マルチクラウド戦略を支えるFlowmon 12について

2022年4月27日

本年5月にグローバル向けリリース予定(国内7~8月から正式サポート予定)の最新版Flowmon v12について、Flowmon社の ブログ記事 を参照し、その注目点をご紹介します。

新機能概要

Flowmon v12は、新たにMicrosoft AzureとGoogle CloudでのFlowLogがサポートされ、 また従来から対応済であったAWS版(Amazon Web Services)FlowLogの拡張がなされたことにより、 よりマルチクラウド対応化が進み、クラウドモニタリングの幅を次のレベルに引き上げます。

  • FlowLogを活用して可視性を高め、クラウド監視戦略のコスト最適化
  • 単一のユーザーインターフェイスから、ハイブリッドまたはマルチクラウド全体を包括的に可視化
  • オンプレミス、AWS、Azure、Google Cloudなどの複合環境でのトラフィック監視を実現

また、既存のFlowmonのお客様からのフィードバック、IT脅威に関する調査、および今日のお客様要件に基づき、 この最新リリースでは、よりふるまい検知機能(ADS)も強化されております。

図1:Flowmonによる統合監視

図1:Flowmonによる統合監視

主要強化点

Flowmon v12のハイライトは、主要なパブリッククラウド上でのFlowLogによるネットワーク解析の拡張と、 ADSの機能強化点となります。

FlowLogは、パブリッククラウド環境でネイティブにトラフィックを可視化するためのデータ形式ですが、 これまでのFlowmonは、このFlowLogのサポートはAWS版のみであったため、AzureやGoogle Cloudの利用では Flowmon Probeなどエクスポーターを検討する必要があったため、実装にはコスト面での課題がありました。

今回のFlowLogのサポート拡張により、3つの主要なクラウドプロバイダーすべての環境へ対応したことになります。 また、AWS版(Amazon Web Services)FlowLogでは、新たにTCPフラグも分析可能となったことから、 NetFlowと遜色がないレベルで、クラウドトラフィックの包括的な可視性が実現可能となりました。

ADSでは、脅威検知での検出方法の拡張がなされ、また高い検出精度を提供するために求められる、 システムチューニングの新たな手段が提供されています。 検出方法の拡張点としては、ランダムドメイン検出の追加が代表的なものとなります。 このランダムドメイン検出は、データの漏えいや着信コマンドなどの一般的なマルウェアアクティビティを検出し、 マルウェアサーバーからのアクティビティー制御が行えるようになっています。 またお客様のフィードバックを受けて、誤検知を排除するための調整機能が強化されています。 これにより、より効率的なセキュリティ監視運用が可能となっています。

メリット

Flowmon v12がもたらす利点として、オンプレミスと3つのパブリッククラウドのトラフィックを1つの監視システムに集中化でき、コストと可視性の最適化が可能となります。また、マルウェア対策としてセキュリティ強化を図ることができます。

ツールの削減

各クラウド基盤ではネイティブな監視ツールが提供されていますが、コストのみならずそれらの管理運用も大きな負担となってきます。また取り扱う情報量も各環境ごととなるため、その分析作業もより複雑なものでした。 Flowmonはこれらの分析作業も統合することにより、複数のクラウドを横断した可視化が可能となり、 より費用対効果を高めることが可能となります。

クラウドトラフィックの可視化コストを最適化

クラウド上のトラフィック収集に加え、その収集したトラフィックの処理にも追加コストが必要であった事から、 大規模な監視を行うには、コスト面に大きな課題がありました。 FlowLogを取り扱えるようになったことから、クラウドインフラ全体で非常に費用対効果の高い監視を実現できます。 また、より詳細な監視が必要なアプリケーション向けには、ターゲットを絞りFlowmon Probeなどエクスポーターを導入するなど、 ネイティブなクラウド監視ツールと組み合わせる事で、可視性の向上も可能です。

ネットワーク異常の早期検出の強化

ADSのふるまい検知機能の拡張により、サイバー脅威に対抗する新機能が提供されています。

機械学習を利用したランダムドメイン検出機能がその一つです。ランダムドメイン検出により、 マルウェアによる未知のC&Cサーバーと通信の検知が可能となります。マルウェアが使用しているC&Cサーバーの ドメインを既存のブロックリストに含める必要がないため、インシデントをすばやく特定できます。 この新しい検出方法は、複数の攻撃手法を使用する高度な攻撃からも保護します。

図2:アクセス阻止のランダムドメインによる回避

図2:アクセス阻止のランダムドメインによる回避

また、いくつかのメソッドを拡張して新しい攻撃ベクトルを検出する等、既存のメソッドも多く改善されています。 たとえば、TOR方式が改訂され、TORネットワークを使用しようとしているネットワーク上のクライアントの検出が大幅に増加しました。 ほとんどの組織にとって、TORの使用は悪意のある活動の指標です。 TOR検出方法も拡張され、TORネットワークの誰かが 組織の公開されているサーバーにアクセスしようとしていることを検出できるようになりました。 これは通常、サイバー犯罪者がサイバー攻撃を計画しているか、悪用する脆弱性を探していることを示しています。

ADS v12では新たに、正確な脅威検出を提供するために、さらにきめ細かい調整が行えるよう改善されています。 誤検知ルールを定義するためのより多くのオプションが提供され、アラートを発生させてはならないイベントを定義する機能を強化しています。 これらの拡張機能には、企業や組織のドメインや自律システム番号(ASN)と、そのサービスまたはWebサイトを誤検知ルールで指定して、異常なイベントとして検出される可能性のあるものを除外するオプション機構などがあります。

図3:誤検知除外設定

図3:誤検知除外設定

レポートも強化され、関連情報を簡単に表示およびアクセスできるようになりました。 レポートにADSメトリックにドリルダウンする機能が追加され、ADSの関連ページに直接リンクして、リンクされたトピックに関する詳細情報を提供できるようになりました。このドリルダウン機能もダッシュボードに追加され、管理インターフェイスから直接、強化されたワークフローとタイムリーな情報を提供します。

その他、SCANSメソッド分析の強化、REST APIの拡張、MITRE ATT&CKの戦術とテクニックをカスタムパターンに割り当てる機能なども新たに追加されています。

終わりに

最新 v12のリリースにより、Flowmonは、AWS/Azure/Google CloudのネイティブFlowLogがサポート可能な、 業界初のソリューションをお届けできることとなりました。 今後もFlowmonはネットワークパフォーマンス監視および脅威検知の分野で、実効性の高い改善を継続して行きます。

関連情報

Flowmonサイト: Network Monitoring and Visibility
Flowmonサイト: Cloud Application Performance Monitoring
Flowmonサイト: ADS (Anomaly Detection Systems)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)