ネットワーク上を流れるパケットをキャプチャして丸ごと保存するのが“ネットワーク・フォレンジック”である。トラフィック状況の変化を把握してSLM(サービス・レベル管理)に役立てたり,有事の際の証拠としてセキュリティに役立てるといった需要がある。ネットワーク・フォレンジック・サーバーを開発/出荷するベンダーの1社,米NiKSUNは11月14日,新たに10Gビット/秒のイーサネット・ポートを備える新モデルを市場に投入する。同社創業者で会長兼CEO(最高経営責任者)を務めるDr.Parag Pruthi氏に,ネットワーク・フォレンジック・サーバーに求められている機能と,その需要を聞いた。
 米NiKSUNの創業者(出資者)で,会長兼CEO(最高経営責任者)を務めるDr.Parag Pruthi氏 [画像のクリックで拡大表示] |
ネットワーク・フォレンジック・サーバーとして,他社と比べた米NiKSUNの特徴は何か。
米NiKSUNのコア技術は,高性能なデータ・ウエア・ハウス(DWH)にある。ネットワーク・パケットを収集した数テラ・バイトのデータから所望のデータを検索するのにかかる時間が極めて早いのだ。このDWHを中核に,データ・マイニング機能やレポート作成機能などを備える各種のアプリケーションを取り揃えている。こうしたソフトには,トラフィックの動向を把握/管理することを目的とした性能監視ソフトや,不正アクセスや情報漏えいなどの証拠を残すソフトなどがある。
性能監視とセキュリティ対策ともに,典型的な使い方を定義したテンプレートを複数用意しているほか,ユーザー企業ごとの監視項目の定義やしきい値の設定なども可能だ。業務アプリケーション・プロトコルでやり取りするデータ・フォーマットの定義や,データの中に登場するキーワードの意味の定義なども教え込ませることができる。キャプチャしたデータ群に,過去の実績値(通常)とは異なる動向を発見/検知する機能も持っている。こうした,DWHやBIをベースとするアプローチに,特徴がある。
製品の提供形態は,アプライアンス・サーバーだ。ラックマウント型PCサーバーとWindows OSをベースに,コアとなるDWHと,その周辺に各種アプリケーションをインストールしてあり,ライセンスに応じて個々の機能をON/OFFできるようになっている。このアプライアンス・サーバーをスイッチ機器のミラー・ポートに接続し,ネットワーク上を流れるパケットをキャプチャ/保存する。複数のネットワークに分散配置したサーバー群に対して親サーバーを設置して,データを集約して一元管理する運用も可能である。
DWHを高速に検索できる点は,ネットワーク・フォレンジックにとって極めて重要だ。何故なら,問い合わせに対してすぐに結果が返ってくれば,全パケットを保存することの意義が増すからだ。ある特定の性能監視やセキュリティ要件のために,フィルタリングを施した少量のデータだけを管理するといった使い方は,応用が効かない。一方で,全パケットを丸ごと保存しておけば,その生データはどのような用途にでも応用できる。これまでは,検索性能がネックとなっていた。検索性能が高いDWHによって,丸ごと数テラ・バイト級のデータを保存しておくことの意味が出てきているのだ。
新モデルの特徴は何か。
11月14日に,これまでのギガビット・イーサネット・カードの代わりに10Gビット・イーサネット・カードを搭載したモデルを市場に投入する。これにより,10Gビット・イーサネットのL2スイッチから,数Gビット/秒クラスの速度でデータをキャプチャできるようになる。性能監視システム「NetVCR」の新版と,不正侵入対策/情報漏えい対策システム「NetDetector」の新版だ。
