Flowmon は「防犯カメラ」 ― これからのセキュリティ対策に「フロー分析」が欠かせない理由

Flowmon について、製品としての概要と特徴、プラグイン機能とセキュリティ対策における有効性・必要性を紹介しました。今回は、①Flowmon の導入例、②セキュリティソリューションとしての位置づけ、③調査結果から見たネットワーク監視・ログ分析の動向、について解説します。Flowmon の活用イメージに加えて、今なぜこのような製品が求められているのか理解できるはずです。

多様な用途・現場で活用されている Flowmon

Flowmon の主な用途として挙げられるのは、「アクセスログの保管」「ネットワークトラブル対応」「ネットワーク帯域のプランニング」「マルウエア感染端末の検知」などです。実際にどのような現場で導入されているのか、国内における Flowmon の代表的な活用事例を、それまで抱えていた課題と導入後の結果とともに紹介します。エンタテインメント分野、製造業、ISP、大学など、実に多様な現場で活用されています。

A社（エンタテインメントコンテンツ事業） --- 巨大データ転送のネットワーク監視・診断

【抱えていた課題】

• 社内ネットワークで数十ギガバイト規模の巨大なデータをやり取りするため、従来のパケットキャプチャ式ログ管理ではデータ量が膨大になってしまう。
• 拠点間通信の遅延や停止の原因究明が難しかった。

【導入効果】

• ログデータ量が1/500となり、ストレージのコスト削減やネットワーク負荷が低減できた。
• ネットワークの不具合に対して、短期間で原因を突き止められるようになった。
• 定常的なトラフィック監視によって、帯域増強の必要性を適切に判断できるようになった。

B社（製造業） --- 情報漏洩などのセキュリティ対策

【抱えていた課題】

• セキュリティ強化のために、各拠点とデータセンター間のトラフィックを可視化したい。
• 情報漏洩時に、漏洩データが流出したかどうかを特定できるようにしたい。

【導入効果】

• 拠点ごとの分析・監視を実現できた。また、自動レポート生成機能により、社内に向けた定期的報告が容易になった。
• フローデータを保存しておくことで、端末単位で通信履歴を確認できるようになった。
• アラート機能によって、一定量以上の重要データがダウンロードされたら即時に気づけるようになった。

C社（ISP） --- 外部からの攻撃対策

【抱えていた課題】

• 外部から受ける DoS 攻撃への対策に悩んでいた。
• DoS 攻撃の被害をいち早く防げるように早期検知の仕組みを必要としていた。

【導入効果】

• DoS 攻撃を振る舞い検知するとともに、攻撃元 IP アドレスを特定できるようになり、迅速かつ適切に不正トラフィックを除外できるようになった。
• ポートスキャンなど、DoS 以外の攻撃も検知できるため、大幅なセキュリティ強化につながった。

D大学 --- 公開サーバーの適切な運用・停止

【抱えていた課題】

• 公開NTPサーバーへのトラフィック負荷が高く、停止を検討していた。
• ただし、単に停止するだけではリトライなどで逆に負荷が増える可能性もあり、適切な判断のための分析を必要としていた。
• 従来のツールでは、性能的に不十分で対応できなかった。

【導入効果】

• 全トラフィックの可視化に成功し、収集ログの分析・検索・レポートなどが効率化できた。

これらの事例からは、Flowmon がネットワークログの生成・保管・分析を基盤として、実に幅広い目的に利用できることがわかります。ほとんどの企業にとって、IT やネットワーク無しでは業務が成り立たない現状を考えると、ネットワークログは企業活動の記録でもあり、いかに重要なものか理解できるでしょう。

セキュリティソリューションとしての位置づけ

世の中では、ネットワークログ管理への関心が高まっています。その目的は事例で紹介したように多様ですが、特にセキュリティソリューションとして注目されています。個人情報保護法を踏まえた漏洩対策、巧妙化するマルウエアの攻撃や日々報道される被害や事件の多さを考えると、この動向は当然でしょう。

以前のセキュリティ対策は、ネットワークへの侵入や個々の端末への感染を防御するもの（エンドポイントセキュリティ）が主流でした。しかし、ランサムウエアの Emotet による標的型攻撃など、現在では侵入を許した後の対応がより重要になっています。

ネットワークログに基づくセキュリティ対策は、例えるなら防犯カメラのようなものです。家の戸締まりを厳重にするだけではなく、部屋の中でも監視することで、リアルタイムに問題を把握できます。また、定点観測として、何か事が起こった際に、さかのぼって確認できる点も、防犯カメラに似ています。

図　Flowmon が備えるフロー監視や振る舞い分析は、企業ネットワークセキュリティにおける防犯カメラの役割を果たす

さらに言えば、防犯カメラで問題のある時点の映像を探すことは、場合によっては非常に困難を極めます。録画データが多ければ多いほど、確認の手間も増えます。確認すべきポイントを簡単に絞り込めること、必要十分な情報を確認できること、保存データをコンパクトなサイズに収めることは防犯カメラでもログ管理でも同じです。

Flowmon が採用している「フロー分析」は、これらの要素をバランス良く満たすための技術であり、現実的かつ効率的なネットワーク監視を可能にします。

市場調査から見たネットワーク監視・ログ分析の動向

JIPDEC（日本情報経済社会推進協会）は、2022年5月31日に「JIPDEC IT-Report 2022 Spring」を公開しました。これは、「企業IT利活用動向調査2022」の結果とそれに基づく国内外の情報化動向をまとめたレポートです。

このレポートの「5-1　ネットワーク／ゲートウェイ製品の利用状況」（p.13）では、ネットワーク監視・ログ分析ソリューションの動向がまとめられています。2021年度と2022年度を比較したカテゴリ別ソリューションの企業導入率では、ほとんどのカテゴリで導入が増えています。

図　「統合振る舞い検知サービス（XDR）」と「統合ログ分析管理（SIEM）ツール」の利用状況
出所　JIPDEC「JIPDEC IT-Report 2022 Spring」、p.13「図14．ネットワーク／ゲートウェイセキュリティ製品の利用状況（2021-2022年比較）」を元に作成

この背景には、コロナ禍によるテレワークの広がりで、企業ネットワークの利用がこれまで以上に進んだことがあります。さらに、ネットワークへの依存度が増したことで、ネットワークセキュリティに対する要求も高まりました。

Flowmon と関係の深い「統合振る舞い検知サービス（XDR）」「統合ログ分析管理（SIEM）ツール」でも、共に「導入済み」が約3割、「1年以内に導入予定」が約2割となっています。「3年以内に導入予定」まで含めると、6割近くに達します。エンドポイント（クライアント用ウイルス対策）ソリューションに比べるとまだ低いものの、今後さらに認知が広がるにつれて、導入も増えるカテゴリだといえます。

カテゴリに惑わされない製品選びを

製品カテゴリごとの市場調査を紹介しましたが、他方でこれにとらわれ過ぎないことも大切です。

Flowmon がそうであるように、ネットワークログに基づいた機能やソリューションは、パフォーマンス分析からセキュリティまで多彩です。市場ではさまざまな製品が存在し、カテゴライズされていますが、必ずしも厳密なものはありません。中にはベンダーによるマーケティング観点のものも存在します。

Flowmon は「SIEM」にカテゴライズされることもありますが、機能を詳細に見ると適用分野はそれにとどまりません

市場調査では、便宜上カテゴライズする必要がありますが、実際の製品はそれほど単純ではありません。例えば Flowmon のようにプラグインで機能を拡張できるソリューションは、実際は複数のカテゴリにまたがることになります。ある程度は参考にしつつ、製品の特徴を調べ、理解することが大切です。

Flowmon の詳細については、プログレスの Flowmon ページをご参照ください。