「FlowMon」は、従来のネットワーク監視の限界を超えるNBA(Network Behavior Analysis)技術によるソリューションで、ネットワーク機器からのトラフィックデータを取得して、フロー情報(NetFlow v5/v9およびIPFIXなど)に変換・蓄積し、解析することで、ネットワーク全域の可視化、既知・未知の脅威の発見、誤使用や不正使用の検出などを行うという。解析結果はGUIで提供され、ネットワーク全体から個々の通信まで自在に分析可能だとしている。
フローとは、ルーターやスイッチを通過する共通の属性を持つパケットの情報を集約したものだという。フローの方式には、シスコ社が開発したNetFlow、インモン社が開発したsFlowなどがあり、その仕様はRFCとして公開されているという。
「FlowMon」は、ネットワークのトラフィックデータを取得してフロー情報に変換する「FlowMonプローブ」、プローブからのフロー情報を蓄積する「FlowMonコレクター」、および外部の脅威に対してのセキュリティだけでなくファイアーウォールをくぐり抜けなりすましで侵入してきた内部の脅威などの検知や解析機能を提供する各種プラグインソフトウェアから構成されるという。
「FlowMonプローブ」と「FlowMonコレクター」は、専用ハードウェアにプリインストールしたアプライアンスで提供し、それぞれ単体で導入して既存のシステムと連携することも可能だという。また、いずれも、VMware対応の仮想アプライアンスでの提供も可能だという。
発表によると、「FlowMon」の構成製品は次のとおり。
1. FlowMonプローブ
NetFlow v5/v9、IPFIXに対応したIPフローレコーダーで、アプライアンスのハードウェアは、独自の専用高速ネットワークI/Fを採用しているため高速処理が可能。小規模から中規模ネットワーク(1GEで500,000パケット/秒/ポート、10GEで1.5Mパケット/秒/ポート以上)向けの標準モデル(「FlowMon Probe 20000-SPF+」などの全7モデル)と、大規模ネットワークやバックボーンネットワーク(1GEで500,000パケット/秒/ポート、10GEで1.5Mパケット/秒/ポート以上)向けにプログラマブルハードウェア(FPGA:Field Programmable Gate Array)技術を採用したアクセラレータモデル「FlowMon Probe 40000 Pro SFP+」(10GEで15Mパケット/秒/ポート)がある。
2. FlowMonコレクター
「FlowMonプローブ」、または他ベンダのネットワーク機器やプローブなどからのフロー情報を長期間保存する専用アプライアンスで、RAID、冗長化電源を備え、1TB~124TBまで搭載するHDDの容量と処理性能により全5モデルがある。「FlowMonプローブ」と同一の管理ユーザインタフェースを提供し、標準搭載の「FlowMonモニターセンター」でトラフィックグラフなどを表示可能。また、プラグインを追加利用することで、さらに充実した解析、レポート機能を提供。
3. 「FlowMon」の主なプラグイン
以下の機能を「FlowMonコレクター」のプラグインとして提供。
・FlowMon Reporter:自動レポート機能(PDFおよびCSVで出力可能)。ネットワークで何が起きているかの概要(1日/1週間/1カ月単位のトップレポートやトラフィックレポート)
・FlowMon HTTP Logger:もっとも頻繁にアクセスするサイト、もっとも頻繁に使用する利用者など
・FlowMon NAT Detective:NAT/PAT(ネットワーク・ポートアドレス変換)。テーブル、パイチャート、継続グラフでの表示
・FlowMon ADS(Anomaly detection System):望ましくない振る舞いの検知(攻撃、スパム、P2Pアプリケーション、不審なサービス、操作上の問題)。振る舞いプロファイル(通信パートナー、トラフィックの量、トラフィックの構成)。例外検知 (ネットワーク上の新しいサービスの検知、トラフィック規模)
■オリゾンシステムズのWebページ
http://www.orizon.co.jp/
