れたトラフィック量として出力します。

検証結果・解釈

今回の検証ではサンプリングレートが高くなるほど誤差が大きくなり、事前に想定していた通りの結果となりました。低いサンプリングレートでは、比較的正確なトラフィックパターンを出力します。反対にサンプリングレートが高いと誤差は増加傾向となります。全体的なトレンドや傾向把握では大きな問題にはなりませんが、異常トラフィックを見逃す可能性が増加します。

実際の事例

まとめ

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

関連情報

コラム記事：
Flowmon製品のお客様評価
ランサムウエア検知でのADSのシナリオ
ランサムウェア脅威への対策

2024年8月1日

ネットワークは今日のビジネスにおいて業務効率化や生産性の向上を図るため、なくてはならない重要な基盤となっています。誰しもが当たり前に利用しているネットワークですが、その複雑さは日に日に増しており、状態を把握することは簡単ではありません。インターネットは毎日利用しているものの、ネットワーク可視化に手を付けていなかったり、SNMPでトラフィック量だけは見てはいるものの詳細がわからず、どんな通信が流れているかはわからないといったケースが少なくありません。

何か問題が起きた時には原因調査をすることになりますが、日ごろのトラフィック情報の有無でトラブルシュートにかかる時間は大きく変わります。私たちが毎年健康診断を受けるのと同じように、ネットワーク環境も定期的な診断が必要で、日常の通信状態を把握することで障害発生時に問題の所在を推測することができます。そこでネットワークを定常的に監視することの重要性についてお話させていただきます。

どういったものを可視化するのか

まずネットワークを運用していく上で、可視化しなければならない情報について考えてみたいと思います。 サーバーやネットワーク機器などのハードウェア情報、アプリケーションの応答情報、通信のトラフィック量などのソフトウェア情報、セキュリティ関連項目まで含めると膨大になることが想定されます。どれも重要な情報ではありますが、今回はその中でもFlowmonが最も得意とする通信の可視化にフォーカスを当てたいと思います。

ネットワーク可視化の目的

ネットワークを可視化する目的について考えてみたいと思います。極端な話ネットワークを可視化しなくても、何も問題が発生しない限り不都合はありません。イーサネットはすでに成熟した技術であり、監視していないからと言って即座にトラブルが起きることはありません。ですが、いざ問題が起きたときには、その複雑さ故、どこから手を付ければいいかわからない、何が原因かわからないといった声をよく聞きます。

障害を未然に防いだり、障害発生時に迅速な解決を行うためにはネットワーク状況の把握が不可欠です。この時、部分的に把握するだけでなくできるだけ広い範囲を可視化することで、ネットワーク全体像が見え、より俯瞰的に原因調査ができます。 日々変化するトラフィックや状態を見て、現在の構成やスペックが適切であるかがわかると障害になりそうな原因をあらかじめ防ぐことができ、万が一障害が発生した際にもどこで問題が発生したのかが一目でわかるため、原因の特定と適切な対応を行うことができます。

また、アクセス集中による輻輳なども把握することができます。混雑する時間帯がわかっていれば、作業を行う時間を分散させて通信の集中を防ぐことが可能ですし、トラフィック量がわかれば回線の増強や見直しを検討することができます。このように、見えないものを見える化することで様々なケースに対応できることがイメージいただけると思います。

ネットワーク可視化を実現するために

可視化ツールには様々なものがあります。SNMP監視、NetFlow、パケットキャプチャなど、それぞれメリット/デメリットがありますが、自社のネットワークに必要な製品を選択していただきたいと思います。

例えば、Flowmonが利用するNetFlowは通信のヘッダ情報を使用することで、送信元・宛先のIPアドレス、ポートなど詳細な解析が可能です。 NetFlowには様々なメリットがありますが、一番の特徴はデータ量が軽いということです。つまり広範囲のトラフィックを取得しても、長期保存することができるということです。

終わりに

ネットワーク可視化は、複雑化する現代のITインフラを効率的に管理するために欠かせません。自社のニーズに合った可視化ツールを選び、定期的にネットワークの状態を確認することで、問題を未然に防ぎ、快適なネットワーク環境を維持することができます。 次のステップとして、自社のネットワーク構成を確認し、どのような可視化が必要か検討してみましょう。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

2025年1月6日

Flowmonはセキュリティー監視となるアドオンコンポーネントADSにより、高度な振る舞い検知機構を提供しています。そのほか、無償のオプションとして、オープンソースのIDSソフトウエア Suricata を稼働させ、それにより検知されるイベントをFlowmonのイベント処理機構に組み入れることも可能となっています。このコラム記事では、Flowmon社ブログ Augmenting behavior-based network detection with signature-based methods を参照し、このIDS Probe（プローブ）機構をご紹介します。

Suricataの取り込みによる多角的な検知の実現

Flowmonはネットフロー形式に変換されたネットワークデータをもとに、さまざまな解析を行いITインフラの可視化を行います。またアドオンコンポーネントの一つとなるADS (Anormaly Detection System）を付加することで、セキュリティー視点からの多様なイベントの検知が可能となります。Flowmon ADSではメソッドという検知パターンが用意されており、IPのブラックリストの他、特定のネットワーク上の振る舞いを検知し、サイバー攻撃などと疑われるリスクのある動きをイベントとして通知します。

一方、さまざまな製品により同様の検知機構は提供されていますが、一般的には、個々の製品の検知ロジックの実装は異なるため、その異なるロジックによるイベント検知度合いには差があるものと見られています。そのためより検知度合いを高めるためには、複数の製品を利用することが考えられますが、そのための管理コストなどから現実的には困難が伴います。 このような背景から、Flowmonでは侵入検知で定評のあるオープンソースのSuricataをFlowmon上で稼働する仕組みを整え、そこからのイベントをFlowmonのイベント表示等に取り入れる機構を整備いたしました。これにより追加費用なくより網羅性の高いイベント検知を実現することが可能となります。

統合された検知機構の利点

IDSツールのSuricataをFlowmonに統合することで、両方の検出手法の効果を最大限に引き出しました。Suricataが生成するアラートをFlowmonの機能で処理し、関連付けし、視覚化するために、Flowmonでは関連機能の拡張を継続的に行なってまいりました。この統合化されたアプローチにより、以下のような利用者のメリットをご確認いただけます。

防御の強化

Flowmonによる振る舞い検知とシグネチャベースのSuricataによるイベント検出を組み合わせることで、より強力な防御が構築されます。これにより、脅威を広範囲にカバーし、既知の脅威と新たな脅威の両方を捕捉して、セキュリティーを強化します。

ツールの効率性

他ベンダー製品の利用などによる複数ツールの運用管理の必要性が減り、簡素化され、ライセンスのみならず全体のコストが最適化されます。

より深い洞察

異なるテクノロジーのセキュリティー製品の統合で、包括的な脅威の観点が提供され、既知の脅威に関する情報と異常なアクティビティーの情報がより詳細に提供されます。

信頼性の高いアラート

アラートを相互検証することで検出精度が向上し、誤検知が減少し、応答の信頼性が高まります。これにより対応の優先順位付けなど、後続のプロセスの最適化に有効です。

コンプライアンスの担保

複数の製品による診断結果を統合することで、業界の規制に適合し、包括的なセキュリティー対策を実施することが可能となります。

Flowmonは、その製品機能の複数のレベルでSuricataを組み込みました。ダッシュボードやレポートには、FlowmonおよびSuricata両方のシステムからの重要な情報が含まれ、セキュリティー意識を高め、最も重要なイベントに迅速に優先順位を付けて対応を計画することができます。

Suricataのイベントは、通常の分析ワークフローとドリルダウンに統合され、インシデント調査のプロセスも均一化します。Flowmon ADSは、両方のシステムからのイベントを関連付けて、ノイズを減らし、アラートの相互検証をサポートし、CVEの説明などの関連脆弱性情報などをご提供します。

Suricata構成概要

Suricataの導入および有効化は、以下のステップにより実施可能となっています。実際の導入構成の際には、こちらのオリジナル文書 How to enable signature-based detection in Flowmon Probe and Flowmon ADS もご参照ください。

1. IDS Probeパッケージの導入

サポートポータルのガイド（Flowmon IDS Probe ） に従い、Suricata IDS を Flowmon プラットフォームにインストールします。
※ スタンドアロン プローブで ADS を実行している場合は、以下の2つの手順（２と３）をスキップできます。

2. Syslog転送設定

IDS Probe（プローブ）を使用して、すべてのプローブで Syslogイベントロギングを設定します。 これにより、IDSイベントが Flowmon ADS を使用してターゲット コレクターに Syslog 経由でエクスポートされるようになります。 これは、[Configuration Center] > [システム] > [システム設定] > [Syslogイベントロギング] で設定できます。 ここでは、Syslogイベントロギングを有効にし、新しいサーバーを追加する必要があります。 次に、ADSでコレクターのIPアドレスを入力し、ポートとプロトコルを指定し、保存します。

3. Syslogサーバー構成

コレクター側では、Syslog サーバーを構成する必要があります。 [Configuration Center] > [システム] > [システム設定] > [Syslogサーバ] に移動します。 外部Syslogを有効にし、新しいSyslogクライアントを追加します。 FlowmonプローブのIPアドレスを入力し、同じポートとプロトコルを使用して保存します。

4. ADSの有効化設定

プローブはSyslog経由でIDSイベントを送信し、コレクターはそれを受信していますが、それを処理、保存、視覚化する設定を行う必要があります。ADSの[設定]に移動し、[システム設定] > [IDSコレクター] で [有効化]ボタンをクリックします。 これが完了すると、[分析]ページで IDSイベントを確認できるようになります。

その他、Suricata IDS の実行に際しては Suricata IDS Configuration and Tuning をご参照ください。 ガイドより、誤検知の調整、検出ルールの管理、ネットワーク変数の設定、独自のカテゴリの作成など、Suricataを有効に利用する上での詳細をご確認いただけます。

終わりに

NDRツールで、振る舞い検知などの動作ベースの検出方法と、シグネチャベースの検出方法を組み合わせることが、サイバーセキュリティーを強化するための重要な取り組みの一つとなります。この組み合わせにより、さまざまな脅威に対する強力な防御機構が整い、重要な洞察が得られ、アラートの精度が向上することとなります。

IDSツールのSuricataは、Flowmon ADSにより無料のモジュールとして利用できます。導入のための新たな設定は不要で、簡単なインストール手順により、利用を開始することができます。 なお、Suricataはオープンソースのため、Flowmonの保守サポート対応範囲外となります。予めご了承ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事：

• オープンソース Suricata: ホームページ
• Flowmon社ブログ: Beyond Traditional Defenses: Integrating IDS and NDR for Improved Detection Capabilities

2024年12月2日

クラウドの一般化した昨今のIT環境では、オンプレミス環境と統合されたハイブリッドIT基盤に対する、効率的なモニタリングやセキュリティー監視が重要なテーマとなっています。この記事はFlowmon社ブログ Multi-Cloud – Rise of Hybrid Networks and the Need to Monitor & Secure Them をベースとし、その課題とFlowmonによる対応について書かれています。

ハイブリッド環境の監視の課題

現行の多くの企業で利用されているIT基盤は、自社内のITシステムとAWS,Azure, Googleなどの大手クラウドサービスを複合的に利用する形態が一般的です。またそれらクラウドサービスでも、アプリケーションによっては異なるクラウドサービス基盤で利用されている場合や、災害対策やコストの最適化などの観点で複数のクラウドサービスに分散されることもあります。今後もこの複合的なIT基盤は広く普及してゆくものと予想されています。

この分散IT環境は、様々な視点から最適化のメリットがありますが、同時にIT基盤の監視やセキュリティーという面では課題があります。ダイナミックにITリソースを再配置したり、物理的な把握が難しいクラウド環境に対して、固定的なオンプレミスのIT基盤管理手法を適用することは困難です。 統合的な監視ができていないそれらの複合環境では、環境ごとに異なるツールで個々の状況を把握し、そこで取得されたそれぞれのデータを手動で統合しなければなりません。手動で統合されたデータにより、最終的に自社のIT基盤の状態を把握するというステップは、IT部門にとってはかなりの負担となります。

これら大手のクラウドサービスでは、それぞれ独自の監視機能を提供しています。ただしその設定の複雑さやキャプチャーされた膨大な監視トラフィックデータの保存など、別の側面で課題があります。独自ツールはそのクラウドサービス特有のトラフィック監視には強力ですが、他のクラウドサービスを含めた横断的なトラフィック監視が必要とされる場合、その特有さが問題となってしまいます。

ハイブリッド環境の監視の簡素化

主なクラウドサービスでは、個々に持つ独自のトラフィック監視の仕組みの他、外部の監視ツールが活用できるデータ（フローログ）を提供する仕組みが実装されています。フローログはNetFlowデータと同等の情報を含んでおり、Flowmonのような外部システムが、オンプレミス環境のみならず、様々なクラウド環境も包含した分析処理を実現します。これにより個々のクラウド環境に依存しない外部システムが、オンプレミス環境のみならず、様々なクラウド環境も包含した分析処理が実現されます。

これらのクラウド基盤から提供されるフローログにより、Flowmonのプラットフォームを横断した解析・レポート機能に組み込み、統合的な可視化が可能となります。各クラウドが個別に提供する監視オプションを使用するよりも、低コストでハイブリッドなマルチクラウド監視を行うことができます。また必要に応じFlowmonプローブも構成に加えることで、アプリケーションレベルの可視化まで、その監視範囲を広げることも可能です。

構成概要

下図は、Flowmonのハイブリッド展開の全体的なイメージを示しています。 ここではクラウドプラットフォームからのネイティブフローログと組み合わせ、ハイブリッドネットワーク内の異なる場所にあるプローブからメタデータを収集する、中央アグリゲーターとしてFlowmonコレクターが構成されています。

また、以下の場合には、展開に際してFlowmonプローブを含める必要があります。

• 高度なネットワーク分析とネットワークパフォーマンスメトリックのための信頼性の高い正確なデータが必要な場合。
• ネットワークトラフィックの詳細な可視性が必要で、アプリケーション層の可視性（L7プロトコル）も含まれる場合。
• Flowmon Application Performance Monitoring（APM）やFlowmon Packet Investigator（FPI）などの高度な機能が必要な場合。

Flowmonブログ記事 How to Optimize Cloud Monitoring Costs Using Flow Logs in Progress Flowmon では、このトピックを詳しく解説し、Google CloudでのFlowmonプローブとフローログの利用に基づいてコストを比較しています。フローログを利用することで、最大で89%のコスト削減が可能です。

終わりに

複数のクラウドプロバイダーを使うことが多くの企業にとって新しい標準になっています。IT部門がすべてのパブリックプロバイダーやオンプレミスインフラをしっかり把握できるように、統合された使いやすい監視ソリューションが重要です。Flowmonのネットワーク監視ソリューションは、各プラットフォームのネイティブ監視ツールよりも格段に低コストでこの課題を解決します。

Flowmonのバージョン12は、AWS、Azure、Google Cloudが提供する全ての既存のネットワークテレメトリーソース（VPCフローログ）と、ルーターやスイッチ、パケットブローカーなどの標準的なオンプレミスフローソースを活用できる業界初のソリューションです。Flowmonは、既存のネットワークテレメトリーソースを利用するか、専用の軽量Flowmonプローブを使うことで、クラウドとオンプレミス環境に対して優れた可視性を提供します。これは、単一の画面でハイブリッド環境に一貫したレベルのネットワーク可視性を提供いたします。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事：

• Flowmonコラム: クラウドネットワーク可視化の課題
• Flowmonコラム: マルチクラウド戦略を支えるFlowmon 12について

2024年7月1日

サイバー攻撃ではその活動の種類により、被害ユーザーへのアプローチが異なっています。サービス拒否（DoS）攻撃のように攻撃活動の当初より、サービスの利用が不可となり、被害ユーザーにとってその活動が攻撃の第一段階から明示的なものがあります。また機密データの詐取や “身代金要求”を目的としたランサムウエア攻撃などでは、別のアプローチを取ります。そのアプローチでは、悪意のあるコードの侵入段階ではその活動を隠し、それに続く攻撃の第二段階においてデータ漏洩による被害や金銭支払いの脅迫を受けることで、被害ユーザーは攻撃を認識することとなります。

そして最終段階までその活動の隠蔽を目的とし、被害ユーザーには永続的にその攻撃被害を認知されないことを目的としたものがあります。継続的に被害ユーザーの機密情報を取得し、その情報をもとに別の攻撃手法により、被害ユーザーに甚大な被害を及ぼすアプローチです。このブログでご紹介する永続的な活動の隠蔽を目的とするクリプトジャッキングも、同様の部類に属するものとなります。

※この記事はProgress Software（以下Progress）社ブログ Detecting Cryptojacking with Progress Flowmon をベースとして書かれています。

クリプトジャッキングとは

クリプトジャッキングは、サイバー攻撃の一つであり、攻撃者がシステムの弱点を悪用し、被害ユーザーに気付かれないように仮想通貨をマイニングする手法です。この攻撃を受けると、侵害されたシステムのリソースが不正に利用されるだけでなく、他の種類の攻撃、たとえばランサムウェアによる被害を受ける可能性もあり、広範なセキュリティ問題が存在していることを示しています。

この攻撃では、攻撃者はDoS攻撃の一種である同期（SYN）フラッドを使って、ターゲットサーバーに大量のリクエストを送り込んで、混乱を引き起こし、他の危険な攻撃が検知されにくくなるように偽装する手法がとられます。

クリプトジャッキング攻撃の構造

クリプトジャッキング攻撃は、典型的にいくつかの段階を経ます。詳しく見ていきましょう。

まず、攻撃者はDoS攻撃の一種であるSYNフラッドなど、少量の攻撃を開始します。これにより、ネットワークにノイズや混乱が生じ、攻撃者の真の意図が隠されます。つまり、攻撃者がDMZ内の脆弱なサーバーを侵害する意図であることが隠蔽されるのです。

次に、攻撃者は、一般的な攻撃手法であるリモートデスクトッププロトコル（RDP）に対する辞書攻撃などを使用して、パッチが適用されていないシステムの脆弱性を悪用し、標的とするシステムへの完全なアクセスを取得します。

最後に、アクセスが確保されると、攻撃者は悪意のあるコードを展開し、サーバーを暗号通貨をマイニングするノードに変えます。これにより被害ユーザーのシステムリソースが、攻撃者の目的のために無断使用される仕組みが構築されることとなります。

基本的な監視ツールの制限

IT基盤の一般的な監視ツールは、システムの最適なパフォーマンスと可用性を確保する上で不可欠です。しかし、このような動きを取るクリプトジャッキングの、微妙な兆候を見逃すことがあります。DoS攻撃によるノイズが加わると、基本的な監視ツールが記録する平均CPU使用率メトリックがすぐにはアラートとして発報されない事象が発生します。また、クリプトジャッキングマルウェアによるCPUの使用率の増加は、DoS攻撃の終了後ではしばしば検知されないことがあります。つまり意図的に発生された別種の攻撃兆候により、攻撃者の本来の意図であるクリプトジャッキング攻撃を結果的に隠蔽することを許してしまうのです。

Flowmonによるクリプトジャッキングの検出

セキュリティ分析を行うアドオン Anomaly Detection System (ADS) と連携し、 Flowmonは、このようなクリプトジャッキングの攻撃特性を検出し、分析・検知することが可能です。

Flowmonはネットワークテレメトリデータを解析します。IPFIX形式のネットワークフローデータを使用し、脅威フィードや攻撃シグネチャによって補強されたデータを解析することで、詳細な事象の分析が可能となっています。 また、高度な検出アルゴリズムを採用し多角的な分析を行うことができ、一般的な脆弱性やCVEへの参照、MITRE ATT&CKフレームワークの詳細などを提供します。

Flowmonは、一般のIT基盤監視ツールとは異なり、ADSアドオンと連携することで主要なセキュリティイベントの検出が可能です。例えば、CPU使用率のダッシュボードでは、暗号通貨のマイニングによる使用率の急増を表示することができます。 さらに、Flowmonではイベントの概要と詳細な分析が行われます。DoS攻撃を装ったアクティビティなど、さまざまなイベントの概要を表示することができます。

Flowmonは、他のシステムとの直接的な統合が可能で、検知されたサイバー攻撃に関わる通信の、自動遮断の仕組みなどを任意に設定することも可能です。また検知された通信に疑われる既知の脆弱性の情報から、必要な適用パッチなどを特定いただくことが容易になります。 さらに、Flowmonの分析機能は、クリプトジャッキングの広範な影響を理解する上で役に立ちます。システム負荷や冷却要件、電力使用量などの影響を理解することで、適切な対策を講じることができます。同時に、攻撃者によるネットワーク内での横断的移動のリスクも把握することができます。 Flowmonは、IT部門がネットワーク上のクリプトジャッキング感染をより効果的に検出し、阻止するための情報をご提供します。

Flowmonによる暗号通貨マイニングを検出する機能の概要

以下の動画は、Progress社のソリューションアーキテクトによるビデオプレゼンテーションとなります。ここでご紹介している内容は、実際の事例研究に基づいており、DoSトラフィックなどの他の攻撃ベクトルによって隠蔽されている場合でも、Flowmonがクリプトジャッキングをどのように検出するかが解説されています。

※ この動画はFlowmon YouTubeチャンネルでご視聴いただけます。

終わりに

クリプトジャッキングは、ネットワークセキュリティにとって深刻な脅威であり、他の攻撃手法に紛れ、隠蔽を計る攻撃手法です。しかし、Flowmonは、このような高度なサイバー攻撃を検出し、分析し、実用的な洞察をご提供することができます。Flowmonは、企業がIT基盤のセキュリティを向上させ、クリプトジャッキングによる財務的および運用上の影響を軽減するのに役立ち、より安全で強固なIT基盤の構築・維持の実現をお手伝いいたします。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事：

• Flowmonコラム: 未知の脅威への対処
• Flowmonコラム: NDRによるリスク検知の実践

2024年5月1日

Flowmonは一般のIT基盤のみならず、産業用制御システムいわゆるOTシステム基盤のネットワークモニタリングおよびセキュリティ機能もご提供しています。このコラムではFlowmon社の Network Traffic Visibility and Security for ICS/SCADA のコラムをベースに、その概要についてご紹介します。

産業用の制御システムが正しく機能することは、エネルギーの配布や機械操作、水の管理など、重要なプロセスの基盤となります。技術の進化により相互接続が進んだことで、外部からの影響に対してより脆弱になりました。ネットワークに変更が加えられると制限や完全なシステムの停止が起こる可能性があり、企業やその顧客に直接的な影響を与えてしまう恐れがあります。Flowmonのネットワーク可視性インテリジェンスによって企業は、このようなリスクを回避し、OT環境においてもセキュリティの脅威に対処しIT運用を強化することができます。

産業ネットワークの信頼性とセキュリティの確保

一時期までは、産業用制御システムは通常、企業のネットワークやインターネットから完全に切り離されていました。そのため、インフラに大幅な変更が行われることはほとんどなく、エンジニアはセキュリティについてあまり心配する必要はありませんでした。しかし、最近では、IoTデバイスや自動化、インダストリー4.0などの台頭により、産業用制御システムの環境は大きく変わりました。

広くITネットワークの可視化にご利用いただいているFlowmonですが、この産業用制御システムの関わるネットワークについても、すでに多くのお客様にご利用いただいています。 早期の異常検出と外部システムとの連携機能に加えて、災害復旧計画やフォレンジック分析のためのデータの取得にFlowmonをご活用いただいています。

Flowmon ADSのICS環境での検証レポート

チェコ共和国ブルノ大学では、FlowmonによるICS基盤の有効性についてこちらの レポート（Behavioral Anomaly Detection in Industrial Control Systems an Evaluation of Flowmon ADS: Technical Report no. FIT-TR-2020-02 Faculty of Information Technology, Brno University of Technology）にまとめられています。

Flowmonは、製造業や公益企業が産業ネットワークの信頼性を確保し、ダウンタイムやサービスの中断を避けるために利用できます。これは、継続的な監視と異常検出によって実現され、サイバースパイ活動やゼロデイ攻撃、マルウェアなどのデバイスの不具合やセキュリティインシデントを早急に報告して修復できるようになります。Flowmonでは現時点で、右の図にあるような関連プロトコル -IEC104, CoAP, Goose, MMS, DLMS- をサポートし、高い費用対効果で、産業用システム分野でも以下のようなエンタープライズクラスの機能セットを利用できるようになりました。

• リアルタイムでネットワークトラフィックを見ることで、ネットワークの利用状況を把握できます。
• 個々の環境・場所の特性に応じた、効率的なレポート作成ができます。
• 脅威やボットネット、ゼロデイ攻撃、パッチ未適用のサービスの悪用など、シグネチャやルールベースのソリューションでは見逃されがちなリスクを、先手で見つけ出します。
• 自動的に異常を検知し、ネットワークのトラブルや設定の問題に迅速に対処します。

Flowmon を活用するメリット

Flowmonにより、以下のようなシステム運用のメリットを得ることができます。

誤作動を起こしたサービスを修復し通常の業務を回復させるために、広範なネットワークを確実に監視し、信頼できる唯一の情報源とトラブルシューティングの機能をFlowmonは提供します。またトラフィックの特性や接続の信頼性、パフォーマンス、コンテンツ属性の掌握が可能となります。Flowmonの利用するNetFlowに基づく、ネットワーク監視の詳細は ブログ「NetFlowとは」 をご参照ください。

Flowmonは署名やルールベースではなく、高度な分析機能を活用し高いセキュリティを担保することで、ネットワーク全体のセキュリティポリシーに対する適用評価を行います。全てのインフラストラクチャやエンドポイントデバイスを幅広く監視し、多様な実装機能を使って機密データを保護し、APTやゼロデイ脅威、高度なマルウェアを検知します。このFlowmonの異常検出技術はGartnerによっても認められています。

適切に配置されたGUI、わかりやすいダッシュボード、ドリルダウン機能により、トラブルシューティングが効率的に行え、高い操作性を甘受できます。 また安全でないデバイスやセキュリティ設計とプロセスの不備、不規則なパッチ適用、古い機器やOSによる攻撃や侵害などを早期に検知して警告し、EPCIPやNISなどの各指令に対応することが可能です。 その他Flowmonでは、特定のニーズに合わせた正確で詳細な自動レポートを提供します。これにより、定期的またはオンディマンドで業務に求められるレポートの出力要求に対応が可能です。

Flowmon SCADA監視およびセキュリティスキーム

技術的な性質から、ファイアウォールとIPSはネットワーク内の特定ゾーン（L2とL3の間）にしか影響を及ぼしません。これは企業ネットワークには効果的でも、SCADA/ICS環境には十分でないとされています。そのため、ネットワーク内で最も重要な部分が依然として脆弱な状態に置かれています。Flowmonは、従来のセキュリティアプローチを超えて、ゾーン内（L2内）の可視性を提供し、トラフィックに対する完全な理解を提供します。（左図参照）

ファイアウォールは、ネットワークの境界とDMZ間の通信を保護しますが、SCADA環境内の可視性や検出は提供されません。SCADAシステムへの侵入や攻撃は、感染したラップトップを持ち込んでネットワークに接続することなど、比較的容易です。しかし、ファイアウォールでは計画されたメンテナンスや悪意のある活動が表示されない可能性があります。

Flowmonは、IPネットワーク内の通信を監視することに特化しています。これにより、SCADAネットワーク内のすべての通信、サーバーとエンドステーション間の通信、およびSCADAサーバーとHMI（Human Machine Interface）間の通信を深く掌握できます。さらに、包括的なトラブルシューティング機能を提供し、機械学習と異常検出技術を活用して、従来のシグネチャが利用できない場合でも、疑わしい動作を検出します。

終わりに

産業用制御システム（OT）と一般業務ネットワーク（IT）の融合を受けて、統合的なネットワークモニタリングがより重要な位置を占めるようになってまいりました。現在IT環境で高いお客様評価をいただいているFlowmonを、OT環境でも是非ご活用ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連記事：

• Flowmon社ブログ: OTユーザー事例：EG.D社
• Youtube: ICS/SCADA protection against incoming attack with Flowmon

2024年4月1日

オリゾンシステムズでは、高い提案力・技術力を備えたパートナー様と連携し、Flowmonの拡販に努めております。 2016年に日本国内のパートナー制度を開始し、各社パートナー様に拡販をいただきましたおかげで、ユーザ様の拡大とともにFlowmonの良さという部分を広く認知していくことができました。 2024年現在、18社のパートナー様でFlowmonをお取り扱いいただいております。

本記事では、パートナーご担当者様へのインタビューを通して、Flowmonをご存じない方や、お取扱い実績のある企業様・パートナー様へ改めてFlowmonのメリットや魅力/価値をご案内いたします。

今回は、富士通ネットワークソリューションズ株式会社（FNETS） の皆様にお話を伺いました。

御社がパートナーになった経緯について教えてください。

弊社（FNETS）はネットワークとセキュリティを軸にしたトータルソリューションプロバイダーとして、お客様価値／創造を提供しています。FlowmonはNetFlowを採用することで大量のトラフィックを詳細に可視化できる優れたネットワーク可視化製品です。ネットワークトラフィックをリアルタイムで監視し、異常を検知する高度なセキュリティ機能を備えているため、両社の高い技術力を組み合わせることで、お客様に対してより高品質なサービスを提供できると考えパートナーになりました。

Interop Tokyoで知ったことがきっかけでした。それ以前からネットワーク監視製品を探していましたが、当時はSNMP監視のほうが主流でNetFlowは今ほどメジャーではありませんでした。そのような中でFlowmonに巡り合ったのですが、一目で「これだ！」と感じました。今でも私達の業態とマッチしていると思いますし、パートナー契約を推進してよかったです。

御社が思うFlowmonの魅力について教えてください。

御社内でのFlowmon認知度について教えてください。

社内での認知度は非常に高いです。 弊社（FNETS）では独自に導入事例を中心に社内勉強会を開催しており、 BP（ビジネスプロデューサー）やSEに関わらず幅広く紹介しています。また、スポットNW可視化サービスという独自のサービスを提供していることもあり、社内認知度は非常に高いです。

Flowmon導入後のお客様の反響について教えてください。

某ユーザ様では、Flowmon導入以前からトラフィック解析を行う手法はお客様で確立していましたが、調査に非常に時間がかかっていました。「Flowmonを導入後はどこでどのような通信が影響を及ぼしているのかといったような原因の特定が即座に行えるようになった」というお声をいただいています。この種のフィードバックは複数のお客様からいただいており、NetFlow分析は手軽に原因特定ができるソリューションであることを改めて実感しています。

お客様との定例会でSNMPを取得したトラフィックグラフなどを提出した際に、どのような通信内容かわからないことが多く、「たぶん○○かな・・・」といった推測で終わることがあります。しかし、Flowmonを使用することで、誰がどのような通信を行っていたのかが特定できるため、お客様への説明に重宝しています。 また、パケットキャプチャ製品と比較することもありますが、キャプチャは障害発生時にデータを取得する必要があり、常に全てのデータを取得している場合、障害が発生した際に膨大なデータの中から探る必要があるため、時間と労力がかかります。一方、Flowmonでは障害が起こった時間帯のみデータを切り抜いて分析できるため、非常に効率的です。

御社で得意とする業種において、Flowmon導入に至った経緯を1つ教えてください。

特定の業種への偏りはさほどなく、様々な業種のお客様に幅広く導入いただいています。 事例を一つお話しすると、ネットワークがマルチベンダー機器で構成されているお客様から、トラフィックの遅延や障害が発生した場合、どこに問題解決の糸口があるか不明で困っているとご相談をいただきました。まずはネットワークの見える化から着手するためにFlowmonをご提案いたしました。Flowmonであれば、マルチベンダー環境でもネットワークにも影響を及ぼさず、簡単に帯域を占有する通信の特定ができるとお客様に判断いただけて、導入に至ったケースがございました。

Flowmon提案時の強みや弱みについて教えてください。

強みは、既存のネットワーク構成を大幅に変更せずに導入できる点です。 また、トライアル機器をお貸出しいただけることで、お客様に購入前に使用感を体感いただけることも導入の決め手となっています。 弱みは、10Gモデルのプローブの価格が高額なことです。最近は10G環境が一般的になりつつあり、これに伴い関連製品の価格が比較的安価になってきています。しかし、10Gモデルのプローブは価格が下がらないため、提案しても価格面で検討から外れてしまうことが何度かありました。機会損失を最小限に抑えるため機器の費用を見直していただきたいと考えています。 また、プリセット機能についても改善の余地があると思います。 ユーザ様が既知のクラウドサービスであれば、プロファイルを作成する必要がないため非常に便利な機能です。しかし、情報が更新された際には手動で更新しなくてはならない点や、定義が変わると過去の解析結果が得られない点については改善していただきたいです。

今後、Flowmonに期待する機能等ありましたら教えてください。

現状、NDR面を踏まえてご提案を行う際には、FlowmonADS単体では遮断機能が備わっていないため、他製品と連携してご提案をしています。しかし、単体で遮断可能であれば、よりセールスのハードルが低くなり、販売機会の向上と共にADSの価値を更に高めることができると考えています。また、SOCサービスを立ち上げていただけると、お客様での運用ハードルが下がるため、更に営業しやすいと思います。

基本的なネットワークの可視化だけではなく、更に付加価値をつけてオブザーバビリティを意識した機能を追加していただきたいです。 直近では過去三週間の平均値を取得できるようになりましたが、他にも可視化し提示できる情報はあると考えています。 また、プローブをFlowmon製品として開発している優位性を生かして、一般的なNetFlowでは見ることが出来ない項目を増やし、コレクタとのシナジーを強化していただきたいです。

今後弊社やメーカーに求めることはありますか。

業種毎の導入事例を拡充していただきたいです。営業会議などで導入事例として、お客様の課題に対してどうマッチしてどのような効果があったかを紹介できると、同じような課題を抱えるお客様への横展開がスムーズになると考えています。また、最近では振る舞い検知プラグインであるADSの案件も増加しています。ADSを導入していたことで、セキュリティインシデントが未然に防げた、このような事例があると社内でも展開しやすいです。

最後に、意気込みを一言お願いします。

ネットワークトラブル調査や今後の設備プランニング、そしてセキュリティインシデントへの対応など、様々な課題に対して大いに役立つソリューションだと感じています。こういった課題でお困りのお客様の助けとなるべく、BPやSEが訴求・アプローチしやすくなる仕掛けをこれからも考え、実現していきたいと考えています。

終わりに

この度、Flowmonの販売パートナーである富士通ネットワークソリューションズ株式会社様へインタビューをさせていただきました。お客様とより近い距離で接していただいているパートナー様の生の声を聞かせていただくことで、改めてFlowmonの強みや弱み、要望機能などについて大変有意義なお話をお伺いすることができました。
Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

取材担当：プリセールス 惣田、営業 渡辺

関連コラム記事：

• ネットワンシステムズ様から見るFlowmonの価値とは？
• アイビーシー様から見るFlowmonの価値とは？
• 東陽テクニカ様から見るFlowmonの価値とは？