Flowmon 13 リリース情報: スピード、インテリジェンス、セキュリティが進化

プログレスでは Flowmon 製品の開発と強化を続けていますが、このたび、最新バージョンとして、目覚ましいパフォーマンス向上、強化されたセキュリティ、拡張されたプロトコルサポートが含まれた Flowmon 13.0 が、ベータ版としてリリースされました。このブログでは、Flowmon ソリューションの注目すべき新機能や改善点をピックアップしてご紹介します。

再設計されたバックエンドエンジンによる大幅なパフォーマンス向上

Flowmon 13 ではバックエンドアーキテクチャを全面的に再設計し、過去バージョンと比べて最大7倍のクエリ速度を実現しました。この新エンジンにより、フローデータの処理効率が向上し、クエリ応答の高速化やリソース管理の最適化が可能になっています。

処理時間の短縮 - 刷新されたバックエンドアーキテクチャはスピードを重視して設計されており、大規模データ環境でも高速な分析を可能にします。大量のネットワークテレメトリを扱う組織にとって、大きなメリットとなります。

ユーザーエクスペリエンスの向上 - 高速化された UI 応答により、管理者のストレスを軽減し生産性を向上します。管理者は、待ち時間が短くなって、より多くの時間をデータ分析のために使うことができます。

トラブルシューティングの迅速化 - 高速クエリにより、根本原因分析を迅速に実施でき、インシデントを短時間で解決できるようになります。結果としてダウンタイムを削減し、ネットワーク障害が発生というビジネスリスクが最小限に抑えられます。

手がかりから明確な答えへ: 新しい調査機能

Flowmon 13 には、ネットワーク分析の方法を一変させる強力な新しい調査機能が搭載されています。スピード、正確さ、チームワークを重視して設計されたこの機能は、複雑なネットワークフォレンジックを理解しやすくするために、相互に連携した手順と視覚的なコンテキストを提供します。

相互接続されたステップによるビジュアル分析 - 分析クエリをツリービューで接続し、ルートステップから関連するクエリへとドリルダウンしていくことができます。親ステップのフィルターを変更すると、子ステップも自動的に更新され、新しい結果が表示されます。このツリービュー方式で、初期検出から根本原因の特定まで、調査の過程を追跡できます。下の画像をご参照ください。

変数とリファレンス - フィルター内で変数を設定し、調査全体で一括管理できます。リファレンス変数は、結果から特定の値 (例えば、上位10件の IP アドレス) を抽出し、次のクエリのフィルターに使用できます。この柔軟な変数機能によって、調査ワークフローを効率化できます。

保存、共有、コラボレーション - 調査内容は長期保存でき、ドキュメント用にエクスポートしたり、関係者と共有したりできます。チームメンバーとの共同作業やセキュリティインシデントの文書化が容易になり、類似の調査に分析ワークフローを再利用することもできます。

専用の調査タブ - メインメニューに新しい「調査」タブが追加され、既存の調査が一覧表で表示されます。ページネーション、検索、列の並べ替え機能を備え、一括または個別の操作が可能です。

静的ルールから動的認識へ

Flowmon 13 では、従来のアラートシステムを、実際の状況に適応するストリームベースのアラートに置き換えました。この新しいアプローチにより、ネットワーク異常をより早期に検知できるようになります。

従来の監視ツールは、固定された時間ウィンドウをまたぐ異常を見逃すことがあります。例えば、「5分間に3回接続したらアラートを発生させる」というルールを設定していた場合、あるシステムが最初の5分間に2回接続し、次の5分間の冒頭で3回目の接続を行っても、静的ルールベースのシステムではアラートが発生しません。異常な挙動が事前に定義された時間スロットにうまく収まらないため、見落とされてしまいます。

ストリームベースのアラートは、この問題を解決するためにスライディングウィンドウ方式を採用しています。30秒から1日、もしくはカスタム範囲で時間間隔を設定でき、さらに評価間隔も指定できます。システムは、設定した評価レートに基づいて指定された期間を見直し、アラート条件に該当するかどうかを判断します。この手法により、誤検知やアラート疲労を軽減しつつ、実際の異常には確実にアラートを出します。

アラートを即時に発生させるか、データが揃ってから発生させるかを設定できます。また、次のアラートが発生するまでのブロック期間も設定でき、ブロックなし、あるいは30秒から1日までの任意の間隔が選択可能です。

精度の高いデータを使ったトラブルシューティング

Flowmon 13 は多面的にデータの可視性を高め、より迅速なトラブルシューティングとより的確な意思決定が可能になります。

短縮 URL から完全な情報へ - 可変長の文字列フィールドにより、UI 上で短縮された URL ではなく、完全な URL パスを確認できるようになりました (下図参照)。ユーザーがどのリソースにアクセスしているかを正確に把握できます。

あいまいな宛先から正確な把握へ - DNS エンリッチメントで IP アドレスをドメイン名に変換し、ユーザーアクティビティの明確なコンテキストを提供します。例えば、単に 219.13.24.154 宛のトラフィックを見るのではなく、実際の宛先である “US.SRV02.INVOICES.COM” と、データ保存用の CIFS などのプロトコル情報も同時に確認できます (下図参照)。

トンネル化されたトラフィックからすべてのレイヤーへ - QinQ 対応により、トラフィックのカプセル化の全レイヤーを把握できます。従来は単一の VLAN タグしか確認できませんでしたが、現在は外側と内側の VLAN タグの両方を確認できます。例えば、外側 VLAN が “London”、内側 VLAN が “DEV01” のトラフィックが特定の IP アドレスに到達していることを把握でき、複雑なネットワークアーキテクチャを正確に可視化できます (下図参照)。

拡張された IP インデックス化

Flowmon 13 では、IP インデックス化機能が拡張され、実際のすべてのプロファイルで利用できるようになりました。より多くのパラメータや集計を利用した高速なクエリ実行が可能になります。再設計されたバックエンドエンジンと組み合わせることで、ネットワーク全体から特定の IP アドレスのアクティビティを数秒で特定できるようになります。

新しい OT および IoT プロトコルの監視

産業制御システムや IoT を運用する組織は、Flowmon 13 によって主要プロトコルのサポートを通じてレイヤ7の可視性を強化できます。

• Modbus - 産業機器で広く使われているシンプルなプロトコル
• MQTT - IoT メッセージング向けの軽量で効率的なプロトコル
• S7COMM - PLC 通信向けのシーメンス独自のプロトコル
• DNP3 - ユーティリティ自動化のための安全で信頼性の高いプロトコル

この拡張されたプロトコルサポートにより、従来の監視ツールでは見逃しがちな特殊なトラフィックも監視できるようになります。

拡張されたフローフィールドのサポート

Flowmon 13 では、収集および分析できるフロー情報の種類が拡張され、ネットワークトラフィックの可視性がさらに向上します。

• 完全なバイフローサポート - Flowmon Collector はバイフロー処理とトラフィック分析を完全にサポートし、双方向ネットワーク通信の監視が容易になりました。
• X-Forwarded-For HTTP ヘッダーのサポート - Flowmon は X-Forwarded-For HTTP ヘッダーを解析し、表示します。プロキシやロードバランサーは通常、このフィールドを使用して元のクライアント IP アドレスを保持します。この追加により、複雑なネットワーク構成でも Web トラフィックの実際の送信元を特定しやすくなります。
• Observation Domain ID - Flowmon Collector は Observation Domain ID (IPFIX 要素 #49) を source-id フィールドに保存します。これにより、特に RSS キューやマルチコアエクスポーターを使用する構成で、フローを特定のエクスポーターインスタンスに紐付けることが容易になります。

サポートされるフィールドの詳細については、Flowmon ドキュメントの Supported Flow Standards をご参照ください。

再設計されたクォータマネージャ

Flowmon 13 のクォータマネージャは、使い勝手やパフォーマンスに関する長年の課題を解決するために、大幅に再設計されました。主な変更点は以下の通りです。

ユーザーインターフェースの改善 - 大量のクォータを管理する際の使いやすさと応答性を向上させるため、インターフェースを刷新し、ストレージ割り当ての確認や管理がより簡単になりました。

保持期間の可視化 - 各クォータの保持期間を確認でき、システムが制限を超えるまでの残り時間を把握できます。この情報により、ストレージ容量の計画がより効果的に行えます。

ビジュアル的な向上 - 有効/無効なクォータ変更を色分けして表示し、「現在の割り当て」と「新しい割り当て」のチャートで設定更新が分かりやすくなりました。

実行時の動作 - システムはクォータの問題をユーザーに通知し、ディスククォータを超えたモジュールを一時停止します。これにより、ストレージ問題が他の機能に影響を与えるのを防ぎます。

Azure VNet フローログのサポート

Flowmon 13 に Azure VNet フローログのサポートが追加され、従来のクラウド監視機能がさらに強化されました。Microsoft Azure を利用する組織は、他のフローログと並行してネイティブフローログを取り込み、単一のダッシュボードで包括的なマルチクラウド可視性が得られます。

分析機能の強化

Flowmon 13 の分析ワークフローには、データ探索をより迅速かつ柔軟にする複数の改善が追加されました。

ユーザーによる粒度の変更 - チャートデータの粒度を 30 秒から 1 日まで動的に調整できるようになり、分析の詳細レベルを自在にコントロールできます。

該当なし (N/A) 値の表示 - ホスト名など、集計フィールドに値がないフローを表示するか非表示にするかを選択できます。調査時に関連データに集中したい場合、非表示にするオプションが役立ちます。

再設計されたトポロジーエディター

ネットワークトポロジーの作成と管理を容易にするため、トポロジーエディターを再設計しました。改善されたインターフェースにより、トポロジー作成プロセスが簡単になり、より直感的に操作できるようになっています。

Flowmon ADS 13 の改善

バージョン 13 で、Flowmon 異常検出システム (ADS) も、大きく改善されました。

新しい OT 検知手法 - 産業用技術 (Operational Technology、OT) 環境を対象とした、3つの新しい機械学習ベースの検知手法を導入しました。産業制御システムを監視、保護するのに有用です。

UI の大幅な速度向上 - 「Analysis Summary」、「Simple List」、「By MITRE」、「By Hosts」ページの読み込み速度が2～7倍に向上し、セキュリティ運用のワークフローが効率化されました。

セキュリティ強化

Flowmon 13 には、監視インフラストラクチャをより安全に保護するための重要なセキュリティアップデートが組み込まれています。

FIPS 準拠オプション - 連邦情報処理規格 (FIPS) への対応が可能で、このレベルの暗号化セキュリティが必要な組織を支援します。最新リリースでは、FIPS モードが無効の場合のセキュリティ警告も表示されます。

Spectre および Meltdown 対策 - 特定のセキュリティ要件やパフォーマンス要件に基づき、Spectre および Meltdown CPU 脆弱性に対する保護を設定できます。

最後に

ネットワークの可視性とセキュリティを向上させる Flowmon のサイバーセキュリティソリューションについて詳しく知りたい方は、弊社までお問い合わせください。

Flowmon を試してみたい場合は、無料トライアルをご利用ください。