2020年10月9日

パケットキャプチャとFlow分析がひとつの製品でご利用可能になりました。
Flow情報だけでは把握できない、より詳細な解析ニーズに対応します。
このたび、Flowmon製品に新たに加わったFlowmon Packet Investigator (FPI)をご紹介いたします。

自動化によって作業の負担を軽減

FPIはTraffic Recorderをさらに発展させた後継製品であり、Traffic Recorderのすべての機能に加え、自動化されたパケット分析機能が追加されています。つまり、緊急の問題の原因を追及するためのフローデータが不十分な場合であっても、このFPIがイベントに関連したすべてのパケットをキャプチャし、パケットを分析して、説明とともに修復のための提案を提示します。



この製品の特長は「自動化」です。非常に精度の高い詳細情報が提供されることに加えて、こうした情報の解釈も実施されます。この製品はネットワークトラフィックの自動化された監査ツールです。組み込みの高度なナレッジが用意されており、以下のような問題の解決を強力に支援します。

• ネットワーク接続関連の問題が発生した場合(ファイアウォールによる通信のブロック、宛先へ到達できない、TCPエラーなど)
• 重要なネットワークサービスにおける不具合や設定の誤り(ARP、DNS、DHCP)
• クライアント/サーバ間の暗号化における非互換性(SSL/TLSのバージョン、暗号化アルゴリズム、証明書など)
• アプリケーションのプロトコルスタックの問題(HTTP、SAMBA、FTP、IMAP、POPなど)

高度な分析

FPIは、Flowmon ADSによって、または手動設定あるいはスケジュール設定されたキャプチャによって、またはサードパーティアプライアンスのREST API呼び出しによってイベントが検出された際にキャプチャされたPCAPファイルを処理します。ユーザは、独自のファイルをアップロードすることもできます。
FPIは、ディシジョンツリー分析を実施して、各プロトコル、プロトコルの組み合わせ、および依存関係について、RFC仕様との差異を検出することによって、問題の根本原因を把握します。検出されたプロトコルの特定の状態、障害、またはエラーコードは大規模なデータベースに照らして比較され、分かりやすいメッセージに変換します。このメッセージには、推奨事項や対応の指針なども含まれます。



FPIには、Traffic Recorderから継承されたローリングバッファも含まれています。本機能により、すでに開始されている通信に対しても遡ってパケットをキャプチャすることができます。

分析結果を即時に利用

このFPIは単なるパケット記録および分析のツールではありません。これはフローデータの包括的なモニタリングツールであり、ネットワークに関する詳細な分析結果を提供します。そのためにユーザが特別な作業を実施する必要はありません。



Flowmon Packet Investigatorの機能についてさらに詳細な情報が必要な場合は、当社までご連絡ください。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2020年10月9日

例年チェコ本国で行われているFlowmonのイベント「Flowmon Friday」が６月にオンラインで行われ、そのグローバル版としてこの「Flowmon Day 2020」がビデオ収録されました。収録場所は、Flowmon本社のあるチェコ共和国の第二の都市ブルノのマサリク大学となります。マサリク大学はFlowmon社との共同研究なども行われており、Flowmon社の役員・開発者もこの大学出身者が多く、Flowmonにとっては大変関わりの深い大学です。

本年は日本でもこれまでチェコ大使館を会場として開催してまいりました「Flowmon Day」イベントを、このグローバル向け「Flowmon Day 2020」により代替させていただくこととなりました。このコラム記事ではこのビデオのご紹介をさせていただきます。

変革とハイライト

（まず初めにFlowmon Networks社CEO Jiri Tobolaからのご挨拶です。）

これまでグローバルのFlowmon Dayの開催を検討しながらもなかなか実現が困難でしたが、このコロナによる突然の環境変化により、このような形で行われることになりました。この様なオンラインイベントを支えているのがITネットワークであり、私たちの生活も仕事の仕方もこのコロナ禍で大きく形を変え、そのITネットワークに支えられています。

この2020年からFlowmonも変わってゆきます。これまでは機能やテクノロジーについてのご紹介が主となっていましたが、今後はその製品寄りのアプローチからお客様のユースケースを軸においたFlowmonのソリューションとしてのご紹介にシフトしてゆきます。

ネットワークの可視化やモニタリングなどNPMD（Network Performance Monitoring and Diagnostics）の分野をNetOpsと呼びます。またセキュリティー監視についてはこれまでのNetwork Behavior Analysisと呼んでいましたが、SecOpsと称して行きます。それらを融合したNetSecOpsがこれからのFlowmonの方向性となりました。ガートナーも昨年まで方向性を変え、同一ソリューションでNetOpsとSecOpsの両方の分野に対応するコンセプトを肯定するに至り、Flowmonは今年の両分野のマーケットガイドに掲載されることとなりました。

Jiri Tobola – CEO, Flowmon Networks

Flowmonは2019年、25％以上の成長を実現し、主要３クラウドサービスのマーケットプレースに初めて対応したNPMDソリューションとなりました。またガートナーのピアインサイトでも大変ご好評をいただくことができました。多くのお客様・パートナー様のご支持をいただき、自動車業界、銀行業界、政府機関での大手を含む200社の新しいお客様にご利用いただくことになり、グローバル・トータルで1200社のお客様、45か国に展開するに至りました。

NetOps分野での新機能

（次にNetOps分野の新機能について、Product ManagerのLubos Lunterからのご紹介となります。）

製品ニュースのまず始めのパートでは、NPMD（NetOps）分野のご説明となります。Flowmon製品の基本機能では、以下の様な機能拡張がなされています。

1. ユーザーエクスペリエンス
   Flowmonではより視認性の高い直感的なデザインに継続して力を入れてきました。新たなダッシュボードでは、システムの状況を把握しやすくするための視認性の向上など、様々な改善がなされています。想定される多様なユースケースに対応したテンプレート（プリセット）を用意し、管理者はそれを選択するだけでそのユースケースに対応したウィジェットやレポートが自動構成されます。このプリセットはいわゆるマーケットプレースの様にお客様が自由に選択可能で、直感なステップにより目的とするシナリオに合わせた構成を容易に設定することができます。




Lubos Lunter – Product Manager


クイックな業務展開（time-to-value）
上の「ユーザーエクスペリエンス」でも触れた、お客様がFlowmonをご利用する際に、様々なお客様の環境に合わせた設定を行ってゆく新機能が追加されています。例えばGsuiteを使われているお客様は、Gsuiteのプリセットを選択することで、あらかじめGsuite向けに構成されたウィジェットやレポートの構成が自動的に展開されます。定義されたダッシュボードをそのままレポートとして出力することができ、レポートの構成の柔軟性も含め、実業務への展開が短時間で実現可能となります。
マルチテナンシー機能の強化
これまでに加え、マルチテナンシー機能を拡張してきました。アクセス制御がなされたテナントを定義し、それぞれのテナント毎に独立したアクセス権限が付与されたテナント管理者が定義されます。各テナント管理者はそれぞれのユーザーを定義することで、各テナントで独立した運用管理が可能です。
2. 最新のセキュリティーのベストプラクティスの実装
   データ処理の高速化によるパフォーマンスの向上のほか、TLS1.3への対応やマルチテナンシー利用時のロール管理向けREST APIの提供、GigamonとのインテグレーションによるRADIUS認証情報を含むIPFIX拡張属性をサポートによる、個々のユーザー起点のネットワーク可視化を実現するなど、様々なセキュリティー関連機能の拡張が行われています。

SecOps分野での新機能

（続いてSecurity担当Product ManagerのMartin Skodaによる、当該分野の新機能についてご紹介です）

まずはFlowmon Packet Investigator (FPI)のご紹介になります。本年これまでのFTR (Flowmon Traffic Recorder)を機能拡張し、FTRのパケットキャプチャー機能に加えて、その内容を分析し発見された問題に対するガイダンスを提供することが可能となっています。例えば通常であればトラフィックの観点からの問題が確認されなければ、そのPCAPをWiresharkなどを使用し専門家が解析してゆく必要がありますが、このビデオでお見せしているデモでは、FPIが暗号化プロトコルのミスマッチからエラーが発生している状況を捉えている様子をご覧いただいています。

（動画の中でご案内しているトライアル利用と期間限定での割引のご提供については、弊社担当営業へご相談ください）

Martin Skoda – Product Manager

次にADSの拡張についてのご紹介です。ストーリーミング処理による大幅なパフォーマンスの向上を実現し、多くのユーザーインターフェイスの改良も行われています。解析時のドリルダウン機能や、サーチ機能、チューニング関連の改良も行われました。また自動化の促進の観点から、SIEM製品などとの連携強化が行われています。Fortinet製品とのインテグレーションおよびIBM QRadarとのインテグレーションについては、それぞれのブログ記事 （Fortinetインテグレーションによるセキュリティー脅威への対応の自動化 および IBM QRadarとの連携ソリューションのメリット）をご参照ください。

ランサムウエアへの対応

（ランサムウエアへのFlowmonでの対応について、CTO Pavel Minarikよりお話をさせていただいています）

昨年のMan-in-the-middle攻撃などに関するWebセミナー「ハッカーズフィンガープリント」をご覧いただけたかと思いますが、Ransamwareに関して同様なシナリオでFlowmonが対応しているかをご紹介したいと思います。セキュリティーサミットなどでも、エンドポイントの保護などがよく語られていますが、実際にはエンドポイントが有効に保護されているかというと、残念ながらそうではありません。アンチウイルス製品はじめ、エンドポイント保護の仕組みには限界があるため、ネットワークがそれらエンドポイントを保護するレイヤーとなると考えるのが妥当と思われます。

Pavel Minaril – CTO, Flowmon Networks

攻撃のパターンを見てみましょう。例として、出張中にPCがマルウエアに感染し、帰社したのち社内ネットワークに接続し、ランサムウエアの被害に遭うシナリオを想定します。帰社後そのPCを社内ネットワークに接続すると、仕込まれたマルウエアは攻撃者のプログラムと通信を開始し、社内ネットワークに接続されたPCは攻撃者によるリモート操作可能な状態となります。攻撃者はネットワークスキャンを行い攻撃可能なシステムやアプリケーションを割り出し、脅迫の対象となるデータを詐取します。このデータを詐取する過程の様々なネットワーク上の情報を、Flowmonは捉えることが可能です。

（類似攻撃シナリオの詳細を「ハッカーズフィンガープリント」の解説記事「模擬攻撃とFlowmonでの可視化事例」でご紹介しています。ご参照ください）

製品のビジョンとロードマップ

（最後にマーケティング担当のArtur Kaneから、製品の方向性についてご紹介となります）

Flowmonではその将来に検討を重ねてまいりました。これまでのNetFlow/IPFIXを軸としたテクノロジー視点から、2020年を起点として、今後以下の様な視点を踏まえたソリューションをご提供するという戦略といたしました。まずは「製品のポジショニング」となります。これまでのテクノロジーを軸とした戦略から、大きくお客様の求めるビジネス価値を意識した製品のポジショニングに変更しました。次にFlowmonの持つ「専門知識の活用・適用」を活性化し、「お客様の期待値」を把握し対応することが重要であると認識しています。また「アナリストの知見」も同様にガートナーだけでなく幅広く市場分析知見を取り入れてゆく考えです。

これらの視点から、以下の４つの対応指標（モックアップ）を定義しました。

1. クイックな業務展開（time-to-value）
   製品の入手後に速やかな実務展開を目標として４つのステップとして、簡易な導入、プリセットによる迅速に実用につなげる構成手順、各表示情報による状況の理解を補助するエキスパートガイダンス、そして明確なアクションにつなげるためのリスポンスを定義しました。
2. ハイブリッド
   次の対応指標は、クラウド・オンプレミスのハイブリッドになります。多くのアプリケーションがクラウドに移行し、また多くのクラウドアプリケーションを幅広く業務に適用する様になり、ネットワーク監視・運用もそれらクラウドおよびこれまでのオンプレミス含めたハイブリッドな環境に対応することが必要となってきています。このハイブリッド対応では、単にこれらの環境を対象とすることができるだけでなく、それら異なる環境を透過的にモニターすることができる必要があります。また今後実装されてゆくトポロジーマップ機能などにより、オンプレのITリソースの可視化も強化されます。
3. アクショナブル・インサイツ
   これまでのネットワークから対象となる事象の検知を行い、それを通知するFlowmonの役割が、今後はその分析から対応に関する情報提供など、行動につなげることのできる検知・洞察へと拡張されてゆきます。FPIでは単にパケットを記録するだけでなく、解析を行い対応案を提示してゆきます。ADSでも同様な拡張がなされてゆきます。
4. 情報の最適化（余分なノイズの低減）
   ネットワークから収集される様々な個々のイベント数は膨大であり、往々にしてその膨大な情報がノイズとなり、正確な実態把握を困難にしている場合があります。Flowmonではそれぞれの小さなイベントがどの様な大きなイベントにつながってゆくかを判断してゆく仕組みを取り入れ、情報の最適化を行う仕組みを実装してゆきます。また攻撃対策のフレームワークとなるMITRE ATT&CKへのマッピングを行うことで、より適切な問題対応へのガイダンスを提供してゆきます。

Artur Kane – Product Marketing

FlowmonではAPMの時系列分析機能を強化しつつあり、それを広く製品全般に適用してゆく計画です。また他の製品とのインテグレーションにより実現される自動化についても、引き続き適宜対応が進められてゆきます。最後にFlowmonの重要方針であるNetSecOpsについてです。ネットワーク管理部門とセキュリティー管理部門が分かれ、異なるソリューションによる同様な処理機構への重複投資を避けることができる様、Flowmonはネットワークそしてセキュリティーをカバーできる単一ソリューションとして今後も成長を続けてゆきます。

ご紹介した以上の私どものビジョンに則って、本年から2022年までの３年間のロードマップで、順次製品の機能拡張を実施してまいります。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2020年9月10日

ネットワーク・パフォーマンス監視を基本機能として装備するFlowmonは、ADSプラグインにより強力なセキュリティー視点の可視化を実現しています。現在公開しているデモンストレーション・ビデオ^※（ Hacker’s Fingerprint ）では、実際の模擬攻撃をもとにFlowmonがどの様にそれらを可視化することができるかをご覧いただけます。実際のFlowmonが生成するイベントから、どの様な攻撃があったかを解析する際の、具体的なシナリオとしてご視聴ください。

※本デモンストレーション・ビデオは英語です。

デモンストレーション・ビデオ本編は約一時間に及ぶため、以下に概要をまとめました。個々のオペレーションなどについては、デモンストレーション・ビデオでご確認ください。

攻撃のシュミレーション

このデモンストレーション・ビデオの前半では以下の攻撃シナリオを実行しています。ここで行われている模擬攻撃はインターネット上で入手可能な一般的な攻撃ツールを使用していることからも、多くのお客様でこれらの攻撃を受けるリスクが高いことはご理解いただけると思います。

DNSスプーフィングと認証情報詐取

DNSスプーフィングは攻撃者が偽装DNSサーバーを立ち上げ、正規のDNSサーバーになりすまして、ユーザーを偽のアプリケーションに誘導することを目的とした攻撃手段です。公共のフリーWifiへの接続や、DarkVishnya攻撃の様に物理的に企業内部ネットワークに侵入してくるケースで特に注意が必要となります。デモンストレーション・ビデオでは、ネットワークに不正接続された端末がDNSサーバーを偽装し、ユーザーを偽のFacebookにログインさせ、パスワードを詐取するシナリオが実行されています。

図1：DNSなりすまし

辞書攻撃による不正ログイン

次にネットワーク内に不正接続している攻撃者のPCから、ネットワークスキャンをかけSSHのアクセスが可能なディバイスを割り出し、それに対し辞書攻撃を行い、不正にログインするシナリオです。先ほどのDNSスプーフィングでSNSアプリケーションのパスワードを取得しているユーザーの端末であれば、辞書攻撃で突破できなかった場合でも、パスワードを類推し不正ログインできる可能性はより高まると考えられます。

図2：不正なりすまし

中間者攻撃による通信情報の盗聴

ユーザーの端末にログインできる状態であると、その端末内の情報の他に、その端末から接続するアプリケーションとの通信でやりとりされる情報までも中間者攻撃により詐取可能となります。デモンストレーション・ビデオでは、ブラウザーのHTTPS接続の際の不正な証明書のエラーを回避するため、上位の証明書を不正にユーザーの端末に設定しています。これによりユーザーの社内の機密度の高いアプリケーションへ接続する際、攻撃者がその通信を仲介している状況を察知することがより困難な状態となっています。

図3：中間者攻撃

Flowmonによる攻撃検知

このデモンストレーション・ビデオの後半では、これらの攻撃をFlowmonがどの様に検知しているかがご覧いただけます。全体の脅威の把握の視点からは、Flowmonのネットワークの振る舞い検知プラグイン（ADS）により、それぞれのイベントを検知している様子が確認できます。

※以下の画面は英語モードでの画面です。Flowmonは日本語の他、英語、フランス語等複数の言語に表示を切り替えることが可能です。

図4：イベントの検知

はじめのDNSスプーフィングに対しては、”Fake DHCP server” および “Unauthorized DNS server” により当該攻撃を示すイベントが表示されています。ここからさらに詳細な通信を見るためにFlowmonのMonitoring Centerに移動し、通信内容を確認してゆきます。ここで、ユーザーのFacebook.comへのアクセスリクエストに対し、攻撃者は自分の端末で稼働させている偽装FacebookのIPを返して、ユーザーのFacebookのログイン情報の詐取に成功している流れが確認されています。

図5：不正なDNS応答

不正ログインに対しては、後続のイベント “ARP scan” および “vertical TCP scan” により、ネットワーク内の端末および利用可能なポートを洗い出すためのネットワークスキャンが成功していることが確認できます。その後の “SSH dictionary attack” および “Start of attack (successful)” から、辞書攻撃が行われ且つそれが成功していることが示されています。

図6：ネットワークスキャン検知

これを受けて分析を進めると、ユーザーのアクセス先と攻撃者のアクセス先が同様のパターンとみられることから、通信を仲介している状況つまり中間者攻撃が疑われることになります。その上でユーザーのHTTPSでの通信状況を見てみると、同一のホストへのアクセスにもかかわらず、２つの証明書発行者が現れており明らかに異常な状態であり、典型的な仲介者攻撃の証左とみなすことができます。またFlowmonでは暗号化通信の様々な特性を検知することができるため、JA3フィンガープリントによるマルウエア固有の通信特性を検知することなども可能です。

図7：複数の証明書発行者

終わりに

Flowmon ADSでは既知のマルウエアC&Cサーバーなどのブラックリストをはじめとして、観測可能な通信自身の特性から脅威要素を洗い出し可視化することが可能です。またIBM QRadarやSplunkなど様々なSIEM製品とも連携し、より多角的なリスク洞察への拡張機能も提供しています。基本機能として装備するネットワークパフォーマンス監視機能と合わせ、セキュアなIT基盤の強化に向けFlowmonの導入をご検討ください。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2020年09月08日

ここ最近耳にすることが多くなってきた「ふるまい検知」。
何となくイメージしやすい言葉ですが、一体「ふるまい検知」とは何なのでしょうか。

• 普段はそれほど使われていないパソコンのトラフィックが異常なほど多い
• 会社で禁止されているアプリケーションへの接続が試みられている
• おかしな場所の人との通信が行われている
• 通信量が異様に大きくなっている

Flowmon ADSでは、そのような膨大な通信ログから「異常なふるまい」を見つけ出してアラートを出すという、時間や手間のかかる部分を自動化し、管理者がその後の原因特定や対策という重要な箇所に注力できるような情報を提供します。
これがFlowmon ADSの「ふるまい検知」です。

敵は外部のみならず

しばしばニュースなどに取り上げられる情報漏えいなどの犯罪の一部は、少なくない割合で内部流出が原因です。多くの企業で実施されているファイヤーウォールやウィルス対策は、外部の脅威を一定数遮断することはできますが、内部流出には効果を持ちません。これは恐ろしいことです。

独立行政法人 情報処理推進機構が毎年発表している「セキュリティ10大脅威」によると、企業組織におけるセキィリティの脅威として以下の内容がリストアップされており、一例をあげると、以下のようなものがあります。

• 標的型攻撃による被害
• ランサムウェアによる被害
• ビジネスメール詐欺による被害
• IoT機器の脆弱性の顕在化
• 内部不正による情報漏えい

（参照：「情報セキュリティ白書」https://www.ipa.go.jp/security/vuln/index.html#section6 ）

これらは、皆さんも耳にしたことが多いのではないでしょうか。
標的型攻撃やランサムウェアなど2016年あたりから急激に脅威として認識され始めた内容もある一方で、「内部不正による情報漏えい」も継続的に、標的型攻撃などと同様の脅威として実被害を与えています。

前述の通り、「内部不正による情報漏えい」は外部向けのセキュリティ対策では対応ができません。そのため、内部向けにもセキュリティ対策が必要なのです。

進化するサイバー攻撃に対応するために

パソコンやスマートフォンが出始めたころから、ウィルス対策は必須と言われてきました。
そして現行のデバイスには最低限のセキュリティが組み込まれているものがほとんどです。しかし、年々被害は減少するどころか、増加の一途を辿っています。なぜでしょうか。

答えは簡単です。オンラインでできることが増え、サイバー攻撃の手法そのものが多様化しているからです。
例えばIoT（Internet of Thing）によって、私たちの生活はより便利になったと感じています。今や「車もコンピューター」と言われるように、コンピューターが車の制御に一役買っているケースも多くあります。しかし、考え方を変えれば、そのコンピューターがクラッキングされてしまうと、車の制御ができなくなります。フォードの車の時代には考えられなかった脅威です。

このように、便利さに呼応して、サイバー攻撃の手法も多様化しているため、一向に脅威はなくならないのです。
ですから、あらゆる脅威に対してできる限りの対応策を張り巡らしておく自衛が大切で、”脅威に対して準備をするべき”というスタンスは必須なのではないでしょうか。

Flowmon ADSでできること

ADSというのは、「Anomaly Detection System（異常検知システム）」の略であり、Flowmon ADSとは、トラフィックを可視化するサービスを利用した異常検知システムです。ここで言う「異常検知」とは、「ふるまい検知」を指します。
では、Flowmon ADSを利用してどのようなことができるのでしょうか。

Flowmon ADSでは大きく分けて3つのことができます。

1. ネットワーク上のセキュリティ脅威のふるまいの検知
2. ポリシー違反のふるまいの検知
3. 事故発生時の証跡確認

これらを順番に見ていきましょう。

1.ネットワーク上のセキュリティ脅威のふるまいの検知

通常、業務の中で使われるネットワークは、企業が利用している特定のサービスサイトとの通信だったり、決まったIPアドレスからのアクセスであったりと一定の法則があります。もちろん、業種によってその法則は様々ですが、少なからず「通常の状態」というものが存在します。

Flowmon ADSでは、そうした「通常の状態」を学習した上で、それと異なる状態のふるまいが発生したことを検知します。
例えば、

• 普段通信することのない海外のサイトにアクセスをしている
• 非常に大きな容量のファイルをダウンロードしている
• パスワードが必要な箇所で、何度もエラーを起こしている
• 見たことのないIPアドレスからのアクセスが行われている
• 1台のクライアント端末から膨大な数の外部通信が発生している

などの異常な通信、ふるまいを検知して、アラートをあげるのがFlowmon ADSです。
異常なふるまいや通信であっても、原因が明確であったり、システム上許可されていたりする通信であれば、問題はありません。また、異常なふるまいや通信が直ちに情報漏洩などといったセキュリティ事故につながるわけではありません。しかし、管理者は常にこうした通信がサイバー攻撃の一種ではないのかどうか、注意深く監視している必要があります。 異常事態をいち早く察知することで、そうした最悪の事態を避けることにつながるのです。

2.ポリシー違反のふるまいの検知

多くの企業では社内ポリシーを制定し、その内容に沿った業務運用を行うことでセキュリティ対策を行っています。つまり、「この枠内であれば、安全に運用できる可能性が高い」というガイドラインを設けている訳です。
分かりやすい例では、

• メールやサイト閲覧は会社支給のPCを使用してください
• 個人のデバイスで管理システムにアクセスしてはいけません

などといった内容です。皆さんもよく目にする内容ではないでしょうか。
Flowmon ADSはこうした定められたポリシーに違反したふるまいも検知します。ポリシー違反はその後の重大な事故に繋がる可能性があるため、事故を未然に防ぐということでもこの検知は重要です。

3.事故発生時の証跡確認

社内のPCがウィルスに感染してしまった。情報が改ざんされてしまった。もしかしたら、こうした望まぬ事態が起こってしまうこともあるかもしれません。
Flowmon ADSは、ネットワーク上の監視カメラのような役割も担います。即ち、万が一異常を発見できなかった場合にも、後から通信ログを証跡として見直して原因を検証することができます。

実際の監視カメラでも、後から見直して犯人逮捕に繋がることがあるというのは周知の通りです。Flowmon ADSはネットワークに特化した監視カメラとしても貴社のネットワークを護ります。

Flowmon ADS の意義

通常ネットワークで起こっていることは、ログに記録されていきます。ただ、ログの情報は膨大であり、すべてのログを確認検証することは現実的ではありません。一方で、ログには重要な情報も記録されており、前述の異常なふるまいももちろん記録されていきます。

Flowmon ADSの「ふるまい検知」を利用することで、そうした「異常なふるまい」をいち早く、的確に発見することができます。
「ふるまい検知」とは即ち、「サイバー攻撃やそれにつながる行為」 を察知することに他なりません。
「あれ、いつもと違うな。」「このふるまいはなんだろう。」――攻撃の初期段階では、いわゆる偵察行為といわれる、その前兆となる通信が発生することは多数報告があります。
その前兆を察知することで、事前の防御策を講じることもできますし、万一悪意の攻撃が実行されたとしても、被害範囲を食い止めることができるでしょう。

サイバー攻撃の手法は多種多様に及んでおり、何かをしたから必ず大丈夫ということはありません。ただ、的確な対策を講じることで、事前に食い止めたり被害を抑えたりすることは十分に可能です。
Flowmon ADSをはじめ、Flowmon製品はその一助を担うことができるのです。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2020年06月18日

Flowmonの開発元であるFlowmon Networks社から現在公開されている、Fortinet社製品とのインテングレーション動画 「Automated incident response with Flowmon and FortiGate」^※から、このインテグレーションにより得られる付加価値についてご紹介したと思います。ここで対象となっているFortinet社製品は、「次世代ファイアウォール」のFortiGateと、「セキュリティ情報・イベント管理ソリューション」となるFortiSIEMになります。
※英語でのご案内となります。日本語字幕なし。

多層防御

当該動画では、まず平均のデータ侵害事故の検知に約200日弱の時間がかかり、ほぼ２割程度の組織のみで適切な対応が取られているに過ぎない現状の解説から始まります。そして検知の網羅性を高めるためには、多層防御の考え方が重要であるというメッセージにつなげています。多層防御はテクノロジーの異なる複数のセキュリティー製品により、検知事象の幅は広がることになるため、基本的かつ重要なアプローチとなります。

図1：多層防御

一般的にFlowmonの様なネットワークトラフィックの解析からセキュリティーインシデントを検知するソリューションでは、幅広い事象を把握することが可能ですが、個々の事象についての詳細な情報が不足する場合があります。例えばエンドポイント系のセキュリティー製品では、各エンドポイント内の詳細な動きも把握することから、その様な詳細情報を補完することができ、これらのセキュリティーソリューションの情報を統合することで、より正確な全体像を把握することが可能となります。

早期検知

次のインテグレーションの優位点としては早期検知が挙げられています。FlowmonとしてはADSの振る舞い検知によって、被害が発生する事前事象を捉えることができるので、それによってFortiGate/FortiSIEMに早期に対応連携が可能なことから、そのメリットが示されています。

図2：特定IPの通過不許可

2020年06月03日にベータ版リリースが行われたADSの最新バージョン11では、セキュリティーインシデント検知のスループットを格段に高めたデザイン変更が行われており、このインシデントの早期検知に期待される防御性能を飛躍的に高めたリリースと言えます。

自動化

そして３つ目の優位性として、その連携そのものつまりFlowmonによる検知から直接イベント情報がFortiGate/FortiSIEMに連携されることにより、リスクのある外部通信を遮断したり検疫処理を行う等の、自動化を挙げています。この自動化によりリスク検知からその防御に関わるアクションまでが瞬時に連携されることとなり、より高いシステムの安全性が確保されることとなります。

図3：特定IPの通過不許可

この自動化のために提供されているスクリプトも加工の自由度があるため、要件に合わせて様々にカスタマイズが可能となっています。またREST他一般に普及している多くのAPIをFlowmonではサポートしているため、提供されているこれら連携のためのパッケージのほか、多様な自動化シナリオを実現することができます。

FlowmonではFortiGateのほか、以下を含む様々なネットワークソリューションとの自動化連携を実現しています。

• シスコシステムズ社 Cisco Prime Infrastructure
• アラクサラネットワークス社 AX-Security-Controller
• アライドテレシス社 Secure Enterprise SDN

またセキュリティーイベントを連携させ、より付加価値の高い解析を行うなどの連携も既に多く実現されています。

• 日本アイ・ビー・エム社 IBM QRadar
• スプランク社 Splunk^※

※ Flowmon Netrowks社のBlog（英文）

このインテグレーション動画の最後で締めくくられている様に、Flowmonでは、検知・応答・回復・証跡・保護で形成されるセキュリティーインシデントのライフサイクルに合わせ、今後もより網羅性の高い柔軟なソリューションの実現のため、有効なインテグレーションを提供予定です。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)
Fortinetインテグレーション・ブローシャー^※
※ 英文資料です。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2020年06月12日

Paessler AGおよびFlowmonの開発元であるFlowmon Networksの両社は、協業施策の第一弾としてインテグレーション手法を公開し、現在それぞれの製品をご利用しているお客様、またはこのインテグレーションによってお届けできるより高度なソリューション・シナリオを求められているお客様に、その手法のご紹介を始めています。両社の製品FlowmonとPRTGにより実現されるこのインテグレーションについて、どのような利用ユースケースが期待されているかをご紹介いたします。

PRTGによるシステムリソース監視

PRTG（Paessler PRTG Network Monitor）は170カ国以上で20万以上のインストール実績を誇り、一般的なネットワーク監視のほか、エージェントレスにてSNMPによる各エンドポイントや各種サービスの状態監視が特徴的な点となります。

具体的にはデータベースの特定のデータセットの監視、メールサーバーやファイアーウォールなどの一般アプリケーションの他、空きディスク容量含めた物理サーバーなどの基盤および、クラウド上のサービスの監視を行うことも可能です。Flowmonのお客様の視点からは、Flowmonのアプライアンスを含め、より広いシステムリソースを監視対象を含めることが出来ます。

またユーザインターフェースには操作性に優れたWebインタフェースの他、Windowsアプリ、iOS/Androidアプリが用意されています。管理者へのアラート通知も重要度に応じメールをはじめ、SlackメッセージやTemasメッセージなど、１２種類の通知方法から選択する事が可能です。管理者はFlowmonのすべての関連コンポーネントが稼働していることを常に把握することが出来ます。

Flowmonからのセキュリティーイベント連動

一方Flowmonからは振る舞い検知機能によるセキュリティー監視が、PRTGのお客様には新たなIT基盤運用でのメリットとなります。逐次更新されるブラックリストやこれまでの研究開発で蓄積された振る舞い検知パターンにより、未知のマルウエアによる多くの疑わしいネットワーク上の挙動を検知することが可能となっています。

今回提供されている両製品の連携でも、それを踏まえた実装が行われています。Flowmonによって検出されたセキュリティーイベントの統計情報が、PRTGの管理画面に統合されることで、PRTG管理者はIT基盤のセキュリティー状況もその運用状況とともにリアルタイムにモニターすることが、この実装により可能となっています。

FlowmonおよびPRTGどちらの管理者の視点からも、プライオリティーの高いセキュリティーイベントに優先的に注意を払うことができ、またそれを受けて可能性のある攻撃によるCPU使用率への影響やディスク容量の変化等をPRTGで確認することで、多角的なリスクの解析が可能となってゆきます。

連携シナリオの拡張性

FlowmonからはADSからのセキュリティー情報にとどまらず、標準で提供されるネットワークパフォーマンスなどの統計情報も提供され、PRTGのお客様はより多角的なシステム状況の把握が可能となります。

このようにFlowmonとPRTGとの連携では、それぞれの補完的な機能要素の組み合わせ含め、網羅性の高いIT基盤運用が実現されてゆくことが理解できます。

またこの実装でもREST APIなど、相互に製品としてサポートされたインターフェイスを利用しているため、より有効なユーザーシナリオが開発可能となっています。今後実際のユーザー事例を踏まえて、さらなる実践的な連携シナリオの提供が期待されます。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■製品紹介

Flowmon ADS（プラグイン/オプション)
Paessler PRTG Network Monitor

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2020年03月23日

昨今の新型コロナウィルスによるパンデミック等により、現在私たちは急激な社会変化への対応を迫られています。中でも業務リスクへの回避策として、多くの企業で以下の施策が検討・採用されています。

• 国内外の出張制限
• お客様との対面会議などの自粛
• テレワークの奨励

  しかしながらこれらの施策によるIT基盤の受ける影響については、十分に検討する余地もないまま実施せざるを得ないのも現状です。例えば、

• ネットワーク経由のビデオ・電話会議の増加
• インターネット接続の大幅な増加
• VPN接続の増加

は、どの程度、どのような影響があるのでしょうか。

標準的なITリソースへのアクセスシナリオとテレワークを主としたアクセスシナリオの変化

これまで業務用ネットワークは、整備された社内ネットワーク環境内での、社内端末からの社内リソースへのアクセスと、専用線接続によるデータセンターの利用を元に構築されておりました。 ところが、お客様との対面会議などの自粛やテレワークの推奨施策により、VPNによる外部からの社内アクセスが急激に増加し、インターネットへの通信の集中によるゲートウエイのボトルネック化が発生しています。

ボトルネック化するゲートウエイ    このネットワークの変化に現在のITインフラは対応可能なのでしょうか？ この急激な通信量の増加にどのように対応すればよいのか、そもそもセキュリティーは大丈夫なのでしょうか？ そのほかにも、

• クラウドベースのVPN接続サービスをこれから検討する？
• 新たなインターネット接続口を設計導入する？
• テレワークによるパフォーマンス劣化にはどのように対応するか？
• 端末のアンチウィルスだけでテレワーク環境の安全性は十分か？

などなど、課題は次から次へ湧いてきます。

Flowmonによるネットワーク監視のススメ

Flowmonでは、アップリンクのネットワーク使用率、VPN通信の利用率統計値、ネットワークのパフォーマンス値（ネットワーク遅延、再送、ジッター）、音声・ビデオデータの統計値、等々ネットワークのあらゆる情報を可視化し、数回のクリックでレスポンス悪化の原因解析やセキュリティーリスクの高い端末の洗い出し、アプリケーションのパフォーマンス比較などを判断し、お客様のネットワーク環境の向上に役立てることができます。

Flowmonの解析画面    Flowmonはその操作性のみならず、導入も数回のステップで行うことができます。 例えばお客様がご利用のネットワーク機器がNetFlowを生成可能であれば、Flowmonコレクタをネットワークに接続するだけで導入でき、すぐに可視化・解析を行うことができます。 また、NetFlowを生成できない場合でも、FlowmonプローブをスイッチにミラーポートやTAP経由で接続してNetFlowを生成し、FlowmonコレクタでNetFlowを収集・可視化・解析を行うことができます。

Flowmonの導入構成  Flowmonは、問題判別と証跡の確保やIT基盤要件の将来予測と計画、クラウド利用時のパフォーマンス監視などを行う「ユーザー基点のパフォーマンス監視」、インフラの設計と展開、インシデント監視と調査、対応、ポリシーの評価と適用といった「運用監視・セキュリティー要件への統合的対応」、さらには未知の攻撃検知、暗号化通信の解析、内部驚異の検知、ネットワーク振る舞い検知という「セキュリティー監視」の3つのシチュエーションでその有効性を発揮します。 今後さらに多様化・複雑化するネットワークの変化にも対応できるようにするために、ネットワークの可視化の重要性がさらに高まってきています。

次のコラムでは、実際にFlowmonの開発元であるFlowmon Networks社がどのようにこの業務変革に伴うIT基盤を整備したのかをご案内いたします。 Flowmonコラム　「テレワーク全社展開、準備は出来ていますか？」


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■製品紹介 Flowmon コレクタ Flowmon ADS（プラグイン/オプション)

 

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2020年03月23日

この新型コロナウイルスによるパンデミックは、大手企業のみならず幅広い業種・業態の企業にテレワーク対応の検討を強いることとなりました。限定的なテレワークへの対応は多くの企業で既に行われていますが、全社規模となると現状の社内運用規約などの再検討が必要となります。特に課題となるのが、ネットワークトラフィック特性の劇的な変化です。これには関連する運用上およびセキュリティ上のさまざまな課題が伴います。

EUのチェコ共和国に本社を置くFlowmon Networks社でも、グローバルの全社員が自宅や出先から本社のIT資産・サービスに接続し、通常業務を継続して行う体制を整備し、非常事態宣言下で通常通りの業務を継続しています。この記事では、Flowmon Networks社でのこの業務変革に伴うIT基盤の経験をもとに、代表的に懸念される3つの課題についてお伝えさせていただきたいと思います。

十分なVPN容量を確保する

VPN（Virtual Private Network）は、リモート接続を保護するための重要なソリューションです。Flowmon Networks社ではこれまでも一部の社員は外部からの社内リソースへのアクセスのために使用していましたが、元々の社内IT基盤は今回のような規模の利用シナリオには対応できていませんでした。それが全社テレワーク形態へのシフトにより、そのユーザ数が一挙に増加することになりました。これまでと比較すると、これは平日の通常のトラフィックが通常の10倍になったことを意味します。この増加率は企業により異なると考えられますが、ほとんどの企業では10倍またはそれを超えるものとなるでしょう。

Flowmon Networks社は、以下のような検討事項を経て対応を実施し、スムーズな業務移行を実現することができています。

• トラフィック構造を確認する。
  同時ユーザ数と帯域幅に関して、どのくらいの容量を使用し必要とすることになるかのアセスメントを実施。
• ソリューションのライセンスを確認する。
  利用しているソリューションに関して、そのライセンスを取得したいユーザ数などが不足している場合は、提供ベンダに問い合わせてライセンスのアップグレード等を確認。
• 帯域幅を確認する。
  ハードウェアリソースが不十分であるために帯域幅が制限されている場合は、そのアップグレードの可否や必要に応じた部品の入手を当該ベンダに確認。
• VPN基盤とセキュリティのベストプラクティスを確認する。
  一部のユーザは、業務上より多くのネットワークリソースを使用する可能性があるため、OpenVPNなども含めたより広いVPN基盤の選択肢を検討。特にこのような場合、セキュリティリスクへの担保が重要となるため、VPNの2要素認証などのセキュリティのベストプラクティスの適用を検討。
• インターネットトラフィックのルーティングを確認する。
  セキュリティポリシーが許す限り、クライアントの設定により、インターネットトラフィックを直接ルーティングし、VPNキャパシティの一部オフロードを検討。当然のことながらセキュリティトレードオフが発生するため、その妥当性アセスメントを実施。

またシステム視点のみならず、VPNを経由し利用するサービスについては、大容量なデータ転送を伴うものは、控えるまたは適切な利用時間を考慮するなどの、運用ガイドの徹底などの教育面も重要となります。

アップリンク使用率の管理

VPNの構成方法に応じて、インターネットアップリンクの使用率が増加または減少します。 Flowmon Networks社では、ユーザが自宅から直接アクセスする多くのクラウド配信アプリ（Google Suite、Salesforceなど）を使用しています。これは、当社のインターネットアップリンクの使用率が、テレワーク移行により低下することを意味しています。実際、VPNアクセスを必ずしも必要としていないユーザも多くいます。これは、クラウドサービスの積極的利用を進めてきた利点といえるでしょう。

ただし、社内のサービスにアクセスするために、ユーザが通常よりもアップリンクを使用するような要件がある場合は、関連する社外サービス提供者（ISP）との調整が必要となる場合があります。通常そのようなサービスのアップグレードは可能な場合が多いため、一時的にでも対応を依頼すると良いでしょう。また、たとえば、ストリーミングアプリのブロックなど、使用を許可するサービスの制限なども検討の必要があるかもしれません。アップリンクのオーバースケール傾向を考えると、サービスの制限などまでは不要と予想できるため、その必要性を検討の上判断してください。

個人所有のIT機器によってもたらされるリスクを最小限に抑える

社員が自宅から個人のデバイスで社内リソースにアクセスしたり、または資料作成などで任意のソフトウエアを利用する場合、深刻なセキュリティ上の問題が懸念されます。通常、これらのデバイスを完全に制御することは困難で、セキュリティポリシーの漏れのない適用が課題となります。この場合、次の視点から対応策を検討してください。

• トラフィックを適切に監視します。
  多くの企業ではトラフィック監視ソリューションを導入していますが、特にVPNホストとVPNトラフィックに注意してください。また、その時々の社会現象を利用した攻撃に注意が必要です。 直近では今回の新型コロナウィルスに対する世間の警戒心の高さを利用し、Emotetと呼ばれるマルウェアを感染させる攻撃手法に気をつける必要があります。特にグローバルで見ると、日本にその事例報告が多くみられています。
• 適切なアクセス管理が必要となります。
  それぞれのユーザが、自分の役割で必要なデータとサービスのみにアクセスできるようにします。一部のマルウェアによる権限昇格の場合、影響を最小限に抑えることができます。
• 通信を保護する他の方法を検討します。
  1つのオプションはターミナルサービスを使用することです。この場合、ユーザはVPN経由でセキュリティで保護されていない個人用デバイスから、たとえばRDPを介してWindowsサーバに接続します。アプリケーションの実行はセキュアなサーバ管理下で行われていることになるため、一定のセキュリティは保たれていると言えます。セキュリティの観点では優位性は高いと考えられるでしょう。

終わりに

これらの対応は、特殊なものではなく既に多くの企業で取り入れられています。テクノロジー的にもまたセキュリティ的にも、現実的な対応として実績のある構図となります。テレワークの全社展開が、今回の新型コロナウィルスのパンデミックにより避けられないものとなった場合、または今後求められてくる業務運用の柔軟性に対応するためにも、ビジネス形態変革のご参考にしていただければと考えます。

当コラムはFlowmon Networks社の The Upsurge of Home Office: Best Practices to Keep Your Network Secure and Runningを参照して書かれています。Flowmon製品はここでご紹介した、セキュリティやパフォーマンスの可視化にお役に立つ製品です。

◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


• 120秒でざっくりわかる製品紹介動画
• 20分でデモまで見られる製品紹介動画
• 30日間無償で試せる評価版

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■製品紹介
Flowmon コレクタ
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

• お見積依頼、お問い合わせはこちらからどうぞ
• 03-6205-6083
• 平日AM9:00～17:30（土日、祝祭日、年末年始、および弊社が定める定休日を除く）
お問い合わせフォーム

2020年01月20日

2020年02月12日

FlowmonとIBM QRadarとのインテグレーションを実現するアプリケーション・パッケージが、IBM Security App Exchangeから公開されています。ここではこのインテグレーションによる、FlowmonおよびIBM QRadarそれぞれのお客様にとってのメリットをご紹介します。

Flowmonはネットワークのパフォーマンスや正常性を監視し、またネットワークから検知可能なセキュリティー情報をベースに、ITインフラの安全性を可視化します。昨年グローバルで お客様総数1,000を超え、国内でも2011年から販売を開始し、現在では幅広い業界のお客様に広くご利用いただいています。IBM QRadarは、SIEM機能を核としたIBMのSecurity製品です。様々なディバイスやアプリケーションから収集するログ情報や、Flowmon Probeに相当するフロー変換コンポーネントからのフロー情報を合わせて、IT基盤のセキュリティー分析を行います。また同社のAIとなるWatsonとの連携による高度な分析機能の提供など、企業に求められるセキュリティー要件に幅広く対応する製品として位置付けられています。

既存IBM QRadar環境へのFlowmonの展開

このインテグレーション・パッケージは、Flowmonが分析・生成したセキュリティー・イベントをIBM QRadarに組み込むための定義（ルール/ビルディングブロック）を提供する Flowmon ADS Content Pack と、IBM QRadarのアプリケーションとしてFlowmonの解析情報を表示するための Flowmon QRadar App で構成されます。またFlowmonにはフロー生成転送機能も実装されているため、IBM QRadarへの外部フローソースとしてもご活用いただけます。

FlowmonはIBM QRadarのQFlow/QNI機能と同様にミラーポートやタップからネットワーク・トラフィックを取得し、フロー解析によりセキュリティー・リスクを可視化してゆきます。Flowmonの独自の解析機能により生成されたイベントがIBM QRadarのオフェンス生成判断にも取り入れられることとなり、既存のIBM QRadarのお客様にとっては、より多角的なリスク分析が期待されます。また運用管理視点からネットワークのパフォーマンス管理情報も併せて求められる場合、特に当該機能に定評のあるFlowmonを配置することで、IBM QRadarへのセキュリティーイベント情報の集約化とパフォーマンス監視要件を充足し、ITインフラ管理への投資最適化が実現できます。

図1：Flowmonを配置したより多角的なリスク分析

FlowmonはまたAWS、Azure、Googleの、クラウド上の仮想ネットワークからのトラフィック取得をサポートしているため、オンプレミスとクラウドの混在したハイブリッドな環境での、ネットワーク管理およびセキュリティー可視化を透過的に行うことができます。またこれらのクラウドマーケットプレースからもFlowmonをご利用いただけます。
※Googleのクラウドマーケットプレースについては、現在計画中となります。

Flowmonのお客様とってのIBM QRadar連携の利点

個々のお客様要件に最適化されたソリューション検討

このようにIBM QRadarのお客様はFlowmonを新たなセキュリティーエンドポイントとして付加することで、以下のようなメリットを期待できます。

• より多角的なリスク分析機能
• パフォーマンス監視要件への追加対応
• 新たなフローソースの選択肢

一方、Flowmonのお客様にとってはIBM QRadarとの連携により以下のようなメリットが期待できます。

• より多様なリスクシナリオへの対応
• AIでのセキュリティー解析へのステップ

図3：包括的なセキュリティー基盤の構築

ビジネスの拡大およびITサービスの複雑化・多様化により、単一ソリューションでの対応の限界から、セキュリティー基盤の多角化が求められてゆきます。お客様のITインフラの特色および事業拡張に併せて、様々なベンダーソリューションを組み合わせ、それぞれの要件に最適化されたソリューション検討にお役立てください。

日本アイ・ビー・エム株式会社様コメント

ネッ トワーク可視化に優れたセキュリティー製品となる Flowmon は、日本国内でも既に多くのお客様にご利用いただいており、IBM QRadar と共通のお客様も数多くおられると思います。この度の IBM Security App Exchange で公開されたインテグレーションにより、さらに一歩踏み込んだソリューション・シナリオを新たなお客様へご紹介することができ、また既存の IBM QRadar のお客様にもより一層ご満足いただけるソリューションをご提案できるようになることを期待しています。

日本アイ・ビー・エム株式会社
セキュリティー事業本部 セキュリティー製品事業部
事業部長 理事　植田 典子　様

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ