THE NETWORK ROADMAP 2008 FALL 2008年9月10日 開催

【 ここから本文 】

ネットワーキング

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

「フロー情報」を活用したネットワーク監視・分析のメリットを知る

SNMPではわからないウイルスの侵入情報も取得可能

(2006年09月29日)

これまで、ネットワークの監視・分析において、情報収集は主にSNMPを用いて行われてきた。しかし、SNMPが取得できる情報はネットワーク・インタフェースを流れる情報に限られており、アプリケーションやウイルス/ワームに関する情報は取得できない。そこで、SNMPよりも詳細な情報が取得可能なネットワーク・フローの情報に基づく監視・分析が注目を集めている。本稿では、フロー情報を収集・分析する技術「NetFlow」「sFlow」を中心に、フロー・ベースのネットワーク監視・分析について解説する。

進藤資訓
ファイブ・フロント チーフ・テクノロジー・オフィサー

ネットワーク監視・分析の定番
プロトコル「SNMP」の課題

 長年、ネットワークの監視・分析では、SNMP(Simple Network Management Protocol)を用いて情報収集が行われてきた。SNMPはその名のとおり、実にシンプルなプロトコルである。SNMPをサポートしているネットワーク機器とSNMPマネジャと呼ばれる管理ソフトウェアを用意すれば、ネットワークおよびネットワーク機器の情報を取得することが可能になる。具体的には、ネットワーク機器のトラフィック量、エラー数、CPU/メモリの使用率、状態などがわかる。SNMPに対応しているネットワーク監視・分析ツールには、オープンソースの「MRTG(The Multi Router Traffic Grapher)」(画面1)や日本ヒューレット・パッカードの統合運用管理ソフトウェア「HP OpenView」などがある。


画面1:SNMPベースのネットワーク監視・分析ツール「MRTG」の操作画面

 SNMPはシンプルなだけあって使いやすいのだが、十分な情報を取得できないという問題点もある。SNMPによって取得できる情報は基本的にネットワーク・インタフェース関連のものに限られており、OSI 7層モデルで言うと、第2層までの情報しか取得できない。したがって、ネットワーク上にどんなアプリケーションのデータが流れているのか、また、トラフィックがどこからどこまで流れているのかといった、ネットワークを監視・分析するうえでごく当たり前と思われる情報さえ、SNMPによる監視・分析では把握できないのだ。また、DDoS(Distributed Denial of Service:分散サービス拒否)攻撃やウイルス/ワームといったマルウェアの侵入に関する情報も、SNMPでは十分に得られない。

SNMPの弱点を補うフロー・ベースのネットワーク監視・分析

 そこで着目されるようになったのが、ネットワーク・フローの情報に基づくネットワーク監視・分析である。ネットワーク・フローは、アプリケーションの情報、送信元/送信先のIPアドレスなどを含んでおり、SNMPによって取得できる情報よりも情報量が多い。例えば、フロー情報を活用することによって、SNMPでは不可能だったエンド・ツー・エンドの通信(第3層)、アプリケーションの利用状況(第4層)の分析に加え、ネットワークを介した外部からの攻撃の検出も可能になる。

 このような分析を行いたい場合、今まではIDS(Intrusion Detection System:侵入検知システム)のようなインライン型の機器をネットワーク上に配置したり、スイッチのポート・ミラーリング機能を使ってネットワーク・アナライザーで分析したりする必要があった。こうした方法は、すべてのパケットから詳細な分析が行える一方、監視したいすべてのネットワーク・セグメントへの機器の設置と高度な分析スキルが不可欠という点で敷居が高い。また、ネットワークの高速化に伴い、当然、これらの機器においても高速化が必要となる。

 対するフロー・ベースのネットワーク監視・分析は、こうした詳細な分析を、ネットワーク・セグメントにとらわれないシンプルな機器構成で実現する。具体的には、「フロー統計技術」に対応しているネットワーク機器が、管理用の機器/ソフトウェアに対してフロー情報を送信し、管理用の機器/ソフトウェアがそれらのフロー情報を分析するという仕組みがとられている(図1)。そのため、既存のルータやスイッチがフロー統計技術に対応していれば、管理用の機器/ソフトを用意するだけでよい。ルータやスイッチといったフロー情報を吐き出すネットワーク機器は「エクスポータ」、フロー情報を受け取ってさまざまな分析をする機器は「コレクタ」と呼ばれる。

 なお、フロー・ベースのネットワーク監視・分析を行うと、情報収集時にルータ/スイッチのCPUに多少のオーバーヘッドが生じることは避けられない。だが、最近はフローの処理を専用チップで行うルータ/スイッチも多く、フロー処理のオーバーヘッドはそれほど大きいものではなくなってきている。


図1:ネットワーク・フローの情報に基づくネットワーク監視・分析の仕組み

 |123 > 次のページへ

関連記事

▲ページの先頭へ戻る

Insight

中国・四川大地震が襲った新興IT都市・成都

災害直後のネットワーク、工場、スタッフの被害状況を追う

Insight 記事一覧

key Person

「インターネットの父」ヴィント・サーフ氏、地方自治体主導のブロードバンド整備を提言

「市民が整備を求めているのであれば、やはり自治体がかかわるべき」

key Person記事一覧

Main Topics

マルチコア・コンピューティング

新時代のサーバ統合

ビジネス・コミュニケーション進化論

データセンター

仮想化技術

グリーンIT

セキュリティ・マネジメント

Windows Server 2008

SOA

ビジネス・インテリジェンス

ITIL/運用管理

コンプライアンス

データ・マネジメント

エンタープライズSaaS

Weekly Ranking

集計期間:08/22〜08/28

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国