企業のネットワークは、仮想化環境やクラウド環境の利用、デバイスの多様化などによって複雑化し、ネットワーク回線や帯域も肥大化してきている。また、セキュリティを高めるために、企業では、IPSやIDS、サンドボックスなどのさまざまなセキュリティ装置を使い、それらの運用に大きな労力が割かれているのが現状だ。このような状況の中で、しっかりとネットワークを監視しながら、運用負荷やコストを下げていくには、どうすればいいのだろうか。イクシアコミュニケーションズの小圷 義之 氏と末永 知 氏に話を伺った。
パケットロスでインシデントが見逃されている
「企業では、さまざまなセキュリティ装置が導入されていますが、ネットワークの複雑化により、トラフィックにおける「盲点」が発生しているケースがあります。例えば、ネットワーク構成に課題があり、パケットロスなどで、すべての通信を監視できていないことが原因となり、障害やインシデントの検知漏れが発生する場合があります。ネットワークインフラをしっかりと見直した上で、セキュリティ装置を運用する必要があります」と小圷 氏は説明する。イクシアコミュニケーションズは、ネットワークの測定器でマーケットリーダーとなっている会社だが、ネットワーク可視化製品も手がけている。これらの製品によって、パケットロスなく、冗長化を実現しながら、各装置の性能やトラフィック処理能力に見合う最適なパケットを送ることで、セキュリティを高めることができるという。そのためには、ネットワークインフラに「ネットワークTAP」「バイパススイッチ」「パケットブローカー」の3つの製品を導入することで、多くの課題を解決できる、と小圷 氏は説明を続ける。
ネットワークTAPは、ネットワーク信号を分岐して取り出す製品だ。トラフィックを監視する場合、SPANポートやミラーポートを使ってIPSやIDSなどのセキュリティ装置に通信を送って監視し、マルウェアの検知やアラートを出すなどの対処を行う場合が多い。しかし、通信量の負荷が増大した場合、SPANポートやミラーポートではパケットロスが発生する可能性があり、正確な監視ができなくなることもあるという。「上下1Gbpsのネットワークはフルに使っておらず、数百Mbpsしか使っていないという人もいますが、それは秒単位で見たトラフィックで、マイクロ秒で見ればフルに使っている瞬間もあり得ます。このようなマイクロバーストが出ている状態で、ミラーポートやSPANポートを使って通信を送ると、パケットロスが発生する可能性があり、マルウェアやインシデントを見落とす原因となってしまいます」と末永 氏は説明する。ネットワークTAPは、通信経路上の信号を確実に分岐させることができ、パケットロスが発生することなく、100%すべての通信を監視でき、ネットワーク遅延の心配もないのだという。