無料トライアル

flowmon Progress
  • Flowmonコラム
  • NDR導入の第一歩!Flowmon ADSが解決するセキュリティの課題

NetFlowの歴史と技術的進化

2025年11月6日


1.はじめに

前回コラムでは、ネットワーク監視の三つの視点として、NetFlow・PCAP・SNMPを紹介しました。今回のコラムではその中でも弊社が扱うFlowmonが採用するNetFlowについて、さらに掘り下げていきたいと思います。フロー情報の仕組みやバージョンごとの進化、NetFlowとsFlowの違いまでを順を追って解説していきます。

2.ネットワークフローとNetFlowの概要

本章では、ネットワークフローの概念を整理し、通信の全体像を理解してNetFlowとは何か、どのように扱われるのかを解説していきます。
ネットワーク上に流れる通信を分析するツールとして「ネットワークフロー」という考え方があります。フローとは、送信元/宛先のIPアドレスやポート番号、プロトコルなどの共通した属性を持つパケットのまとまりを指します。 例えば、「ユーザがWebサイトを閲覧する通信」や「サーバにファイルをアップロードする通信」など、一連のやり取りを1つの単位(フロー)として扱うことで、誰がどこへ、どれくらい通信をしているかを把握することができます。
このフローという考え方を実際の仕組みとして実装したのがNetFlowです。 NetFlowはCisco社が開発した技術で、特徴的な仕組みとしては、まずルータやスイッチなどのネットワーク機器を通過するパケットを監視し、同じフローに属するパケットをまとめて1つのフロー情報として生成します。各フローには、送信元・宛先IP、ポート番号、プロトコル、パケット数やバイト数、開始・終了時刻、TCPフラグなどの情報が含まれます。NetFlowで収集されたフロー情報は、可視化ツールや分析ソフトウェアを活用し、単なるトラフィック量の把握だけでなく、どの通信がどれくらいの帯域を使用しているか、異常な通信が発生していないかなどを詳細に分析できます。

3.NetFlowの進化と各形式の特徴

本章では、NetFlowがどのように進化してきたか、各形式の特徴を整理します。 初期のNetFlowであるNetFlow v5では収集できる情報がIPv4アドレス、ポート番号、プロトコル、パケットやバイト数などに限定された、固定形式のデータフォーマットを使用していたため拡張性が低く、主にCisco装置間での利用に限られていました。 その後登場したNetFlow v9では、テンプレート方式のデータフォーマットが導入され、収集するフィールドを柔軟に指定できるようになりました。これによって、IPv6やMPLS、VPNラベル、アプリケーション識別など、より詳細な情報の取得が可能となりました。さらに、データフォーマットの柔軟性により、必要な情報のみを効率的に出力できるようになったことで、従来の固定形式よりも複雑なネットワーク環境や分析ニーズに対応できるようになりました。 そして、NetFlow v9をベースに、IETF標準として策定されたのが IPFIX(IP Flow Information Export) です。IPFIXではベンダー間での互換性が高まり、異なる装置間でも同一のデータ形式でフロー情報をやり取りできることが大きな特徴です。IPFIXはNetFlow v9と同じテンプレート方式を採用していますが、NetFlow v9そのものではなく、NetFlow v9をもとに標準化された別仕様の規格として位置づけられています。 このように、NetFlowは収集情報の範囲やデータフォーマットの柔軟性、標準化・互換性の面で進化してきました。


図1:NetFlowの進化

4.sFlowとNetFlowの違い

前章では、NetFlowやIPFIXを取り上げ、それぞれの特徴について解説しました。
これらと同じく、ネットワークフローを収集する技術としてsFlowがあります。ネットワーク上を流れる通信を観測するという点はNetFlowと同じ考え方になりますが、sFlowはサンプリング方式を採用している点に違いがあります。すべての通信を詳細に記録するNetFlowとは異なり、ネットワーク上を流れる膨大な通信の中から、例えば1,000パケットに1つ(1/1,000)といった割合でパケットを抽出し、そのヘッダ情報を通信全体の疑似的な統計として利用します。これにより、大規模ネットワークでも機器負荷やデータ量を抑えつつ、全体のトラフィック傾向を把握できます。
その一方で、すべての通信を収集するわけではないため、通信分析の面では情報の粒度が低下してしまいます。 そのため、詳細分析やトラブルシューティングなど通信単位の分析を行いたい場合にはNetFlowが適しており、大規模ネットワーク環境での全体傾向の把握やキャパシティプランニングはsFlowが有効です。


表1:比較表:NetFlow vs sFlow

表1:比較表:NetFlow vs sFlow

5.まとめ

本コラムでは、NetFlowの基本概念から、バージョン・規格ごとの特徴までを解説しました。 弊社が扱うFlowmonでは、NetFlow v5やv9、IPFIX、sFlowなど主要なフロー規格に幅広く対応しており、フローデータを用いて通信の可視化・分析をすることができます。これにより、ネットワーク運用の最適化やトラブルシューティング、帯域利用状況の把握など、さまざまな場面で意思決定を支援することが可能です。
今後は、クラウドサービスの導入や拠点間接続の多様化により、ネットワーク環境はますます複雑化していくことが予想されます。こうした中で、フローデータを活用した可視化・分析は単なるトラフィック把握にとどまらず、問題の早期発見、運用計画の立案、資源配分の最適化など、ネットワーク管理全般における重要な判断材料となるでしょう。

Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム