サイト内検索

|  詳細検索

【 ここから本文 】

• TOP
• >  Topics : ネットワーク機器
• >  

ネットワーク機器

ソーシャルブックマークに登録 ：
印刷用ページの表示

---

「フロー情報」を活用したネットワーク監視・分析のメリットを知る

SNMPではわからないウイルスの侵入情報も取得可能

（2006年09月29日）

ネットワーク監視・分析の定番
プロトコル「SNMP」の課題

　長年、ネットワークの監視・分析では、SNMP（Simple Network Management Protocol）を用いて情報収集が行われてきた。SNMPはその名のとおり、実にシンプルなプロトコルである。SNMPをサポートしているネットワーク機器とSNMPマネジャと呼ばれる管理ソフトウェアを用意すれば、ネットワークおよびネットワーク機器の情報を取得することが可能になる。具体的には、ネットワーク機器のトラフィック量、エラー数、CPU／メモリの使用率、状態などがわかる。SNMPに対応しているネットワーク監視・分析ツールには、オープンソースの「MRTG（The Multi Router Traffic Grapher）」（画面1）や日本ヒューレット・パッカードの統合運用管理ソフトウェア「HP OpenView」などがある。

画面1：SNMPベースのネットワーク監視・分析ツール「MRTG」の操作画面

　SNMPはシンプルなだけあって使いやすいのだが、十分な情報を取得できないという問題点もある。SNMPによって取得できる情報は基本的にネットワーク・インタフェース関連のものに限られており、OSI 7層モデルで言うと、第2層までの情報しか取得できない。したがって、ネットワーク上にどんなアプリケーションのデータが流れているのか、また、トラフィックがどこからどこまで流れているのかといった、ネットワークを監視・分析するうえでごく当たり前と思われる情報さえ、SNMPによる監視・分析では把握できないのだ。また、DDoS（Distributed Denial of Service：分散サービス拒否）攻撃やウイルス／ワームといったマルウェアの侵入に関する情報も、SNMPでは十分に得られない。

SNMPの弱点を補うフロー・ベースのネットワーク監視・分析

　そこで着目されるようになったのが、ネットワーク・フローの情報に基づくネットワーク監視・分析である。ネットワーク・フローは、アプリケーションの情報、送信元／送信先のIPアドレスなどを含んでおり、SNMPによって取得できる情報よりも情報量が多い。例えば、フロー情報を活用することによって、SNMPでは不可能だったエンド・ツー・エンドの通信（第3層）、アプリケーションの利用状況（第4層）の分析に加え、ネットワークを介した外部からの攻撃の検出も可能になる。

　このような分析を行いたい場合、今まではIDS（Intrusion Detection System：侵入検知システム）のようなインライン型の機器をネットワーク上に配置したり、スイッチのポート・ミラーリング機能を使ってネットワーク・アナライザーで分析したりする必要があった。こうした方法は、すべてのパケットから詳細な分析が行える一方、監視したいすべてのネットワーク・セグメントへの機器の設置と高度な分析スキルが不可欠という点で敷居が高い。また、ネットワークの高速化に伴い、当然、これらの機器においても高速化が必要となる。

　対するフロー・ベースのネットワーク監視・分析は、こうした詳細な分析を、ネットワーク・セグメントにとらわれないシンプルな機器構成で実現する。具体的には、「フロー統計技術」に対応しているネットワーク機器が、管理用の機器／ソフトウェアに対してフロー情報を送信し、管理用の機器／ソフトウェアがそれらのフロー情報を分析するという仕組みがとられている（図1）。そのため、既存のルータやスイッチがフロー統計技術に対応していれば、管理用の機器／ソフトを用意するだけでよい。ルータやスイッチといったフロー情報を吐き出すネットワーク機器は「エクスポータ」、フロー情報を受け取ってさまざまな分析をする機器は「コレクタ」と呼ばれる。

　なお、フロー・ベースのネットワーク監視・分析を行うと、情報収集時にルータ／スイッチのCPUに多少のオーバーヘッドが生じることは避けられない。だが、最近はフローの処理を専用チップで行うルータ／スイッチも多く、フロー処理のオーバーヘッドはそれほど大きいものではなくなってきている。

図1：ネットワーク・フローの情報に基づくネットワーク監視・分析の仕組み

---

---

▲ページの先頭へ戻る

---