2026年3月31日

はじめに

2026年2月、神奈川県某大学病院にてランサムウェアの被害があったことが公表されました。院内サーバへの不正アクセスにより患者情報が流出した可能性があると報じられています。
今回の事件では、医療機器の保守用VPN装置が侵入経路として悪用されていたことが確認されています。VPNは本来安全なリモート接続を提供する仕組みです。しかし同時に、内部ネットワークへの入口である以上、最も狙われやすいポイントの一つとも言えます。実際に警視庁が公開しているデータでも、VPN やリモートデスクトップ機器からの侵入が全体の８割以上を占めていると報告されており^※1、潜在的なリスクの高さがうかがえます。
昨今のリモートワークの普及に伴い、VPN利用がこれまで以上に拡大している中でのこのような事案は、医療機関に限らず多くの組織にとってセキュリティの見直しを促す重要な警鐘となりました。ランサムウェアへの対策においては、「侵入されないこと」が第一ですが、それと並んで重要なのが「侵入された後いかに早く気づき、対処できるか」という視点です。本コラムでは、近年被害の多い「VPNを起点としたランサムウェア攻撃」に対し、Flowmon ADSでどのような対策ができるのか、その優位性について解説いたします。

*1 参考：令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について – 警察庁サイバー警察局

拡大するランサムウェア被害の現実と狙われるVPN

ランサムウェアとは、標的の企業や組織のデータを不正に暗号化するマルウェアの一種です。データを暗号化して利用不可にすることで業務停止に追い込み、その復号と引き換えに身代金（ランサム）を要求するという手口に利用されます。さらに近年においては、単にデータを暗号化するだけではありません。暗号化の前にデータを窃取し、支払いに応じなければ公開すると脅迫する“ダブルエクストーション”型が主流になっています。
一般的な攻撃の流れは次の通りです。

• 1. 初期侵入
• 2. 内部ネットワークの偵察
• 3. 権限昇格と横展開
• 4. 外部C2サーバとの通信確立
• 5. データ窃取
• 6. ランサムウェアの一斉実行

攻撃の最初の段階である初期侵入にはメールや偽のWEBページを使ったフィッシングや、社内サーバの脆弱性を狙うものなど様々ありますが、VPN装置も狙われやすい侵入口の一つです。VPNやリモートアクセス機器は、業種問わず幅広く利用されていますが、保守用VPNのように利用頻度が少ない場合や、外出先や自宅からの一時的な接続にしか利用されないような場合には、メインのIT系統に比べて管理が後回しになりがちです。ファームウェア更新の滞りや、既知の脆弱性の放置、不十分な認証設定など、些細な“穴”でも非常に大きな危険を招く可能性があります。
また、こうしたランサムウェア攻撃で特に注意すべきなのは、侵入から暗号化実行までに一定の潜伏期間があるケースが多いことです。ファイアウォールで外部からの侵入を阻んだり、アンチウイルスでマルウェアを検出したりといった従来型のセキュリティ対策は、既知の脅威や端末単位の検知には有効な半面、正規アカウントを使った不正ログインや、シグネチャに一致しない未知の脅威は見落としやすい傾向にあります。こうして一度侵入・感染を見逃してしまうと、境界型防御やエンドポイントセキュリティでは攻撃に気づくことすら困難になります。

Flowmon ADSで検知可能なランサムウェアの”振る舞い”

ここで有効となるのが、ネットワーク全体の通信挙動を可視化し、異常を検知するNDR（Network Detection & Response）の考え方です。Flowmon ADS（以降ADS）はフローデータ（NetFlow/IPFIX）を用いてネットワーク全体を監視、通信の振る舞いから脅威を検知します。
ここでは、VPN装置が侵入口になったケースを想定し、段階ごとに見てみましょう。

フェーズ1：不審なVPN接続の検知

VPNを利用して不正なアクセスが発生した際、ADSは次のような異常を可視化できます。

• 業務時間外のVPN接続
• 通常と異なる地域からの接続
• 1セッション内での大量の内部通信

機械学習によるベースライン分析により、「普段の利用状況との違い」を検出できます。これにより、侵入直後の段階で気付ける可能性が高まります。

フェーズ2：横展開の兆候検知

侵入後、攻撃者は内部ネットワークを探索します。短時間に多数のIPへ接続する動きや、通常は通信しないセグメント間のアクセス増加は、典型的な横展開の兆候です。ADSでは次のような通信として検知することができます。

• 解放されているポート/ホストのスキャニング
• 多様な接続先/サービスへの通信
• ネットワーク内部での不審な大容量通信

フロー情報からこうした不自然な通信パターンを捉え、ランサムウェアによる暗号化前の段階で検知できれば、被害拡大を防ぐことができます。

フェーズ3：C2通信やデータ流出の検出

ランサムウェア攻撃では、外部サーバとの通信やデータ送信が行われます。ADSは、

• 周期的な外向き通信
• 通常業務では見られない通信先
• DNSトンネリングの疑い

といった挙動を検知できます。データ窃取段階で対応できれば、ダブルエクストーションのリスクを大きく低減できます。

フェーズ4：インシデント対応の支援

ADSはフロー分析機Flowmon Collectorにインストールする形のソフトウェアであることも大きな利点となっており、万が一インシデントが発生してしまった後でも、Collectorが保持するフローデータが通信の証跡として役立ちます。

• 通信証跡の保全
• 侵入経路・感染範囲の特定
• 感染端末のデータアクセスの追跡

Flowmon 1台で異常の検知から原因・影響範囲の調査まで一元的に支援できるため、インシデント後の対応を迅速に進めることができます。

おわりに

ランサムウェア被害で耳にすることの多いVPNですが、今やどのような組織にとっても欠かせないものとなっています。便利なVPNを安全に使い続けるために、機器の更新や設定強化はもちろん重要ですが、それだけでリスクをゼロにすることは難しいのが現状です。だからこそ、

• 侵入後の挙動を継続的に監視すること
• 横展開の兆候を早期に検知すること
• データ流出を未然に防ぐこと
• 被害後も迅速に原因を特定すること

といった多層的な視点が求められます。
振る舞い検知型NDR「Flowmon ADS」は、こうしたランサムウェア感染後の迅速な対応の実現に最適です。フローデータを用いてネットワーク全体を監視し、小さな異変の発見はもちろん、感染端末の追跡や侵入経路の特定まで、ランサムウェア対策を支える基盤としてお使いいただけます。侵入を完全に防ぐことが困難になっている現代において、「ネットワーク内の振る舞いを監視する仕組み」を持つことが、組織を守るための大きな一歩になるのではないでしょうか。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2026年2月13日

はじめに

新しくネットワーク監視ツールを導入する際に、
「Microsoft 365の通信状況を可視化したいが、何から手を付ければよいのか分からない」
「解析はできても、ダッシュボードやレポートを一から作成する時間がない」
「フィルタ構文の習得に時間がかかり、本格運用までたどり着けない」
といった課題に直面した経験はないでしょうか。 実際、新たなツールを導入した場合、初期設定に1週間以上を要するケースも珍しくありません。Flowmonにおいても、プロファイルの設計やフィルタ条件の定義、ダッシュボードの構築といった作業には一定の専門知識が求められ、IT部門において一定の工数が必要になります。
Flowmonのプリセット機能は、こうした初期設定のハードルを下げ、数クリックで実運用に耐えうる可視化・解析環境を構築できる仕組みです。 本コラムでは、実務で即活用できるプリセット機能の価値と、その具体的な活用方法についてご紹介します。

プリセット機能とは

プリセット機能とは、Flowmonの開発元であるProgress社から提供されている、特定のユースケース向けに事前定義された設定が利用可能になる機能です。各プリセットには、プロファイルやダッシュボード、レポート、アラートが定義され、適用後すぐに通信の可視化・解析を始めることができます。

提供されているプリセットの種類は28種類^※1あります。例えばMicrosoft 365やZoomといったクラウドアプリケーション、DNSやDHCPのような特定のプロトコルに関するものや、セキュリティに関するプリセットも提供されています。
※1 2026年2月現在

代表的なプリセット例：

• クラウドサービス系：Microsoft 365、Teams、Zoom、Social networks^※2
• プロトコル系：DNS、DHCP、SMTP、Samba
• セキュリティ系：MITRE ATT&CK^※3

※2 Facebook Instagramなどの各種SNS系
※3 Flowmon ADSのご利用が必要です

図1：プリセットトップ画面

ただし、プリセットはFlowmon Probeを導入していない環境では一部機能に制限があります。 フィルタ条件にProbeでフロー生成をした際に表示可能な項目^※4を含むものは、Probe未導入の環境では十分な解析が行えません。また、Flowmonがインターネットにアクセス可能な環境が必要です。
※4　例：HTTPホスト名、DNS、DHCP、Sambaなど

プリセット作成手順

プリセットは、Dashboard and Report画面の上部にあるタブからプリセットのトップ画面を開きます。そして、①インストールするプリセットの選択→②ユーザ権限設定→③オプション設定→④作成するコンテンツ選択の4段階で、ウィザード形式で簡単に作成することができます。②に関しては、部署ごとに異なる監視ビューを提供することも可能になります。例えば、営業部門にはMicrosoft 365やWebexなど利用しているツールの監視画面を、インフラチームにはプロトコル系やセキュリティ系の監視画面を提供するといった使い分けができます。 実際に「Microsoft 365」のプリセットを使用して作成されたコンテンツは以下の通りとなります。

図2：ダッシュボード

プリセット活用方法

Microsoft 365のプリセットは、以下のような場面で活用することができます。

• ダッシュボード/レポートで、Microsoft 365向けの通信傾向やネットワーク負荷を常時監視（図2）
• プロファイルでMicrosoft 365アプリケーションで帯域を占有しているユーザ端末を素早く特定（図4）

Microsoft 365以外にも様々なユースケースに沿った便利なプリセットが多数提供されています。例えばNPM Alertsでは、ラウンドトリップタイム（ネットワーク遅延）、サーバーレスポンスタイム（サーバー遅延）、リトランスミッション（TCPの再送回数）に関する3つのアラートが作成されます。それぞれの基準値からの急激な逸脱が発生した場合に通知が行われ、ネットワーク起因の遅延なのか、サーバー側の応答遅延なのかといった問題の切り分けを早期に行うことができ、障害対応時の初動を大幅に短縮することが可能になります。

おわりに

本コラムでは、Flowmonにおけるプリセット機能についてご紹介しました。プリセット機能を活用することで、プロファイルやダッシュボード、レポート、アラートといった設定を効率的に構成でき、ネットワークの可視化や解析をこれまで以上に簡単かつスピーディに実現することができます。特に、Flowmonの導入初期や新たな監視対象を追加する場面において、プリセットは運用設計の出発点として有効な機能と言えるでしょう。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年12月22日

1.はじめに

総務省は2025年9月、SNSを通じた詐欺などの被害抑止のため、SNS事業者らに通信履歴を最低でも3～6カ月程度保存することを求める事業者向け指針の改正案を公表しました。この改正案は、従来の「原則として通信履歴は速やかに破棄する」という方針から大きな転換を意味するものであり、SNS事業者に限らず、通信ログの扱いに関心を持つ多くの企業にとっても無視できない動きと言えます。
本稿では、この指針改正の背景と内容を整理したうえで、企業が実務上どのような課題に直面するのか、そして通信内容を記録せずに通信履歴を管理する一つの手段として、NetFlow／IPFIX技術およびネットフロー解析ソリューション「Flowmon」を活用する方法について考察します。

2.マルチクラウド構成が生む複雑性とリスク

近年、SNS上での誹謗中傷や詐欺被害が深刻化しています。特に2023年下半期以降、なりすまし型の偽広告を端緒としたSNS型投資詐欺などが急速に拡大し、社会問題として広く認識されるようになりました。

こうした被害に対して、被害者が発信者情報の開示を請求しても、事業者が通信履歴を既に削除しているため、加害者を特定できないケースが多発していました。この課題を受け、総務省の有識者会合が2025年7月にまとめた報告書案では、通信事業者に対して通信履歴を最低3～6カ月保存することを推奨する制度改正案が示されました。なお、本指針は法的義務ではなく、事業者に対する要請という位置づけであり、違反に対する直接的な罰則は設けられていません。しかし、世界的には通信ログの保存義務化が進んでおり、EUでは2018年に一般データ保護規則（GDPR）が施行され、英国では2023年にオンライン安全法が制定されるなど、各国で法整備が進んでいます。日本も今後、こうした国際的な流れに沿った法制化が進む可能性があります。よって、ガイドラインとして示された以上、多くの事業者が一定の対応を検討することが想定されます。
今回の指針で保存対象となる通信履歴には、以下のような情報が含まれます。

• IPアドレス
• 電話番号
• 通信日時
• アカウントに関する識別情報

いずれも通信内容そのものではなく、いわゆる「メタデータ」に該当する情報であり、メール本文やチャットメッセージの内容が保存対象となるものではありません。

3.NetFlowが最適な理由

この要請に対して、NetFlow/IPFIX技術が最適な解決策となり得ます。NetFlowの最大の特徴は、パケットのペイロード(実データ)部分を破棄し、通信に関するメタデータのみを記録することです。パケットをそのまま保存するフルパケットキャプチャ方式と比較すると、NetFlowのデータ量は1/500～1/1000程度となり、同じストレージ容量で遥かに長期間の通信ログを保存できます。そのため、3〜6カ月という保存期間の要請に対しても現実的なコストで対応しやすいという利点があります。また、通信内容（メール本文、チャットメッセージ、Webページの内容など）は記録されないため、利用者のプライバシーに配慮した形でログを保存できます。
NetFlowには、主に以下の情報が記録されます。

• 送信元/宛先IPアドレス
• ポート番号
• プロトコル
• 通信日時
• 通信量（バイト数/パケット数）

これらの情報から「どの端末が」「いつ」「どのような通信を行ったか」といった通信の状況を把握できます。この点において、NetFlowは今回の指針が想定する考え方と親和性の高い方式の一つであるといえるでしょう。

4.Flowmonで実現できること

ネットフロー解析ソリューション「Flowmon」は、NetFlow/IPFIXデータを活用し、通信履歴の保存と分析を支援する製品です。ここでは、通信履歴管理の観点から代表的な機能を紹介します。

過去への遡及調査

先述のようにFlowmonは、ネットワーク上のフロー情報を取得し、「誰が」「いつ」「何をしたか」を可視化できます。これにより、以下のような分析が可能になります。

• IPアドレスを基に端末毎の通信状況を可視化
• 使用したアプリケーションの特定
• 通常とは異なる通信パターンの検出

これらの情報は、単なるコンプライアンス対応だけでなく、セキュリティ対策やネットワーク運用の最適化にも活用できます。

レポーティングとコンプライアンス対応

Flowmonにはレポート機能が備わっており、任意の期間や条件で通信状況を整理したレポートを出力できます。特定のIPアドレスやアドレス範囲によるフィルタリング、トラフィック量による並び替えなどを行うことで、ネットワークの変化や異常を可視化できます。定常監視により長期的な視点でトラフィックの傾向を把握し、監査対応や社内会議のための文書作成を効率化できます。

セキュリティ強化への貢献

Flowmonは、単なる通信解析兼ログ保存ツールではありません。拡張プラグインである「Flowmon ADS（Anomaly Detection System）」を追加することで、フロー統計情報の定常的な評価に基づき、ネットワーク上の異常や不適切な振る舞いを検出できます。ポートスキャン、標的型攻撃、不正なアプリケーションの使用、情報漏洩の兆候など、様々なセキュリティインシデントを早期に発見し、対処することが可能になります。過去のログも長期間保存出来るため、インシデント発生後のフォレンジック調査に活用できます。

5.社会的意義と懸念事項

今回の指針改正には、被害者救済や犯罪抑止という明確な社会的意義があります。通信履歴が一定期間保持されることで、事後的な検証が可能となり、不正行為に対する抑止効果も期待されます。 一方で、懸念事項も存在します。最も重要なのは、通信履歴の保存拡大が監視社会化につながるのではないかという懸念です。現時点では3～6カ月という期間に限定されていますが、将来的に保存期間がさらに延長される可能性は否定できません。実際、警察庁は犯罪捜査のために保存期間を1年6カ月にする意見を出していましたが、今回は採用されなかった経緯があります。また、通信履歴というメタデータは、通信内容そのものではないものの、誰がいつ誰と通信したかという情報から、個人の行動パターンや人間関係を推測することが可能です。こうした情報の集積が、プライバシーに対する脅威となる可能性も指摘されています。

6.おわりに

通信の秘密という憲法上の権利と、被害者救済や社会的安全の確保。この二つのバランスをどう取るかが、今回の指針改正の本質と言えるでしょう。NetFlowは、この難しいバランスに対する最適解だと考えています。

Flowmonのようなネットフロー解析ソリューションは、プライバシーに配慮しながら通信履歴を確保し、さらにセキュリティ強化やネットワーク運用の最適化という付加価値も提供します。今回の指針は直接的にはSNS事業者を対象としていますが、通信ログをどのように保存し、どのように活用するかという課題は、今後あらゆる企業に共通するテーマとなっていくでしょう。自由と安全の両立を図りながら、持続可能なデジタル社会を実現するための取り組みが求められています。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年12月2日

1.はじめに

AWS、Microsoft Azure、Google Cloud Platform（GCP）をはじめ、主要なクラウドサービスが登場して20年以上が経ちました。現在では多くの企業がオンプレミスとクラウドを組み合わせたハイブリッド構成を採用し、一部では基幹システムを含めて全面的にクラウドへ移行する動きも進んでいます。最近では、日本取引所グループ（JPX）が適時開示情報閲覧サービス（TDnet）の基盤を2027年度にAWSへ移行すると発表するなど、クラウド活用はさらに広がりを見せています。 一方で、クラウド移行を進めた結果、かえって運用管理が複雑化し、課題が顕在化した企業も少なくありません。中にはオンプレミスへの回帰を検討するケースも見られるようになりました。
本記事では、クラウド利用が当たり前となった今の時代においてなぜ通信が“見えない”状況になるのか、そしてその課題をどのように解決できるのかについて解説します。

2.マルチクラウド構成が生む複雑性とリスク

クラウドが普及した大きな理由として、

• サーバーを自社で用意せずに利用できる
• 使った分だけ支払う従量課金で無駄なコストを削減できる
• 導入・運用に必要な作業が大幅に軽減できる

といったメリットがあります。
しかし複数のクラウドサービスを組み合わせるマルチクラウド構成が進むにつれ、通信経路は一気に複雑化しました。ユーザーのアクセスはSaaS、IaaS、オンプレをまたいで発生し、どの区間で遅延が起きているのかを特定しにくくなっています。 オンプレ環境ではネットワーク機器に直接アクセスして状況を確認できますが、クラウドでは通信経路の詳細がサービス側の仕組みに依存するため、管理者が把握できる範囲が限られます。
その結果、

• 「どこで遅延しているのかわからない」
• 「SaaSが遅いのか、ネットワークが遅いのか判断できない」

といったトラブルが発生しやすくなりました。
さらに複雑化はセキュリティリスクの増加にもつながります。

• クラウド同士の通信異常に気付きにくい
• 外部との通信が複雑になり、不審な接続が見逃される
• C2通信^※の早期発見が困難

※ Command and Control通信。攻撃者がマルウェアを操作するために使う通信のこと。

環境ごとに監視が分断されることにより、可視性のギャップが広がってしまうのです。

3.フローデータがクラウド可視化に適している理由

オンプレとクラウドが混在する環境では、通信がどこで、どれだけ、どのように行われているのかを一元的に把握するのが難しくなります。この課題に対して、近年あらためて注目されているのがフローベースの監視です。
フローデータとは、通信の中身（ペイロード）ではなく、

• 送信元/宛先IPアドレス
• ポート番号
• 通信量（バイト数/パケット数）
• 通信の回数・頻度
• HTTPホスト名など一部のL7情報^※

※標準的なNetFlow/IPFIXでは取得できませんが、Flowmon Probeで生成したフローにより取得可能

といった共通の属性を持つ通信のまとまり（メタデータ）を記録した情報です。
クラウドサービスが標準で提供するFlow Logsとも親和性が高く、オンプレとクラウドを同じ形式で扱えることが大きな利点です。

暗号化通信が増えても可視化できる理由

HTTPS/TLS通信を標準で採用しているクラウドサービスの普及によって、ネットワーク全体で暗号化通信が急増しています。暗号化通信では、送受信されるデータのペイロードが暗号化されるため、通信の内容を確認することが難しくなりつつあります。 しかし、フロー監視はそもそも「通信内容を見るのではなく、通信のまとまりを観察する」 ことを目的としています。主に暗号化通信で暗号化されるのはペイロードのみであり、フロー情報のもととなるパケットヘッダー（送信元・宛先IPアドレス、ポート番号など）は平文のまま残されているため、暗号化の有無に影響されず監視が可能です。
つまり、通信の中身が見えなくても「どこで」「どれくらい」「どのような通信が行われているか」を把握できるのがフローデータの強みと言えます。さらに、通信内容に触れないという特性上、「プライバシー侵害リスクが低い」「復号鍵の管理が不要」「コンプライアンス面の懸念が少ない」「実装・運用コストが抑えられる」といったメリットもあり、監視対象が増えるクラウド環境では特に有利です。

分散環境でも広く収集できる

クラウドでは通信が複数の経路に散らばりますがフローデータは軽量であるため、複数環境から収集してもネットワーク負荷やコストが膨らみにくい点も利点です。 このように、「軽量で広範囲の収集が可能」かつ「暗号化通信でも可視化できる」という特性から、クラウド可視化においてフローデータは非常に相性が良い技術と言えます。

4.Flowmonによるハイブリッドネットワークの一元可視化アプローチ

Flowmonはこのフローデータを中心にネットワーク全体を可視化するソリューションです。オンプレの機器から取得したデータだけでなく、Flow Logsも取り込み、オンプレとクラウド双方を一つの画面で把握できます。

①遅延原因を素早く特定

フロー情報を分析することで、

• 回線の混雑
• クラウド区間の輻輳
• サーバー側の遅延

などを切り分けることができ、問題箇所の特定に時間が掛かりません。

②帯域のひっ迫や利用傾向の可視化

フロー量の推移を見ることで、

• 拠点の帯域不足
• 一時的なバックアップや更新による負荷
• SaaSの利用状況

といった傾向も把握できます。
フロー分析は「通信量が多い」リソースだけでなく、「通信量が少ない」または「全く通信していない」リソースの特定にも有効です。 クラウド環境では手軽にインスタンスを構築できる反面、開発・検証用に立ち上げたサーバを作成したまま放置されているケースも少なくありません。 こうした放置されたインスタンスは、通信がほとんど発生していないにもかかわらず、起動している限り料金が発生します。 Flowmonで長期間通信が発生していないインスタンスを特定することで、不要なリソースを洗い出し、無駄なコストを削減することができます。

③不審な外部通信の検知（Flowmon ADS）

Flowmonのセキュリティソリューション ADS（異常検知）を組み合わせると、

• 海外への不自然な通信
• 頻繁に接続を繰り返す端末
• マルウェア感染の疑いがある動き

といった、通常のログでは見つけにくい兆候も検出できます。 このように、Flowmon一台でハイブリッド・マルチクラウド構成でも「誰が」「どこへ」「どのくらい」「どのような傾向で」通信したかの統合的監視から、クラウド利用の課題であったセキュリティ強化に至るまで、網羅的な対策が可能となります。

5.まとめ：クラウド時代の通信可視化はフローベースへ

クラウド化が進み、通信経路が複雑に分散する現在、従来の監視方法だけではネットワークの全体像を把握することが難しくなりました。暗号化通信の増加、ゼロトラストの普及、ネットワークセキュリティ境界の曖昧化は今後さらに進むため、通信のメタデータを俯瞰して捉えるというアプローチが必須になります。 その中で、フローデータはクラウド可視化の中心的な役割を果たし始めています。 Flowmonはこのフローデータを高度に扱える監視基盤として、ハイブリッドネットワークの実態把握とセキュリティ強化を両立するツールです。クラウド移行が当たり前になる今こそ、フローベースの可視化により「見えない通信」を減らし、ネットワークの健全性を維持する仕組みが求められています。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年11月6日

1.はじめに

前回コラムでは、ネットワーク監視の三つの視点として、NetFlow・PCAP・SNMPを紹介しました。今回のコラムではその中でも弊社が扱うFlowmonが採用するNetFlowについて、さらに掘り下げていきたいと思います。フロー情報の仕組みやバージョンごとの進化、NetFlowとsFlowの違いまでを順を追って解説していきます。

2.ネットワークフローとNetFlowの概要

本章では、ネットワークフローの概念を整理し、通信の全体像を理解してNetFlowとは何か、どのように扱われるのかを解説していきます。
ネットワーク上に流れる通信を分析するツールとして「ネットワークフロー」という考え方があります。フローとは、送信元/宛先のIPアドレスやポート番号、プロトコルなどの共通した属性を持つパケットのまとまりを指します。 例えば、「ユーザがWebサイトを閲覧する通信」や「サーバにファイルをアップロードする通信」など、一連のやり取りを1つの単位（フロー）として扱うことで、誰がどこへ、どれくらい通信をしているかを把握することができます。
このフローという考え方を実際の仕組みとして実装したのがNetFlowです。 NetFlowはCisco社が開発した技術で、特徴的な仕組みとしては、まずルータやスイッチなどのネットワーク機器を通過するパケットを監視し、同じフローに属するパケットをまとめて1つのフロー情報として生成します。各フローには、送信元・宛先IP、ポート番号、プロトコル、パケット数やバイト数、開始・終了時刻、TCPフラグなどの情報が含まれます。NetFlowで収集されたフロー情報は、可視化ツールや分析ソフトウェアを活用し、単なるトラフィック量の把握だけでなく、どの通信がどれくらいの帯域を使用しているか、異常な通信が発生していないかなどを詳細に分析できます。

3.NetFlowの進化と各形式の特徴

本章では、NetFlowがどのように進化してきたか、各形式の特徴を整理します。 初期のNetFlowであるNetFlow v5では収集できる情報がIPv4アドレス、ポート番号、プロトコル、パケットやバイト数などに限定された、固定形式のデータフォーマットを使用していたため拡張性が低く、主にCisco装置間での利用に限られていました。 その後登場したNetFlow v9では、テンプレート方式のデータフォーマットが導入され、収集するフィールドを柔軟に指定できるようになりました。これによって、IPv6やMPLS、VPNラベル、アプリケーション識別など、より詳細な情報の取得が可能となりました。さらに、データフォーマットの柔軟性により、必要な情報のみを効率的に出力できるようになったことで、従来の固定形式よりも複雑なネットワーク環境や分析ニーズに対応できるようになりました。 そして、NetFlow v9をベースに、IETF標準として策定されたのが IPFIX（IP Flow Information Export） です。IPFIXではベンダー間での互換性が高まり、異なる装置間でも同一のデータ形式でフロー情報をやり取りできることが大きな特徴です。IPFIXはNetFlow v9と同じテンプレート方式を採用していますが、NetFlow v9そのものではなく、NetFlow v9をもとに標準化された別仕様の規格として位置づけられています。 このように、NetFlowは収集情報の範囲やデータフォーマットの柔軟性、標準化・互換性の面で進化してきました。

4.sFlowとNetFlowの違い

前章では、NetFlowやIPFIXを取り上げ、それぞれの特徴について解説しました。
これらと同じく、ネットワークフローを収集する技術としてsFlowがあります。ネットワーク上を流れる通信を観測するという点はNetFlowと同じ考え方になりますが、sFlowはサンプリング方式を採用している点に違いがあります。すべての通信を詳細に記録するNetFlowとは異なり、ネットワーク上を流れる膨大な通信の中から、例えば1,000パケットに1つ（1/1,000）といった割合でパケットを抽出し、そのヘッダ情報を通信全体の疑似的な統計として利用します。これにより、大規模ネットワークでも機器負荷やデータ量を抑えつつ、全体のトラフィック傾向を把握できます。
その一方で、すべての通信を収集するわけではないため、通信分析の面では情報の粒度が低下してしまいます。 そのため、詳細分析やトラブルシューティングなど通信単位の分析を行いたい場合にはNetFlowが適しており、大規模ネットワーク環境での全体傾向の把握やキャパシティプランニングはsFlowが有効です。

表1:比較表：NetFlow vs sFlow

5．まとめ

本コラムでは、NetFlowの基本概念から、バージョン・規格ごとの特徴までを解説しました。 弊社が扱うFlowmonでは、NetFlow v5やv9、IPFIX、sFlowなど主要なフロー規格に幅広く対応しており、フローデータを用いて通信の可視化・分析をすることができます。これにより、ネットワーク運用の最適化やトラブルシューティング、帯域利用状況の把握など、さまざまな場面で意思決定を支援することが可能です。
今後は、クラウドサービスの導入や拠点間接続の多様化により、ネットワーク環境はますます複雑化していくことが予想されます。こうした中で、フローデータを活用した可視化・分析は単なるトラフィック把握にとどまらず、問題の早期発見、運用計画の立案、資源配分の最適化など、ネットワーク管理全般における重要な判断材料となるでしょう。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年10月7日

1.はじめに

ネットワーク監視の方法、トラフィック測定の方法として、様々な手法がありますが、中でも代表的なものとしてPCAP（パケットキャプチャ）やSNMP、NetFlowが挙げられます。 それぞれ異なる特徴や得意領域があり、どの方式を選択するかによって得られる情報や運用負荷は大きく異なります。 本コラムでは、PCAP、SNMP、NetFlowの３つの手法を比較しながら、それぞれの役割を整理するとともに、どのように活用するとより効果的にネットワーク全体の可視化・監視を行えるかについて考えていきます。

2.それぞれの仕組みと特徴

PCAP

PCAPはネットワーク上を流れるパケットをTAP/SPANポートでコピーし収集することで、ヘッダからアプリケーション層のデータ（ペイロード）までを記録し、トラフィックの詳細な解析を行う手法です。 利点は明確で、パケットヘッダ情報やペイロード（暗号化されていない場合）等の通信内容を完全に再現することができるため、不正アクセスの調査や通信不具合の詳細な切り分けに強みを持ちます。一方で実データを取得するためデータ量は膨大になり、長期保存には不向きです。例えば平均1Gbpsの通信を1日分取得すると、データ量は10.8TBと非常に大きくなります。したがってスポット的な深堀調査には有効ですが、常時運用の基盤には向いていません。

SNMP

SNMPは、ネットワーク機器の状態や統計情報を取得するためのプロトコルで、多くのルータやスイッチ、サーバなどが標準で対応しています。 仕組みとしては、管理対象機器（SNMPエージェント）の基本情報やインターフェースの状態、機器リソースなどが定義されたMIB（Management Information Base）という管理情報のデータベースを使用します。SNMPマネージャーがこれをポーリングしたり、機器側からトラップとして通知を受け取ったりすることで情報を収集します。
したがって、SNMPで取得できる情報の強みは、インターフェースの帯域使用率やエラーカウンタ、CPU・メモリ使用率などの機器内部の管理統計となります。 SNMPはほぼすべての機器で利用可能なだけでなく、データ量が非常に小さいことも特徴の一つです。例えば、1台の機器で10個のMIB項目を1分間隔で取得する場合、1日あたり1.44MB程度しかありません。これらの特徴から、SNMPはトラフィック量の監視やCPU/メモリ使用率などのリソース管理に広く使われています。しかしネットワーク可視化の観点では「どれだけ流れているか」は分かりますが、「誰が・いつ・どのような」といった通信の内訳を分析することはできません。

NetFlow

NetFlowはCiscoが開発した、フロー（送信元／宛先IP、ポート、プロトコルで構成される通信のまとまり）を単位としてトラフィックのサマリを収集する技術です。ルータやスイッチなどのネットワーク機器、またはFlowmon Probeのようなフロー生成機からCollectorへ送信し、蓄積・分析に利用できます。 NetFlowで取得できる情報は、送信元/宛先IPアドレス、ポート、プロトコル、通信量、セッション時間などのメタデータです。これにより「誰が・いつ・どのような通信をしたか」といったネットワーク利用状況を把握できます。 また、NetFlowはパケットのヘッダ情報だけをサマリしてペイロードは破棄するため、データ量はパケット全体を保存するPCAPと比べて約1/500と圧倒的に少なく、長期間・広範囲の通信状況を可視化することができます。 例えば、平均1Gbpsのトラフィックを取得した場合、パケットそのものは1日で10.8TBになりますが、NetFlowでは約21.6GBまで抑えられます。このようにデータ量を大幅に削減できるため、より長期間にわたって記録・分析を行うことが可能です。つまり、NetFlowはトラフィック傾向分析や異常検知といった常時運用に適した手法と言えます。

表1:比較表：PCAP/SNMP/NetFlow

3.利用シーンと活用方法

PCAP

PCAPはネットワーク上のパケットをヘッダからアプリケーション層まで取得できるため、一般的にはトラブルシュート時に多く活用されます。 具体的な例として、Webサーバとの接続エラーがどの段階（TCP 3ウェイハンドシェイクやTLS証明書交換など）で起きているのかを、パケットごとに順を追ってペイロードの中身まで踏まえながら特定可能です。別の例では、特定経路で通信できなくなった場合、経路上の各ノードでPCAPを取得することで、パケットがドロップしているポイントを特定することができます。このように、PCAPはピンポイントなトラブルシュートとして非常に有効なツールです。

SNMP

SNMPはネットワーク機器の状態や統計情報を収集するため、日常的な運用監視やリソース管理に適しています。SNMPでは主にポーリングとトラップという2つの方法で情報を取得できます。 ポーリングでは、ルータやスイッチのトラフィック量やCPU使用率、メモリ使用率、インターフェースの帯域利用状況などを定期的に確認できます。 例えば、ある拠点のルータでCPU使用率が高くなっている場合、ポーリングで早期に検知し負荷分散などの判断に繋げることができます。
一方、トラップでは、機器が異常やダウンを検知した際に自動で通知が送信されるため、迅速な対応が可能です。 例えば、リンクダウンやインターフェース障害が発生した場合、即座にアラートを受け取ることで障害箇所の特定や迅速な復旧作業が行えます。 このように、SNMPを活用することで、日常的な運用監視や死活監視、障害対応の効率化、ネットワークの安定稼働に役立てることができます。

NetFlow

NetFlowはフローベースで通信状況を収集します。これによりネットワーク全体のトラフィック傾向把握や長期間の利用状況分析に強みがあります。そのため、帯域使用率の増加やネットワーク遅延の原因特定、現状の帯域幅が適切かどうかを確認したいという要件に適しています。 例えば、社内ネットワークの各拠点からどのサービスにどれだけアクセスされているかの把握や新しいサービス導入・回線増強の判断材料に活用することができます。さらに、Flowmon製品の一つであるFlowmonProbeを併用することで、HTTPヘッダやTLS SNI情報からアプリケーション識別もでき、部門ごとのクラウドサービス利用状況の可視化に活用できます。事例として、業務時間中に「インターネットが遅い」という事象が発生したとします。NetFlowのデータを確認すると、帯域使用率が急増している時間帯に、YouTubeやOneDrive通信が大半を占めており、動画閲覧と大容量ファイルのアップロードが原因と特定することが可能です。さらに送信元IPから特定ユーザーのPCを突き止めることもできます。このように、NetFlowを用いることで「誰が・いつ・どのアプリケーションで」帯域を圧迫していたかを把握し、迅速な原因究明と対策に繋げることができます。

4.終わりに

本コラムでは、様々なネットワークの可視化・監視手法がある中で、PCAP、SNMP、NetFlowの3種類を挙げました。それぞれ異なる特徴や得意領域があるため、一つのツールに頼らずに、用途に合わせて適切なツールを選択することが重要です。
弊社が扱うFlowmonでは、NetFlow/IPFIXベースでのフローデータ収集・分析に特化して設計されており、長期的なトラフィック傾向把握やアプリケーション利用状況の可視化といった要件に対応できます。さらに、Flowmon ADSというプラグインを追加することでネットワーク異常やセキュリティ上のリスクを早期に検知できる点も大きな強みとなっています。日常的なネットワーク可視化では、NetFlow/IPFIXを軸にPCAPとSNMPを必要に応じて組み合わせることが、より効率的な運用に繋がるのではないでしょうか。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事：

• Flowmon製品のお客様評価
• Progress社技術担当役員へのインタビュー

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年9月1日

1.はじめに

近年、情報セキュリティの重要度はますます高まっております。前月公開のコラムではNetFlowを活用した振る舞い検知型NDRソリューション「Flowmon ADS」について、最新のセキュリティ情勢にマッチしたNDRの強みをご紹介いたしました。Flowmon ADSでは、今年7月に最新バージョン12.05が国内リリースされ、よりご利用いただきやすくなるアップデートのほか、新興のサイバー攻撃に対応する「脅威ブリーフィング」機能が新たに追加されました。そこで今月のコラムでは、前回に引き続きADSのご紹介として、最新アップデートに触れつつ、ADSで対応できる脅威について、具体的な攻撃シナリオに沿って詳しく解説いたします。 また当社オリゾンシステムズでは、現在期間限定でFlowmon ADSの大幅なディスカウントキャンペーンを実施しております。加えて、ADSの魅力を知っていただくための特別セミナーも開催しており、実機によるイベント検知の実演や運用に役立つノウハウのご紹介、ディスカウントキャンペーンの詳細など盛りだくさんの内容となっていますので、ご興味のある方はこちらもぜひご参加ください。
▼前回の記事はこちらからご覧ください。
▼次回以降のセミナーへのお申し込みはこちらからお願いいたします。

2. Flowmon ADSによる脅威の検知

Flowmon ADSでは、通信の送受信者やプロトコル、データ量等を基にネットワーク全体を可視化します。さらに、機械学習による傾向の予測や兆候レベルでの異常検知が可能です。検知には、不審な通信に特有の振る舞いを定義したメソッドと呼ばれるものが使用され、マルウェアやDoS攻撃、ポリシー違反など様々な脅威に対応した44種類（2025年8月時点）のメソッドが定義されています。それでは、具体的な攻撃の流れとともに、検知に使用されるメソッドのいくつかをご紹介していきます。

外部からの攻撃

現代のサイバー犯罪は侵入から目的遂行までが段階的に行われ、それぞれのフェーズで多種多様な攻撃手法が利用される計画的かつ複雑なものとなっています。標的型攻撃を用いたシナリオを例として、各フェーズにおける攻撃とADSによる検知を見てみましょう。
標的型攻撃とは特定企業や個人を標的としたサイバー攻撃を指し、ばらまき型のフィッシングメールなどと異なり、ターゲットに合わせて巧妙に偽装された電子メールなどを使用するため侵入の予防・検出が困難になります。侵入後は潜伏しながら内部で展開することで攻撃のための基盤構築フェーズと、情報の持ち出しなどを行う目的遂行フェーズに分けられます。

図1: 標的型攻撃シナリオ ―初期導入段階

まず初期侵入段階は、標的型メール（スピアフィッシング）や悪意あるWebサイトへの誘導から開始します。ユーザが不審な添付ファイルを開封したり、偽装URLにアクセスしたりしてしまうことで、端末がマルウェアに感染します。感染したユーザ端末は、多くの場合攻撃者が設置したC&C（Command and Control）サーバへ通信を行います。C&Cサーバは攻撃者の司令塔として機能し、マルウェアの制御や感染端末へ攻撃ツールのインストール等を行います。この時、ADSでは国外のサーバやブラックリストに載っているIP、ランダムなドメインとの通信を検知し、C&C通信を発見します。

図2: 標的型攻撃シナリオ ―基盤構築段階

続いて、潜伏と侵入の拡大が行われる基盤構築段階では、目的の情報への到達を目指して最初の感染端末を起点に内部展開（ラテラルムーブメント）を行います。具体的にはポートスキャンや辞書攻撃を使ったネットワークの脆弱性探索が行われますが、ADSではこれらの通信を検出することが可能です。それ以外にも、機械学習ベースのANOMALYメソッドなどでは、端末の過去の通信傾向を基にした予測値と実際の通信とを比較して異常を検知します。これにより、不審なサーバからのファイルダウンロードや、過去全く通信がなかった相手との急な接続といった目立たない兆候もとらえることができます。

図3: 標的型攻撃シナリオ ―目的遂行段階

最終フェーズの目的遂行段階では、情報窃取や業務妨害等を目的とした攻撃が実行されます。ネットワーク内で大量のデータのやり取りや外部サーバへのデータの送信といった急激な通信パターンの変化、BitTorrentのような不正なP2P通信などの検知は情報漏洩や不正アクセスの可能性が高く、迅速な対処が求められます。
標的型攻撃の中でも特に高度なものはAPT（Advanced Persistent Threat: 高度かつ継続的な脅威）と呼ばれ、大企業や国家機関を対象に数カ月から数年間にわたって潜伏した状態で攻撃が継続されることもあります。また、標的型攻撃による情報窃取とランサムウェアを組み合わせて身代金を要求するケースや、DDoS攻撃を同時に仕掛けることで標的型攻撃をカモフラージュするようなケースもあり、いずれの場合も不審な兆候を見逃さず、初期侵入段階や潜伏期間といった早期の検出が非常に重要です。

内部脅威

ネットワーク内部に潜む脅威は、主に以下の3つに分類されます。

• 不注意な内部者（メールの誤送信やフィッシングの被害等）
• 悪意のある内部者（意図的な情報漏洩やデータ破壊）
• 危殆化した内部者（流出した内部情報を使用したなりすまし等）

本来信頼できる領域とみなされてきた”ネットワーク内部”は、従来型セキュリティの死角になりがちでした。さらに近年では、サプライチェーンを構成する関連企業や委託先も“内部者”と捉える必要性が高まり、内部脅威への対策は極めて重要な課題となっています。

図4: 内部脅威

内部脅威では、「不審なアクセスパターン」や「大容量のデータ転送」などの兆候がしばしば見られます。ADSは、機械学習を用いて予期されない接続先との通信や社内システムへの不要なアクセスの検出、大容量ファイルの転送やアップロードの検出が可能です。さらに、未確認端末の接続、TORやTELNETなどの社内ポリシーに違反するプロトコルの使用や、ユーザ情報の窃取に使用されることの多いDNS/DHCPスプーフィングなども検知できるため、情報窃取の前兆段階から対策をとることもできます。内部脅威対策には、こうしたプロアクティブな検知に加えて、”内部者”のセキュリティ意識向上も不可欠です。ADSは、通信の証跡記録やユーザアクティビティの追跡によってネットワーク内の監視カメラとして機能するため、過失や悪意ある情報漏洩の抑止にも効果的といえます。

3. 新機能「脅威ブリーフィング」

今年7月より利用可能となった最新バージョン12.05では、日々新たに登場する脅威に対して、継続的なアップデートにより最前線の防衛を実現する新機能「脅威ブリーフィング」が実装されました。この機能では、AIを活用した巧妙なフィッシングや、新型のマルウェア、未修正の脆弱性を狙った攻撃など、世界的に注目度の高い様々なゼロデイ脅威を検知します。検知には「THREATS」メソッドというこちらも新たに追加された新メソッドが使用され、AIによる振る舞い定義と情報セキュリティの専門家によるレビューを経て、各脅威の検知に最適なメソッドが随時リリースされます。

図5: 脅威ブリーフィング画面

4. おわりに

Flowmon ADSは、多数のメソッドを使用してネットワークに潜む様々な脅威を検知できます。NetFlowによる通信可視化と機械学習を活用した振る舞い検知によって、非常に多岐にわたる脅威に対応できることがお分かりいただけたのではないでしょうか。冒頭でもご紹介したADS特化セミナーでは、模擬攻撃を行って実際にADSで検知される様子をお見せするデモパートもございます。実際の使用感をイメージしていただきやすい内容になっておりますので、本コラムでADSの振る舞い検知にご興味を持っていただけた方にはぜひご参加いただきたく思います。これからのセキュリティに必要不可欠な脅威の早期発見と事後対応の迅速化をサポートするFlowmon ADSを、セキュリティ強化の第一歩としてぜひご検討ください。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年8月4日

1.はじめに

今日の情報社会の発展の陰で、情報資産を脅かすサイバー犯罪は高度かつ巧妙な手口へ進化しており、多層的な保護と迅速な対応を実現するセキュリティが必要とされています。Progress社のブログ「Analysts Share Their 2025 Cybersecurity Predictions（https://www.progress.com/blogs/analysts-share-their-2025-cybersecurity-predictions）」では、ランサムウェアの脅威に加え、SNSや生成AIの悪用、サプライチェーン攻撃など、新たな攻撃リスクの増加が指摘されています。特に、SNSやサプライチェーンといった、これまで見過ごされがちだった領域からの攻撃により、侵入に気づきにくい「ステルス性」の高さが大きな特徴といえます。さらに、発覚後の対応体制の不備が被害を拡大させるケースも多く、”早期発見”と”迅速な対応”の重要性が増しています。加えて、クラウドやリモートワークの普及によりネットワーク境界が曖昧となった昨今では、内部からの情報漏えいリスクも無視できない課題となっています。
これら脅威の変化に対して、従来の境界型やシグネチャベースの防御では対応が不十分となりつつあり、ゼロトラストやSIEM（Security Information and Event Management）などを活用した多層防御といった”新しい情報セキュリティ”への移行が世界的なトレンドになっています。このような背景で現在注目されているのが、「Flowmon ADS（Anomaly Detection System）」をはじめとした、ネットワークの“振る舞い”に基づいて攻撃を検知するNDR（Network Detection and Response）型の製品です。海外ではFlowmonユーザの約4割のお客様にADSをご導入いただいており、ネットワークの可視化と脅威検知の組み合わせが有効な対策として受け入れられていますが、一方で日本国内での導入率はやや低く、まだ普及の途上にあります。これには、セキュリティ対策を導入する段階における技術的・運用的なハードルや優先度、製品等の具体的な情報の不足が背景にあるのではと考えられます。
そこで、本コラムではFlowmon ADSの強みと、現代の脅威に対してどのように有効かを詳しく解説いたします。ADSの導入を検討いただいているお客様だけでなく、「既存の従来型セキュリティに不安を感じており、始めやすいきっかけを探している」「NDRの導入でどのような効果を得られるか知りたい」といった課題をお持ちのお客様に、ぜひご一読いただきたい内容となっています。

2.Flowmon ADSとは

Flowmon ADSはNetFlowを使用してネットワーク内のトラフィックを監視し、通信の”振る舞い”から異常を検知します。その最大の強みは以下の3点にあります。

振る舞いベース検知

振る舞いベース検知はシグネチャのような明示的な特徴ではなく、既知脅威に類似した通信傾向からリスクを”推定”して検知を行います。このような推論的・経験則的な手法はシグネチャベースより精度は劣るものの、課題とされていた未知のマルウェアやゼロデイ攻撃にも対応できることが強みです。ADSでは監視対象のネットワークごとに機械学習でベースライン（正常な振る舞い）を構築し、人間の目では気づきにくいような異常も高精度で検知しながら、チューニングによって不要な誤検知は最小限に抑えます。

ネットワークレイヤの監視

ファイアウォールやIDS/IPSといった境界セキュリティ、アンチウイルス等のEPPやEDRといったエンドポイントセキュリティは現在ほとんどの企業様で実装されていますが、その間に位置するネットワークレイヤは手薄になりがちです。ADSではネットワーク内を流れる通信を監視するため、境界とエンドポイントとの間のギャップを補完した多層防御を実現できます。境界/エンドポイントをすり抜けてしまった攻撃にも気づくことができるほか、社内サーバのなりすましやデータの持ち出しといった内部脅威にも対応が可能になります。

リアルタイムのネットワーク可視化

ADSでは40を超えるメソッド（脅威に特徴的な通信の振る舞いパターンを定義したもの）を使用してネットワーク内のあらゆる通信を見分け、異常なイベントをリアルタイムでアラートします。さらに異常が検知されたホストの動きを時系列で追跡したり、感染の様子から侵入経路を特定したりといった分析を行うことが可能です。また、インシデント証跡として該当通信のNetFlowデータの記録や、ファイアウォール・ネットワークコントローラ等の外部機器との連携で該当経路の即時隔離など、即座に防御アクションに移ることが可能となります。

図1:Flowmon ADSのWebGUI画面

上記以外にも、ADSには異常検知から原因分析、事後対応までを一貫して支援する豊富な機能が搭載されている点も魅力です。直感的なGUIを使った容易な分析、MITRE ATT&CKフレームワークと照らし合わせた脅威の分類や、分かりやすい文章でのイベント概要により、オペレーションの負荷が大幅に軽減されます。先日国内リリースされた最新バージョンのv12.05では、イベント詳細に原因特定や被害拡大を防ぐ是正措置につながる推奨事項も追加され、インシデント対応における意思決定をよりスムーズに行うことが可能になりました。

図2:Flowmon ADSの導入効果

💡MITRE ATT&CKフレームワークとは

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）フレームワークは、アメリカの非営利研究開発機関であるMITRE社が開発・公開しているナレッジベースで、サイバー攻撃における脅威行動を体系的に整理・分類しています。 このフレームワークは、攻撃者の「Tactics（戦術）」と、それを達成するために使われる「Techniques（テクニック）/Sub-techniques（サブテクニック）」という要素で構成されており、攻撃のライフサイクルを可視化することが可能です。
現在、以下14の戦術と、それらをさらに細分化した数百ものテクニックやサブテクニックが定義されています。これにより、防御側が脅威の全体像を把握しやすくなり、検知、対応、復旧の各フェーズにおいて実践的な対策を講じるための指針として活用されています。

3. 現代のセキュリティトレンドとFlowmon ADS

現代情報セキュリティにおけるキーワードである「ゼロトラスト」及び「SIEM」は、これからのセキュリティの基本戦略といえますが、Flowmon ADSをはじめとするNDRはこれらの実現にどのように寄与するのでしょうか。

ゼロトラストセキュリティ

図3: ゼロトラストセキュリティ概要図

従来の「境界型セキュリティ」では、ファイアウォールやIDS/IPSによってネットワークの“内部”と“外部”を明確に分離し、外部からの脅威を遮断することを基本方針としていました。このモデルには「境界の内側は信頼できる」という前提があり、一度侵入を許すと被害の拡大を防ぐのが困難という弱点があります。現代では、攻撃の高度化・巧妙化によりそのすべてを境界で防ぐのは現実的ではなくなっています。内部脅威に対する問題意識の高まりも相まって、根本からの再構築が求められています。こうした中で登場した「ゼロトラストセキュリティ」は、「すべてを信頼しない」ことを前提にした考え方で、「多角的監視」や「ユーザ認証」、「アクセス制御」がキーコンポーネントとされています。クラウドやリモートワークの普及により情報資産・ユーザが社内外に分散するようになったことで、近年特に注目を集めているゼロトラストですが、具体的に何をすべきか悩む企業様も多いのではないでしょうか。NDRソリューションは発信元に関わらずすべてのネットワーク活動を監視・検知・分析することで、内部外部を問わない包括的な可視性を提供します。これにより、境界を前提としないセキュリティの新たな視点を得ることができ、ゼロトラストセキュリティの実効性を高めることが可能です。

SIEM（セキュリティ情報及びイベント監視）

現代のセキュリティ対策では、単一のソリューションに依存するのではなく、複数の視点と技術を組み合わせた多層的なアプローチが不可欠です。SIEMとは、ファイアウォール、EDR、NDRなど多様なセキュリティツールから収集したログやアラートを一元的に管理し、相関分析を通じて異常を検知・可視化するプラットフォームです。SIEMとの連携において、NDRはデータのやり取りやユーザアクティビティといったネットワーク全体の可視性を提供し、異常検知・脅威対応を格段に強化、より迅速かつ的確なインシデント対応を可能とします。

現代のサイバー攻撃に対してはネットワークへの侵入を100%防ぐことは不可能であり、侵入してしまった脅威をいかに早期発見・対処できるかが重要となります。そのためには様々な視点からの多角的防御が不可欠であり、NDRの導入は非常に有効な手段といえるでしょう。

4. おわりに

サイバー犯罪は日々、より高度かつ巧妙な手法へと進化しており、それに応じて情報資産の防御も常にアップデートが求められています。本コラムでは、ネットワーク全体の可視化を通じて新たなセキュリティの視点を提供するNDR製品「Flowmon ADS」についてご紹介しました。Flowmonはネットワーク構成を大きく変更することなく導入できるアウトバンド型の構成であり、監視対象の機器に障害が生じた場合でも、ネットワークそのものには影響を与えないため、導入のしやすさも魅力の一つです。振る舞いベースの高度な異常検知と迅速なインシデント対応を支援する様々な機能を備えておりますので、社内のセキュリティ強化に向けた実践的かつ効果的な選択肢として、ぜひFlowmon ADSの導入をご検討いただければ幸いです。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年7月1日

はじめに

クラウド化が進む昨今、お客様の中でも社内サーバのクラウド移行を検討している、または既に移行しているというようなケースをよく耳にします。クラウド移行を検討しているお客様では、オンプレミスで設置している移行前のサーバに対して現状どれだけの通信が発生しているのかをまず可視化し、それをもとに移行後のキャパシティプランニングやローカルブレイクアウトの計画に役立てたいというようなご用件から、トラフィック可視化ツールFlowmonにご注目いただくことが多いです。既に移行を済ませているようなお客様でも、クラウドサーバとの通信可視化の必要性はオンプレ環境と変わりません。これらのようなケースでは、可視化対象はオンプレ端末-オンプレサーバ間及びオンプレ端末-クラウドサーバ間の通信となり、いずれもオンプレ側が基点となります。では、例えばクラウド上のVM同士の通信を見たい場合はどのような方法が取れるでしょうか。FlowmonではAWS（Amazon web Service）、Azure、GCP（Google Cloud Platform）の3種類のクラウドサービスと連携し、クラウドの内部通信を可視化することができます。本コラムではAWSにフォーカスし、連携方法や可視化検証をご紹介いたします。

VPC Flowログとは

AWSの内部通信は、VPC（Virtual Private Cloud）のFlowログという機能を使用することで可視化が可能です。このFlowログはCloudWatch Logs Insightsを使ってマネジメントコンソールから確認する方法や、S3バケット経由でAmazon Athena・AWS Glueなどの解析ツールと連携する方法が一般的ですが、FlowmonのFlowログ連携機能を使うことでFlowmon Collectorでも表示することができます。この機能ではFlowログをIPFIX（NetFlow）形式で収集します。収集したログは通常のネットワーク機器で生成したFlowと同様に生データ保持・解析ができるため、オンプレとクラウドでツールを分けることなく、Flowmonで一括して扱うことが可能になります。

FlowmonとVPC Flowログの連携

FlowmonとFlowログの連携は、以下のような流れで行われます。

図1: AWS Flowログ連携概要

①VPC内のリソース（EC2インスタンス等）で通信が発生すると、②ENI（Elastic Network Interface）単位でFlowログが生成され、③Amazon CloudWatchのロググループに格納されます。④格納されたログをFlowmon Collectorが1分または5分（プロファイル粒度に依存）間隔で取得し、IPFIX形式に変換して保持します。また、Flowmonで対応しているVPC Flowログレコードは、デフォルトフォーマット及びデフォルトのフィールドに「tcp-flags」を追加したカスタムフォーマットの2種類となります。VPC FlowログとIPFIX形式変換後とのフィールドのマッピングは以下の通りです。

表1: VPC FlowログとIPFIXのフィールドマッピング

なお、カスタムフォーマットを用いる場合は、表に記載の順序でレコードを作成する必要があります。 AWS連携の詳しい設定方法は弊社までお気軽にお問い合わせください。

AWS環境可視化検証

AWS上に下図のような環境を構築し、VPC Flowログを用いて実際にどのように可視化ができるのかを検証いたしました。

図2: 検証用環境の概要

Flowmonは物理版のほかにAWS等の仮想環境にも対応したアプライアンスをご用意しており、AWS版ではAWS Marketplaceにてデプロイ可能なAMI（Amazon Machine Image）を公開しております。今回の構成ではAWS版Flowmon Collector（Collector_EC2）と検証用のダミーサーバ（Test_EC2）を1台ずつデプロイし、これらのインスタンス間で通信を発生させます。Flowログの連携にはデプロイしたCollector_EC2を使用しておりますが、連携に使用するCollectorはAWS環境に設置されている必要はなく、オンプレ環境の物理Collectorでも問題ありません。 環境構築後、Test_EC2からCollector_EC2に対してping、ssh、curl（HTTPS）を実行し、これらの通信をCollector_EC2で確認しました。表1に記載の情報が取得されるはずですので、「フローのリスト」解析を用いて以下の項目を出力しています。

• 開始時間 – 最終確認
• 期間
• 送信元IPアドレス
• 宛先IPアドレス
• 送信元ポート
• 宛先ポート
• プロトコル
• パケット
• バイト
• パケット/秒
• ビット/秒
• バイト/パケット
• フロー
• TCPフラグ
• 入力インターフェース
• FlowソースIPアドレス

実際に取得された情報は以下の通りです。

図3: 出力結果

それぞれの項目がきちんと取得されており、pingの場合はプロトコルが「ICMP」、宛先ポートが「Echo reply」となっています。また、sshやcurlの場合はポートがそれぞれ「ssh」、「https」となっているほか、TCP通信のためカスタムフィールドのTCPフラグも取得されました。入力インターフェースにはENIのIDが記載されています。また、VPC Flowログのフィールドにはありませんが、FlowソースIPアドレスにはCloudWatchロググループの名前が出力されました（IPアドレス部分は127.128.0.xで、Flowソースとして認識された順に0から振られていきます）。このように、ロググループ単位でFlowソースとして認識されるため、ロググループを複数作成することで別々のFlowソースとして管理することが可能です。CollectorでVPCの通信を取得できることが確認できましたが、AWS CloudWatchで直接Flowログを確認できるLogs Insights機能ではどのように見えるのでしょうか。

図4: AWS CloudWatch Logs Insights

図4は、図3と同じpingの通信ログをCloudWatch Logs Insightsから確認した画面です。こちらでは、Flowmonでは非対応の「accountId」や、セキュリティグループ・ネットワークACLでの処理結果を示す「action」（ACCEPT/REJECT）なども確認できます。また、Flowログから通信量の多いIPアドレスや使用されているポートの統計であったり、通信量の推移をグラフで出力したりといった解析を行うこともできますが、クエリコマンドを入力する必要があり初心者では手を出しづらい印象があります。

図5: Logs Insightsクエリの例

一方、Flowmonでは、統計解析やトラフィックグラフ描画がGUIで簡単に行えます。

図6: Flowmonを用いた統計解析の例

VPC Flowログで取得したデータと通常のネットワーク機器から収集したFlowデータとは同等に扱われ、解析機能などに差はありません。また、このことから、VPCから生成したFlowログとオンプレ環境で生成したFlowをCollector 1台で同時に扱うことができ、環境によって複数のツールを使い分ける手間を省くことができます。加えて、オンプレ環境とAWS環境両方に監視ポイントを設けることで可視化できる範囲が拡張でき、双方のトラフィックデータを組み合わせることでより詳細な解析も可能になるといえます。

5. おわりに

本コラムでは、Flowmonを用いてAWS環境の可視化を実現する、VPC Flowログ連携についてご紹介しました。今回はAWSに焦点を絞ってご紹介しましたが、ほかにもAzureやGCPといったクラウドサービスにも対応しております。オンプレ環境だけでなくクラウド環境まで可視化範囲を広げることで、Flowmonを最大限活用いただければと思います。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2025年5月7日

はじめに

現代のIT環境において、ネットワークはあらゆる業務の基盤として欠かせない存在となっています。DX化が加速する昨今では、クラウドサービスの活用やリモートワークの普及、拠点間の接続環境の多様化など、ネットワークを取り巻く環境は日々複雑化しています。こうした背景から、単にネットワーク機器の死活監視や障害検知を行うだけでは、十分な運用・管理が難しくなっています。ネットワークの状態を正確に把握し、安定したサービス提供を続けるためには「ネットワークの可視化」が今まで以上に重要になっています。さらに、可視化によって得られた情報をもとに、効率的な負荷分散や迅速なトラブルシューティング、インシデントの早期発見へとつなげていくことが、これからのネットワーク運用には求められています。本コラムでは、Flowmon Probeの機能を活用した「ネットワーク品質状態の可視化」について解説し、具体的なユースケースを交えながらその有用性をご紹介します。

ネットワーク品質状態可視化のポイント

まず、「ネットワークの品質状態」とは何を指すのでしょうか？ これは単に通信ができているかどうかだけではなく、通信がどれだけスムーズに、安定して行われているかを示す重要な指標です。遅延（Delay）が発生していないか、再送（Retransmission）が頻発していないか、応答速度（Response Time）が適切かといった点を総合的に評価する必要があります。 Flowmonでは、ネットワーク品質状態を可視化するための項目を総括してNetwork Performance Monitoring（以下、NPM）と呼んでいます。NPMでは、主に以下の6項目を可視化・監視することができます。

図1：NPM概要

NPMを用いることで通信遅延やサーバ応答遅延、通信経路の不安定さなど、ネットワーク上で発生するパフォーマンス問題の可視化/把握ができます。また、Flowmonでは過去のデータをサマリーせずに参照できるため、突発的な障害だけでなく、慢性的な性能劣化にも早期に気づくことができます。

ネットワーク品質状態可視化のユースケース例
～特定時間帯に発生する業務システムの通信エラー調査～

ここからは実際に起きうるケースを想定して、NPMを活用したネットワークの品質状態を可視化したケースをご紹介します。ある企業では、毎日特定の時間帯になると、業務システムのサーバアプリケーションで通信エラーが発生するという現象が起きていました。利用者からも「業務システムに接続できない」「動作が重い」といったクレームが頻発しており、迅速な対応が求められる状況です。まず、問題切り分けに際してあたりをつけるために、グラフ上にRTTとSRTの情報を表示させることでネットワークの遅延が原因なのか、サーバの応答が遅いのか、おおまかな方向性を把握します。

図2：解析グラフ上にNPM情報の表示

次にグラフ上で問題発生時刻周辺のバーストトラフィックやアプリケーションエラーが発生した時間帯に絞って選択し、フローのリスト解析を用いて各項目を図3のように設定し、解析します。

図3:フローのリスト-解析結果

図4:フローのリスト-解析条件の定義

図4の解析結果最上部の通信を問題が発生した該当の通信として話を進めます。解析の結果を見てみると、RTTは平均約5.25ミリ秒程度ですので、問題の発生時には他の通信と比較してもあまり問題でないことが確認できました。しかし、SRTは平均約7.1ミリ秒に対して552.6ミリ秒となっており、他の通信と比較してとても大きい値であることがわかります。RTTはネットワークの遅延値、SRTはサーバの応答時間ですので、ネットワーク自体には大きな問題はなく、サーバ側のリソース不足やアプリケーションのパフォーマンス問題が主な原因であると特定できました。ネットワーク側の調査に無駄な時間をかけることなく、サーバチームへ速やかに原因対応を依頼することができ、業務影響の最小化を図ることができます。 今回は主にSRTとRTTを用いて原因調査をしましたが、他に起きている問題や状況によっては、RTR(再送回数)やDelay(遅延)といった他のNPM情報を可視化することで、より詳細なネットワークの品質状態を確認することができます。

おわりに

ネットワークの可視化とは、単にネットワーク機器や接続構成を見える化することだけではありません。さらに一歩踏み込み、通信の速度・遅延・安定性といった「品質状態」を見える化することが、これからのネットワーク運用に求められる視点となります。可視化に＋αの視点を持つことで、問題発生時の迅速な対応、トラブルの根本原因特定、パフォーマンス改善提案など、ネットワーク部門としての価値をさらに高めることができます。 Flowmon Probeで生成したフローでは、NPMだけでなく、HTTPホスト名やDNS、sambaファイルサーバなど、NW機器が生成したフローだけでは行えない＋αの解析を実現することができます。前回の記事では、HTTP関連について解説/検証していますので、ご興味があればこちらも併せてご覧ください。
前回のコラム記事はこちらからご覧いただけます。
Flowmon Probeに関する詳細はこちらからご覧ください。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ