無料トライアル

flowmon Progress

NetFlowとは

~いつ・誰が・どこで・何をしたのか~

ここでは、NetFlowとは何か、また、NetFlow(フロー計測の業界標準フォーマット)を利用した
ネットワーク監視・分析にはどういったメリットがあるのかをご説明いたします。

NetFlow(ネットフロー)によるネットワークトラフィック監視

NetFlowとは、米シスコシステムズ(Cisco Systems,INC.)が開発した、ネットワークのトラフィックの
情報を監視・分析するための技術です。
主にシスコ製のルーターやスイッチに実装されていますが、現在では、フロー計測における業界の標準と
なりつつあり、多くのベンダーのネットワーク機器でサポートされるようになっています。
NetFlowなどのフロー情報を分析することで、操作上またはセキュリティ上の問題を明らかにし、
外部または内部のネットワークセキュリティを強固にします。

ネットワークにおけるフローおよびフロー計測とは

ネットワークトラフィック分析におけるフローとは、ネットワーク上を流れる共通の属性をもった
パケットグループのようなものです。
たとえば、送信元/送信先IPアドレス、送信元/送信先ポート番号、プロトコル番号などの属性が
共通であれば、そのパケットは同一のフローとしてみなされます。
わかりやすい例では、あるユーザがサーバにファイルをアップロードしたとしますと、その場合の処理は
1フローとして見なされます(パケット単位でみると、共通の属性をもった複数のパケットの
あつまりになります)。
このフロー情報を解析することで、ユーザやアプリケーション単位でのトラフィックの監視・分析が
可能となるのです。

FlowMon

従来のトラフィック分析との違い(SNMPとNetFlowとパケットキャプチャ)

従来からあるネットワークトラフィックの分析では、SNMP(Simple Network Management Protocol)によるインターフェース単位のトラフィック総量を計測するのが主流でした。
しかし、近年、ネットワーク使用目的の多様化・複雑化、さらにはセキュリティに対する関心の高まり
から、インターフェース単位のトラフィック総量だけではなく、ユーザやアプリケーション単位での
トラフィックや振る舞いを、監視・分析したいという要望が高まってきました。
NetFlowを利用した解析では、フロー単位でネットワークトラフィックの状況を把握することが
可能なため、ネットワーク内部の振る舞いを可視化できる技術として注目を集めています。
SNMP以外にも、ネットワークのトラフィックを解析する手法として、パケットキャプチャがあります。
パケットキャプチャによる解析は、ネットワーク上に流れるパケットのヘッダ情報だけでなく、
ペイロード(実データ)部分ごと取り込んで(キャプチャして)、トラフィックを解析します。
パケットキャプチャによる解析では、流れるパケットの内容を、すべて把握することができるため、
詳細な分析が可能です。
しかし、データ量があまりにも膨大になるため、大規模・大容量のネットワークトラフィックを
リアルタイムで監視・分析するのには不向きと言われています。
また、分析者が実際のデータ(通信やメールの内容)を参照することになるため、プライバシー上
問題になるケースもあります。
とくにISPやASP事業者では、顧客のプライバシーを侵害する恐れがあり、利用するには十分な注意が
必要です。
その点、NetFlowによるトラフィック分析は、実データを取り込むわけではないので、
大規模・大容量のトラフィックにも対応した効率的で高速なトラフィック解析が可能で、かつ、
顧客のプライバシーにも配慮した理想的な手法といえます。

FlowMon

どのように活用する?

フロー分析を行うことで、ユーザ単位・ネットワーク単位(レンジやサブネット単位)・アプリケーション単位・プロトコル単位で、現在のネットワーク帯域使用の問題点や改善すべき点をピンポイントで把握することができます。そのため、効率的で効果的なネットワークの問題解決およびキャパシティプランニングに活用できます。

また、ネットワークフローの通信ログを残すことで、ネットワーク内部の各フローの振る舞いを完全に把握することができ、情報漏洩(漏えい)や流出時の通信ログの証跡確認にも利用できます。
さらに、誰が・いつ・どこで・何をしたかを把握することができるため、社内ネットワークの規律保持にも活用できます。(Flowmonでは、フローのサンプリング(間引き)設定を行う必要がなく、すべての通信ログを保持することが可能です。)

その他にも、フロー分析技術を活用することで、ネットワーク上で望ましくない振る舞いをしている
ユーザや機器、アプリケーションを特定することができます。
たとえば、特定の送信先に対する大量の接続要求がみられたり、通常使用されないマルチキャスト送信が
頻繁に行われていたりする場合などは、DoS(Denial of Service)攻撃、DDoS(Distributed Denial of Service)攻撃、ポートスキャン攻撃などの不正な行いを疑うことができます。(Flowmonでは、Flowmon ADSプラグインを使用して、こうした振る舞い検知を実現しています。)

関連ページ

■製品紹介
Flowmon コレクタ

Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム