© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 1/19 ページ

ホワイト ペーパー

Network as a Security Sensor

に関するホワイト ペーパー

ネットワーク セキュリティと NetFlow これまで長い間 IT 組織は、サイバー攻撃からの保護でネットワークの境界セキュリティに重点を置いてきました。境界セ

キュリティは、保護された資産に転送されるデータに対してはうまく機能します。一方で最近の侵害は、境界セキュリティだ

けでは永続的で高度な脅威から保護できないことを示しています。Bring Your Own Device（BYOD、個人所有デバイスの

持ち込み）、クラウド、Internet of Things（IoT）の登場によって、データはメイン サーバの外にも保存されるようになり、ネッ

トワークへのアクセスも従来の制限方法が通用しない時代になりました。進化する脅威からネットワークを保護するには、

現在のゾーンベースのセキュリティ ソリューションを補強する、広範囲を対象とした振る舞いベースのインテリジェント ソリューションが必要です。このようなソリューションのひとつは、ネットワーク自体がセンサーのように機能するネットワーク インフラを活用することです。このためには、ネットワークから IP トラフィック フローを収集して振る舞いを分析（ネットワーク トラフィックを監視）できる異常検知システムを導入します。このシステムは、異常な振る舞い、イベントや傾向がないかネッ

トワーク トラフィックを分析することで、不審なトラフィック フロー、ポリシー違反、侵害されたエンドポイントを検出します。

ネットワークの振る舞い分析 各組織では、従業員に技術資産を提供し、重要データへのアクセスを認める方法が根本的に変わりつつあります。企業

ネットワークの内外を問わず、モバイル デバイスから重要なデータにアクセスすることは今や当たり前になっています。仮

想化とクラウド コンピューティングによりデータセンターの構築やデータ保管場所のあり方が根本的に変化し、重要データ

の保護が一層困難になりました。こうした分散コンピューティング環境はモバイル性が高くダイナミックで変化が激しいため、

可視化、制御、脅威対策の重要性は増しています。さらに、新しいクラウドベースのモバイル テクノロジー アーキテクチャ

は、特定のデバイスがネットワークにいつ・どこから接続しているかに関するこれまでの前提を打ち壊しており、ネットワー

ク セキュリティを大幅に複雑化させています。第 1 世代のネットワーク セキュリティ ツールは、動的なネットワーク トポロジ

を適切に可視化できません。ますます高度化し、カスタマイズされた攻撃に対して、ネットワーク セキュリティ対策を強化し、

セキュリティ侵害インシデントが発生する前にその可能性について警告することが求められています。そのため、ネットワー

クの振る舞い分析（NBA）やネットワーク トラフィックの監視が、あらゆるネットワークで不可欠な要素としての地位を急速に

固めつつあります。また、異常検知システムと連携して包括的なネットワーク セキュリティを実現することも重要になってい

ます。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 2/19 ページ

セキュリティ アナリストは、ファイアウォールや侵入防御システム（IPS）などの境界ベースのセキュリティ ソリューションに加

えて、セキュリティ・脅威戦略の一環としてネットワークに NBA ソリューションを導入することも推奨しています。一般的に振

る舞い分析ベースのシステムは、効果のないことが多い他のセキュリティ ツールと比べ、マルウェア、ウイルス、ボットネット

などのセキュリティ脅威に対して効果を発揮します。また、トラフィックを監視し、ネットワーク トラフィック フローを通常の動

作と比較して異常なアクション/イベント/トレンドを検知することで、ネットワークのセキュリティを強化できるメリットもあります。

ネットワークからネットワーク トラフィック フロー情報を取得するメカニズムにはさまざまなものがあります。これらのメカニズ

ムのほとんどは、現在の IT ネットワークに導入済みのインフラで利用できるものです。セキュリティ攻撃を検出して軽減す

るには、次のような技術を 1 つ以上活用して、アプリケーション データやネットワークから収集したネットワーク フロー デー

タをモニタする必要があります。

● ネットワーク キャプチャ ソリューション：ネットワーク フローすべてのパケットを、スニファやネットワーク タップを導入

してキャプチャし、そのトラフィックをセキュリティ アナライザにリダイレクトします。この方式では、ネットワーク内のフ

ローを完全に可視化できますが、導入コストが高い、管理が難しい、トランザクションが非常に長くなるといった問題

があります。キャプチャしたすべてのパケットを関連付け、セキュリティ攻撃を特定して軽減するために必要なネット

ワーク タップ、パケット キャプチャ ソフトウェア、セキュリティ アナライザなどにかかるコストも高額になります。

● サンプリングによるフロー エクスポート（パケット キャプチャ）ソリューション：ネットワークの各要素から専用のセ

キュリティ アナライザ/コレクタに、サンプリングしたパケット キャプチャを送信することで実現します。このソリュー

ションは、キャパシティ プランニングやトラフィック/アプリケーションの可視化には有効ですが、リアルタイムの脅威

軽減という面では不十分です。サンプリング方式でネットワーク トランザクションを分析する場合、ほとんどのリアル

タイム トランザクションは検出されません。

● フル フローエクスポートベース ソリューション：IP フロー監視（NetFlow）と、StealthWatch のようなセキュリティに

焦点を当てた NetFlow コレクタを組み合わせることで、異常なアクティビティや振る舞いを迅速に識別します。フル NetFlow によって、IP フロー対応インターフェイス上でネットワーク アクティビティをすべて（サンプリングではなく）フ

ル アカウンティングできるため、イベントの相関関係付けやデータの分析に効果を発揮します。ここで重要なことは、

フローをサンプリングせずにすべて収集することで、サンプリングによるパケット キャプチャ ソリューションよりも誤

検知が減るということです。さらに、フローを完全に可視化できるため、従来のセキュリティ ソリューションでは対応

できなかったネットワーク スロー スキャンやアトミック アタックも特定できます。

ネットワーク タップの導入はコストが膨らむだけでなく、大規模なエンタープライズ ネットワークへの拡張性にも問題があり

ます。Flexible NetFlow ベースの NBA は、これらのオプションの中で理想的なメカニズムです。不明なデバイス、異常なト

ラフィック パターン、想定外の振る舞いを広範囲かつ詳細に可視化できます。Cisco IOS® Flexible NetFlow は、長期間に

渡ってすべてのネットワーク通信をキャプチャできる強力な情報源です。ネットワーク アクセス レイヤ デバイスで NetFlow を活用すれば、ネットワークをセンサーとして活用できます。この方法ではネットワーク アクティビティをすべてアカウンティ

ングし、セキュリティに焦点を当てた NetFlow コレクタに提供できるため、異常を検出して緩和できます。

フロー エクスポート技術のタイプ： フロー エクスポート技術で現在のネットワーク要素の主流を占めているのは、sFlow と NetFlow の 2 つです。これら 2 つの技術はいずれも、ネットワークで監視機能とトラブルシューティング機能を提供するために長期間に渡って開発されてき

ました。このホワイト ペーパーでは、これらの技術の概要、その発展の過程、脅威防御システム設計における関連性につ

いて説明します。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 3/19 ページ

NetFlow の概要 NetFlow は、NetFlow 対応ルータやスイッチが生成したネットワーク トラフィック フロー データを収集・モニタするためにシ

スコが開発したネットワーク プロトコルです。シスコ® ルータ用のパケット交換技術として考案されました。NetFlow の設計

思想（図 1）では、フローの最初のパケットによって NetFlow スイッチング レコードがスイッチまたはルータ上で生成され、

そのレコードが同じフロー上の後続パケットすべてに（フローの有効期限が切れるまで）使用されます。特定のマッチング ルートを検索する際は、フローの最初のパケットのみがルート テーブルを調査するだけで済みます。

図 1. NetFlow の概要

図内のフロー情報はエクスポートでき、ネットワーク パフォーマンスの分析やセキュリティの振る舞い分析に使用されてい

ます。フローには、実際のパケット データではなく、通信用のメタデータが含まれています。ネットワーク トラフィックの送信

者、内容、時間、宛先などの詳細情報が、セッション データの標準形式です（図 2）。電話の請求書に記載された通話記録

のようなものですが、リアルタイムに生成されます。すべてのネットワーク トランザクションには通常、各方向に 1 つ、計 2 つのフローがあります。

図 2. 1 つの NetFlow レコードが大量の情報を提供

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 4/19 ページ

NetFlow の動作 IP トラフィックがインターフェイスをパス スルーしているのをスイッチ/ルータが確認すると、フロー情報（「NetFlow」と呼ばれ

る）がキャプチャされ、スイッチ/ルータのキャッシュに保存されます。キャッシュに保存されたデータは、アクティブ タイムア

ウトおよび非アクティブ タイムアウトに基づいて定期的にエクスポートされます。NetFlow は、インターフェイスをパス スルーする IP トラフィック全体のフロー情報をキャプチャし、インターフェイス トラフィックをすべてレポートします。NetFlow はさまざまな形式で NetFlow コレクタにエクスポートできますが、そこでのエクスポート形式は「エクスポート バージョン」と呼

ばれます。最も一般的な NetFlow エクスポート バージョンは 5 と 9 です。このうち最も一般的なのはバージョン 5 ですが、

最新のバージョン 9 ではセキュリティ、トラフィック分析、マルチキャストなどの主要技術において 5 よりも有利です。

NetFlow データのレポート プロセスには、IP フローをキャプチャし、それらをスイッチ/ルータ上で集約し、NetFlow コレクタ

へエクスポートすることが含まれます。このプロセスの概要を以下のステップで示します。

● NetFlow キャッシュにフローをキャプチャするように NetFlow を構成

● フローをコレクタに送信するように NetFlow エクスポートを構成

● NetFlow キャッシュを検索し、（アクティブ タイマー、非アクティブ タイマー、キャッシュ制限に基づき）期限切れのフ

ローを特定。（TCP リセット [TCP RST] および最終 [FIN] フラグに基づいて）終了したフローを見つけ、NetFlow コレクタ サーバにエクスポート

● 約 20 ～ 25 のフローをまとめて、通常は User Datagram Protocol（UDP）形式で NetFlow コレクタ サーバに転送

● NetFlow コレクタ ソフトウェアは、データからリアルタイム レポートまたは履歴レポートを作成

図 3 は、NetFlow のエージェント、コレクタ、アナライザの関係を示したものです。

図 3. NetFlow エージェント、コレクタ、アナライザ

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 5/19 ページ

標準ベースの IP Flow Information Export（IPFIX）への Netflow の発展 NetFlow は長期間に渡って発展を重ねた結果、いくつかのバージョンの NetFlow レコードが生まれました。表 1 は、現在

使用されている 3 つの NetFlow バージョンについて説明しています。最新バージョンは NetFlow バージョン 9 です。バー

ジョン 9 はテンプレートベースで、レコード フォーマットの拡張にも対応します。NetFlow サービスが将来拡張されても、基

本のフローレコード フォーマットを変更する必要はありません。つまり既存のテンプレートを変更すれば新しいプロトコルに

も対応できます。

表 1. NetFlow バージョンの詳細

バージョン 説明

バージョン 5 最も一般的なバージョン 提供開始は 2009 年 IPv4 フロー限定

バージョン 9 テンプレート ベース 最新のルータ/スイッチで使用可能 IPv6、マルチプロトコル ラベル スイッチング（MPLS）、IPv4（Border Gateway Protocol（BGP）ネクストホップ）などのフローでレポートに使用

IPFIX IPFIX = IP Flow Information Export（IP フロー情報エクスポート） IETF 標準基準 NetFlow v9 がベース

バージョン 5（v5）の用途は IPv4 フローに限定されます。また、エクスポートできるフィールドも限られています。

バージョン 9（v9）には、v5 よりも優れた点がいくつかあります。v9 テンプレートでは、レコードで送信する内容をユーザが

定義できます。詳細情報を限定できるため、より多くのフローを v9 のデータグラムに組み込めます。

IPFIX は NetFlow の発展系として各種の標準規格に準拠しており、特定のタイムスロットで確認されたあらゆるパケッ

ト数のフローにも対応し、多くのプロパティ（同一の送信元、宛先、プロトコルなど）を共有できます。IPFIX では、特別な

テンプレートを利用することで、送信デバイスでユーザ定義のデータ タイプをメッセージに使用できます。IPFIX はプッ

シュ方式のプロトコルであり、各送信元は、予め決められた受信元に対して定期的に IPFIX メッセージを送信します。受

信元による操作は必要ありません。IPFIX ではトランスポート層プロトコルとして Stream Control Transmission Protocol（SCTP）を優先的に利用しますが、Transmission Control Protocol（TCP）や User Datagram Protocol（UDP）も使用できます。

Flexible NetFlow v9 と IPFIX Flexible Netflow（FnF）はシスコが提供する次世代の IP フロー 監視技術で、フロー 監視に 2 つの新しいコンセプトを導入

しています。1 つ目はテンプレートを使用できるようになったことです。2 つ目は、ユーザがパケットの詳細を確認し、監視

フィールドを独自に選択できることです。NetFlow は通常、IP フロー内の各フィールド（IP アドレス、ポート、プロトコル、

TCP フラグなど）を追跡します。Flexible NetFlow では、IP ヘッダーに含まれるほぼすべてのフィールド、全種類の TCP フラグ、VLAN タグや URL などの情報を選択できます。

NetFlow は通常、IP アドレス、ポート、プロトコル、TCP フラグなどの IP 情報を追跡します。ほとんどのセキュリティ システ

ムでは、この情報に基づいてネットワークの振る舞いを分析し、セキュリティ インシデントを検出します。Flexible NetFlow では、IPv4/IPv6 ヘッダー内の全フィールドや、各種の TCP フラグといった幅広い IP 情報を追跡できます。また、1 つのパ

ケットの複数セクションをエクスポートすることもできす。追跡する情報には、キー フィールド（フローを作成するために使用）

と非キー フィールド（フローによって収集される）があります。最初の NetFlow キャッシュを使用して脆弱性（異常）を検知し、

2 番目のキャッシュを作成して特定の問題に注力できます。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 6/19 ページ

NetFlow v9 の後継として IPFIX RF 5101 と RFC 5102 がリリースされており、いずれも NetFlow v9 RFC の機能を引き

継いでいます。IPFIX には、NetFlow v9 で使用されているフィールド タイプと互換性のある情報要素識別子（RFC のセク

ション 5 で指定）の概要一覧が含まれています。シスコ製デバイスで NetFlow v9 を設定して IPFIX 形式でエクスポートす

れば、標準用途で利用できます。IPFIX 形式でエクスポートする主な利点：

● IPFIX では、ベンダー独自の情報を含むベンダー ID を指定可能

● IPFIX は可変長のフィールドに対応しているため、URL をエクスポートする際に便利

Flexible NetFlow（v9）と IPFIX の組み合わせが、従来の NetFlow より有利な点：

● フロー データの柔軟性、拡張性および集約機能が従来の NetFlow よりも向上

● レイヤ 2 ～ 7 までの広範囲で IP パケット情報を監視可能

● ネットワーク異常検知とセキュリティ問題の検出機能が強化

● フロー情報を独自定義し、トラフィック識別のカスタマイズや、特定のネットワークの振る舞いに絞った監視が可能

● 複数のアカウンティング技術を 1 つのアカウンティング メカニズムに統合

NetFlow の用途 NetFlow はネットワーク業界に広く普及し、ネットワークのキャパシティ プランニングからネットワーク分析、ネットワー

ク フォレンジックに至るまで、さまざまな目的に利用されています。以下に NetFlow データの主な使用例をいくつか示

します。

● ネットワークの可視化：NetFlow コレクタに NetFlow レコードをエクスポートし、ネットワーク トラフィック・ネットワー

クの振る舞いの可視化の向上、ネットワーク使用率の把握、ネットワーク キャパシティ プランニングに活用

● キャパシティ プランニング：トラフィック フローと帯域幅の使用率を測定

● トラフィック分析：アプリケーション フローを監視

● セキュリティ脆弱性の検出：ネットワーク トラフィックを把握することで、新しい IP アプリケーションや脆弱性の検出

に活用

● セグメント化ポリシーの検証：NetFlow を利用して、コンプライアンスの観点からネットワークのセグメント化ポリシー

を監視。ネットワークのセグメント間に発生した想定外のトランザクションを検出可能

● ネットワーク調査検出：さまざまな形式（通常とは異なるフラグ設定を含む）の TCP/UDP のスキャン、ステルス TCP のスキャン、ポートの再利用、スロー スキャン、Internet Control Message Protocol（ICMP）を検出

● データ損失防止：他のセキュリティ対策と合わせて、きめ細かくトラフィック フローを可視化することで、広範囲に及

ぶ永続的な攻撃から顧客データ、企業秘密、知的財産、電子メール、財務データを保護

● マルウェアの内部拡散を防止：NetFlow でネットワークを可視化し、ホスト ネットワークの振る舞いに関するベース

ラインを確立し、ホストが通信する内部デバイスをモニタし、振る舞いや通信を各種ルール/ポリシーに当てはめるこ

とで、マルウェアが拡散していないか効果的に判断できる方法を提供

sFlow の概要 sFlow（サンプリングによるフローとも呼ばれる）は、特定のシスコ スイッチ（Cisco Nexus 3000 シリーズ スイッチなど）やシ

スコ以外のプラットフォームでサポートされています。sFlow は、インターフェイス カウンタと連携することで、サンプリングし

たパケットをエクスポートできます。レイヤ 2 でのパケット エクスポートの業界標準として発展してきました。最新の sFlow はバージョン 5 です。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 7/19 ページ

sFlow はパケット サンプリング技術です。インターフェイス トラフィックの「n」個のパケットから 1 パケットをキャプチャし（「n」はサンプリング レート）、サンプリングしたパケットの最初の「x」バイトをコピーします（sFlow v5 のデフォルトは 128 バイト）。

それを UDP パケット（sFlow データグラム）でエクスポートします。最初の「x」バイトでトラフィックの情報を構築するために

必要な関連ヘッダー データをカバーします。ただし sFlow は、パケットに重点を置いているため、IP フローをキャプチャでき

ない可能性があります。分析のためにパケットをキャプチャする場合、サンプリングされたパケットがインターフェイスをパス スルーする IP フロー（通信）全体を表すわけではありません。パケットが収集されなかった IP フローは分析されず、ネット

ワーク通信の可視性にギャプが発生します。

図 4 は一般的な sFlow パケットを示しています。表 2 は、sFlow のサンプリング レートの概要について説明しています。

図 4. sFlow パケット

表 2. sFlow サンプリング レート

リンク速度 サンプリング レート

10 Mbps 200 パケットに 1 パケット

100 Mbps 500 パケットに 1 パケット

1 Gbps 1000 パケットに 1 パケット

10 Gbps 2000 パケットに 1 パケット

sFlow の動作 SFlow システムは複数のデバイスから構成されており、パケットのランダム サンプリングと、カウンタのタイムベース サンプ

リングという 2 種類のサンプリングを実施します。サンプリングされたパケット/動作とカウンタ（それぞれ「フロー サンプル」

と「カウンタ サンプル」と呼ばれる）は、sFlow データグラムとして中央サーバに送信されます。中央サーバでは、ネットワー

ク トラフィックを分析してレポートするソフトウェアを実行します。このサーバが sFlow コレクタです。

sFlow は、ランダムにネットワーク パケットをサンプリングし、その結果を、監視ステーションとして機能する外部の sFlow コレクタに送信します。さまざまなアプリケーションの使用状況の監視やネットワーク使用率の統計的分析において、sFlow のような一様分布サンプリング方式は、高帯域幅を使用するサービスに正確かつ強力に対応できるというのが一般の認識

です。

sFlow 対応ネットワーク要素から sFlow コレクタに送信された sFlow フレームは、特定のホストや UDP ポート（デフォルト

では 6343）宛の UDP パケットです。UDP トランスポート メカニズムに信頼性が欠如していても、sFlow エージェントから得

られる測定結果の精度にはあまり影響しません。各 sFlow データグラムは、sFlow バージョン、送信元デバイスの IP アド

レス、シーケンス番号、含まれるサンプルの数、1 つ以上のフレーム、およびカウンタ サンプルに関する情報を提供します。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 8/19 ページ

sFlow と同様に、NetFlow もトラフィックのフレームを収集した後、標準の NetFlow レコード（UDP フレーム セットも兼ねて

おり、通常はポート 2055 が送信先）を使用して、分析済みフローの統計サマリーをエクスポートします。また NetFlow シス

テムは、NetFlow クライアント（またはエクスポータ）と NetFlow コレクタで構成されています。一般に NetFlow コレクタは

実際のトラフィックの収集・分析を担うサーバで、多くは別サーバが使用されます。

大部分をハードウェアで処理する NetFlow とは異なり、sFlow は、サンプリングによりスケーラビリティを確保していま

す。このため、サンプリングされたパケットをエクスポートするデバイスの CPU とメモリ容量に負荷がかかります。トラブ

ルシューティングやキャパシティ プランニングには適していますが、パケットの一部のみをサンプリングするという性質上、

セキュリティには適していません。また、ネットワーク内に存在する可能性のある悪意のある振る舞い、マルウェアやボッ

トネットなどを検出するにはネットワーク内の全フローを包括的に可視化することが必要ですが、それにも対応していま

せん。

NetFlow と sFlow の比較 表 3 では、NetFlow と sFlow を比較しています。

表 3. NetFlow と sFlow の比較

NetFlow sFlow

パケット キャプチャ パケットをキャプチャしない. すべてのパケットをコピーし、N 個中の 1 個をサンプリングしてコレクタに送信

プロトコルのサポート レイヤ 2、IP、IPv6 ネットワーク層非依存

設定可能なパケット フィールド Flexible NetFlow：ユーザ設定可能フィールド オプションあり（テンプレート）

固定のプロトコル情報フィールド

フロー レコード すべてのトラフィックに対して IPv4 と IPv6 のフロー レコードをサポート

フロー レコードは作成されない。パケットの最初の N バイトをコピー

ハードウェア アクセラレーション あり。フロー レコードはハードウェアで作成され、データ プレーンへの影響はなし

なし。ソフトウェアでパケットをキャプチャ

業界標準 IPFIX sFlow version 5

フロー タイムスタンプ（フローの開始時刻と終了時刻）

あり なし

パケット レート（フロー内のパケット数） あり なし

バイト数（フロー内の総バイト数） あり あり（一部）

NetFlow と sFlow は根本的に異なります。NetFlow は、ネットワークを流れるトラフィックのレコードであり、すべてのトラン

ザクション（フル NetFlow）を含む場合と、サンプル（サンプリングされた NetFlow）を含む場合とがあります。一方、sFlow は「サンプリングのみ」の技術であり、スイッチまたはルータが N パケットから 1 パケットをランダムに選び固定長の情報を

抽出します。

NetFlow の利点：

● 効率性：NetFlow はハードウェアにワイヤ スピードで実装され、優れた効率性を実現します。

● 正確性：フル NetFlow フローは、サンプリング方式では提供できない、ネットワーク トランザクション全体の正確な

詳細情報を提供します。

すべてのフローについて、レイヤ 2 ～ 7 までの詳細情報を取得できます。IP や MPLS などのプロトコルがサポート

されています。

● 拡張性：NetFlow はネットワーク デバイスのデータ プレーンに影響を与えません、1/10/40/100 GE のインターフェ

イス速度すべてでサポートされています。この技術は、数百ポートに及ぶ何万ものフローを監視できる拡張性も備え

ています。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 9/19 ページ

● 導入の容易さ：NetFlow は既存のネットワークに容易に導入でき、設定も簡単です。Netflow データ コレクションは、

市場で最も広く利用されているフローレコード コレクタ ソフトウェアと連携できます。

● リアルタイム性：NetFlow はハードウェアで実行され、フロー レートの変更がフロー統計情報にリアルタイムに反映

されます。

● コスト効率性：NetFlow ベースのソリューションには、ネットワーク タップや異常検知のためのインライン メソッドが

含まれていません。最も安価に侵入検知を実装できる方式です。

一般的なデータ漏えいの分析 今日、インターネットに接続されているすべてのエンタープライズ ネットワークが、サイバー攻撃の標的になっています。

データが漏えいした企業の大半は、優れた境界セキュリティを有していましたが、データ漏えいの検出には効果がありませ

んでした。現在のセキュリティ プラクティスの大半は、卵の殻に例えられます。外側は固く、内側は柔らかいということです。

つまり、いったん内部資産が侵害されると、ネットワークに侵入され目的のデータが簡単に盗まれてしまいます。図 5 は、

典型的なサイバー攻撃のライフ サイクルを示しています。

図 5. 典型的なサイバー攻撃のライフ サイクル

ハッカーからネットワークを効果的に保護するには、攻撃手口を理解することが重要です。ほとんどのサイバー攻撃には次

の 5 つの段階があります。

1. 侵入してバックドアを確立：攻撃者は、電子メール、ファイル転送、システムの脆弱性を悪用してエンタープライズ ネッ

トワークに侵入し、マルウェアを感染させます。最初の感染で、攻撃者が運用しているインターネット サーバにコマンド

アンドコントロール アクセスを確立します。その後の命令や悪意のあるコードは、そこから送信されます。

2. 偵察とネットワーク トラバーサル：侵害したコンピュータに攻撃者の望むデータが含まれていることは稀です。そのため

次の攻撃ステップは、ネットワーク トポロジと重要なデータが格納されているサーバを発見することです。攻撃者は、こ

の段階でさまざまな偵察・調査活動を実施します。

3. エクスプロイトによる特権昇格：攻撃者が重要なサーバを特定したら、そのサーバにアクセスできるように権限の昇格

を試みます。その際にカーネル レベルのコード実行や、承認されたユーザ ID の偽装といった手口が使用されます。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 10/19 ページ

4. ステージングによる永続化：容量が大きい侵害データは、一時的にオンプレミスのステージング サーバにコピーされま

す。さまざまな社内の情報源からのデータは、長期間に渡って継続的にサーバにコピーされます。

5. データ漏えい：マルウェアは次に、ステージング サーバのデータを圧縮し、ネットワーク経由でコマンドアンドコントロー

ル（C&C）サーバに抽出します。攻撃者は盗難の痕跡を消去し、盗んだデータを売って金銭に変えます。

NetFlow を活用したサイバー脅威対策 サイバー侵害のライフ サイクルを見ると、境界限定のアプローチでは脅威から十分に防御できないことがわかります。攻撃

活動のほとんどは、ネットワークの内部で起こっているからです。これら攻撃活動の大部分は、正当な活動を装っています。

しかし、ネットワーク全体で全パケットをキャプチャすることは、技術的には可能でありセキュリティ インシデントの発生時に

は重要になるとは言え、現実的ではありません。エンタープライズ ネットワークをセンサーとして活用する最もシンプルな方

法のひとつは、ネットワークで Flexible NetFlow を有効にし、集中的にネットワーク トランザクションを分析することです。こ

のようなセキュリティ システムは、ネットワーク内でさまざまな攻撃活動を検出して警告を発します。図 6 は、さまざまなタイ

プの悪意のある活動を示しています。それぞれの詳細な説明を以下に示します。

図 6. NetFlow ベースの異常検出

ネットワークスキャン：コンテキスト情報の豊富な NetFlow レコードによって、TCP/UDP ポート スキャンのようなネットワー

ク スキャンや、リアルタイムの ping トレースなどのさまざまなネットワーク トランザクションを分析できます。

サービス妨害（DoS）：NetFlow ベースの分析によって、TCP Half-Open、ICMP、UDP Port Flooding などの DoS 攻撃を

検知してレポートできます。

ホストのレピュテーション変更：エンタープライズ ネットワーク内のホストはすべて NetFlow アナライザで追跡され、レピュ

テーション スコアが付与されます。ホストの不審な振る舞いが検出されると、該当するアラームが通知され、管理者にレ

ピュテーションの変更が通知されます。

ボットネット検出：ボットネットはコマンドアンドコントロール サーバに接続して、悪意のあるコンテンツをダウンロードします。

NetFlow アナライザは、ブラックリストに登録されたサーバに対するボットネットの接続を追跡して報告します。

フラグメンテーション攻撃：NetFlow レコードをカスタマイズすることで、IP フラグメンテーション ID、フラグメント オフセット、

パケット長をアナライザにレポートできます。アナライザは、IP フラグメンテーションのエクスプロイトを検出してフラグを付与

します。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 11/19 ページ

ワームの伝播：StealthWatch システムのような NetFlow アナライザは、ワームが存在する場所や、次に伝播しそうな場所

を追跡できます。ワーム トラッカーは、ネットワーク全体におけるワームやウイルスの拡散状況をノード間でグラフ化できま

す。感染の範囲や影響を即座に把握できます。これにより、マルウェアの伝播を（数週間ではなく）数時間で阻止できます。

データ漏えい：ほとんどのデータ漏えいは、長期的かつ大規模に発生します。NetFlow 分析では、ユーザが通常よりも多く

のデータを内部でアップロード/ダウンロードしていないかを検知できます。アナライザに含まれているフォレンジック フロー データを調べれば、特定ホストと通信しているユーザが誰で、どのような通信方法を使用しているかを把握するのに役立ち

ます。

セグメンテーション ポリシー違反：多くの組織でネットワークのセグメント化は「設定すれば終わり」の作業と見なされていま

すが、一度設定されると瞬く間に効果がなくなります。NetFlow 分析では、すべてのネットワーク トランザクションを可視化

し、望ましくない通信をすぐに確認して制御できます。

NetFlow 分析と攻撃サイクル ハッキングの産業化は、エニーツーエニーの課題と相まって、システム保護方法を大きく変えています。そのため、これを機

にサイバーセキュリティの新しいアプローチについて考える必要があります。それはもはや「攻撃者が侵入するかどうか」と

いう問題ではなく、「いつ侵入されるか」という問題なのです。セキュリティ ソリューションは、ポイントインタイムのアプローチ

を止め、連続的なモデルに進化して攻撃前/攻撃中/攻撃後という攻撃サイクル全体に対応できる必要があります。

シスコは、この脅威中心型の新たなセキュリティ アプローチをホワイトペーパーで詳細に説明しています。

http://www.cisco.com/c/en/us/products/collateral/security/whitepaper_c11-733368.html をご覧ください。

NetFlow ベースの分析は、攻撃サイクルの 3 つの各フェーズで重要な役割を果たしています。図 7 は、攻撃前/攻撃中/攻撃後に、ネットワークがセンサーとして機能する仕組みを示しています。

図 7. 攻撃前/攻撃中/攻撃後にセンサーとして機能するネットワーク

攻撃前：NetFlow ベースのセキュリティ システムは、ネットワークのベースラインを確立し、「通常の」トラフィック パターンを

把握します。ベースラインは、日次/週次のパターン、ホストまたはセグメントごとのアップロード/ダウンロード制限など、さま

ざまなパラメータに基づいて設定されます。フロー ベースラインは、通常状態からの逸脱を検知するのに非常に有効です。

逸脱の大部分は、マルウェアの活動によって発生します。また NetFlow ベースのトラフィック分析は、セキュリティ管理者が、

限度や制限を適用する前にトラフィックのパターンを把握するのにも役立ちます。

攻撃中：ネットワークのベースラインを確立すれば、異常を検知するのは容易です。想定外のトラフィック パターンや、不明

なターゲットへの（通常とは異なる）アップロード イベントは、ネットワークにマルウェア活動が発生している可能性を示唆し

ています。前のセクションで説明したように、NetFlow アナライザが検出してレポートできるサイバー脅威活動にはさまざま

なものがあります。StealthWatch システムなどのソリューションには、脅威イベントのデフォルト定義がいくつか含まれてい

ます。また、インターネット上のコマンドアンドコントロール サーバの情報に関するクラウド ベースのフィードも受け取れます。

サイバー脅威対策ソリューションは、適応可能なネットワークのベースライン設定に基づいて構築されます。ベースラインに

基づいて異常を検知することにより、ゼロデイ攻撃からビジネスを守ります。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 12/19 ページ

攻撃後：優れたソリューションは、詳細な調査結果を過去に遡って提供できます。セキュリティ ポリシーを微調整する上で重

要なのは、攻撃後に得られた調査結果です。インフラストラクチャを強化して攻撃前の防御を実現し、攻撃サイクルを防ぐ

上でも役立ちます。他のデータ保存方式とは異なり、NetFlow レコードは抽象化されているため、数か月または数年に渡っ

て保持できます。インシデントが発生した際に、蓄積されたフロー情報は、攻撃の発生源、開始日、攻撃のトラバーサル、そ

の影響など、攻撃シーケンスを遡って追跡する上で役立ちます。

Flexible NetFlow と StealthWatch を利用した脅威対策ソリューション このソリューションは、NetFlow レコードを送信するデバイス（NetFlow エクスポータ）および StealthWatch システムという、

2 つのコンポーネントを中心に構成されています。

● NetFlow エクスポータ：エクスポータは、NetFlow エクスポート パケットに関するネットワーク層とトランスポート層

の詳細情報を保持します。また、エクスポート先 IP アドレス、送信元インターフェイス、UDP ポート番号（コレクタが NetFlow パケットをリッスンしているポート）、エクスポート形式などの情報も含まれます。

◦ フロー：NetFlow におけるフローは、「スイッチと同じインターフェイスに送信されるパケットの単方向シーケンス」

として定義されています。各パケットには、同じ送信元 IP アドレス、宛先 IP アドレス、レイヤ 3/レイヤ 4 プロト

コル、TCP/UDP 送信元ポート番号、TCP/UDP 宛先ポート番号、および TCP/UDP/IP ヘッダーごとのタイプ オブ サービス（ToS）バイトが含まれます。Flexible NetFlow は、運用コストの削減、キャパシティ プランニング

およびセキュリティ インシデント検出機能の改善、柔軟性と拡張性の向上によって、ネットワーク インフラを最

適化します。

◦ フロー レコード：フロー レコードは、NetFlow 対応デバイスをパス スルーする一意のフローごとに作成されます。

フロー レコードの情報は、パケット数やバイト数などの統計情報とともに、パケット ヘッダーのキーの詳細情報を

示しています。

◦ アクティブ タイムアウト：フローのアクティブ状態が長時間続いた場合、エイジアウト（フロー内の後続パケットの

ために新しいフローを開始）が必要となります。エイジアウト プロセスによって、エクスポート データを受け取る監

視アプリケーションが最新状態を維持できます。デフォルトではタイムアウト値が 1800 秒（30 分）に設定されて

いますが、システム要件に応じて調整できます。ほとんどの導入環境では、ベスト プラクティスとしての推奨値は 60 秒です。

◦ 非アクティブ タイムアウト：フローから一定時間アクティビティが一切検出されない場合、そのフローはエイジアウ

トされます。デフォルトではタイムアウト値が 15 秒に設定されていますが、想定されるトラフィックの種類に応じて

調整できます。

● StealthWatch システム：Cisco StealthWatch システム（図 8、シスコが買収）は、高性能のネットワーク可視化・

セキュリティ インテリジェンス専用ソリューションです。StealthWatch システムにより、NetFlow データを他のコンテ

キスト データ ソースと合わせて収集、集約、分析し、ネットワーク上のすべてのユーザ、デバイス、トラフィックをリ

アルタイムに把握できます。コンテキスト データ ソースには、Cisco Identity Services Engine からの ID データ、

syslog や Simple Network Management Protocol（SNMP）などのシステム固有データ、Network-Bsaed Application Recognition 2（NBAR2）や Cisco Application Visibility and Control からのアプリケーション データ

などがあります。

このソリューションは、StealthWatch Management Console と、1 つ以上の StealthWatch Flow Collector という、

2 つのコア コンポーネントから構成されています。追加のオプション コンポーネントには、StealthWatch Flow Sensor や StealthWatch Flow Replicator などが含まれます。

◦ StealthWatch Flow Collector：NetFlow 対応デバイスによって生成されたフロー データの一元的なコレクタと

して機能します。StealthWatch Flow Collector は、ネットワーク トラフィックを監視、分類、分析して、ネットワー

クとホストの両レベルで包括的なセキュリティ インテリジェンスを形成します。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 13/19 ページ

◦ StealthWatch Management Console：企業全体のセキュリティとネットワーク インテリジェンスを関連付ける

ために、すべての StealthWatch アプライアンスを管理、調整、設定します。Cisco Identity Services Engine から認証されたセッション情報を取得し、フローと ID を関連付けます。

図 8. Cisco StealthWatch システム

ネットワーク デバイスで稼働する NetFlow エージェントは、各インターフェイスからサンプリングせずにフロー データをすべ

て収集し、フロー レコード形式で NetFlow コレクタにその情報を送信します。管理コンソールは、ネットワーク セキュリティ

と、コレクタ内のフローの調査分析に重点を置いています。管理コンソールは、Cisco Identity Services Engine または Windows Active Directory（ユーザ コンテキストのみ）、syslog、SNMP データなどからユーザやデバイス ID などの追加

のフィードを取得できます。フロー レコードを分析して、振る舞いを分析することもできます。

アクセス レイヤ スイッチで NetFlow を有効化 NetFlow エージェントは、ネットワーク内の任意の NetFlow 対応デバイスで稼働できます。対応デバイスには、エッジ ルー

タ、ファイアウォール、コア スイッチ、ディストリビューション レイヤ スイッチ、アクセス レイヤ スイッチなどが含まれます。

NetFlow データ収集の目的に応じて、ネットワーク上の適切な場所で有効にできるのです（図 9）。

たとえば、コア層のネットワーク キャパシティ プランニングを実施することが目的の場合、コア スイッチの NetFlow エー

ジェントを有効にすることでネットワーク コアを通過する IP フローをキャプチャし、トラフィック パターンを判断できるようにな

ります。ただし、セキュリティ分析、ネットワーク フォレンジック、攻撃検知に関しては、NetFlow をアクセス レイヤ スイッチ

で有効にする必要があります。これによって、ネットワーク内の IP フロー トラフィックから NetFlow レコードを可能な限りす

べて収集できます。ディストリビューション レイヤまたはコア レイヤのスイッチは、アクセス レイヤに直接接続されたホスト

間のネットワーク トラフィックによって生成された IP フロー レコードを取得できません。エンタープライズ ネットワーク内でア

クセス レイヤ スイッチごとに NetFlow エージェントを有効にすれば、最も詳細かつ正確な情報を取得し、以下に関するネッ

トワークの基準を確立できます。

● アプリケーションとネットワークの使用状況。ホスト レベルまで詳細化してトラフィック情報を取得できます。アクセス レイヤのワークステーション間（East-West）通信の詳細情報も含まれます。

● ネットワークの生産性およびネットワーク リソースの使用率。帯域幅使用状況の詳細を取得できます。集約された

アップリンク - ダウンリンクの帯域幅だけでなく、各ポートの使用状況も把握できます。

● ネットワークの設計変更の影響。エンドポイント ホスト レベルまで詳細にネットワークを可視化することで、影響を迅

速に追跡・軽減できます。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 14/19 ページ

● ネットワーク異常およびセキュリティ脆弱性。アクセス レイヤの NetFlow 情報を利用して、侵害されたホストを迅速

に追跡できます。個別のポート レベルで異常トラフィック アクティビティを検出できます。

● 長期的なコンプライアンス問題。ネットワーク上の、コンプライアンスを遵守していないホストを追跡するのが容易に

なります。問題のあるホストは、ネットワーク上でコンプライアンス問題の拡散を避けるために検疫されます。

図 9. ネットワーク内の場所に基づいた NetFlow トラフィック カバレッジ

アクセス レイヤで NetFlow を有効化すると、先述したような複数の利点が得られます。ネットワーク管理者にとっては、ネッ

トワーク トラフィック フローから送信者、内容、時間、宛先、送信方法を把握するのに非常に役立ちます。ネットワークの振

る舞いが判明すれば、ネットワークの用途を示す監査証跡も得られます。これによってネットワークのコンテキスト認識力が

向上し、中断を招く可能性のある脆弱性を軽減できます。ネットワークの運用をさらに効率化できるというメリットもあります。

ソリューションのパフォーマンスと拡張性 ソリューションを導入する際には、自社のネットワークに適したパフォーマンスが得られ、独自のニーズに応じて拡張可能な

ハードウェアとソフトウェアを選択することが重要です。表 4 に、ネットワーク要件に基づいて適切なコンポーネントを選択す

るための主な情報を示します。

表 4. シスコ デバイスの NetFlow キャッシュ サイズの制限

コンポーネント ハードウェア キャッシュ サイズ（フロー）

Cisco Catalyst® 3850, 3650 Catalyst 3850 および 3650 全モデル 32,000

Catalyst 4500E シリーズ Supervisor 8E 128,000

Supervisor 7L-E 128,000

Catalyst 6500 シリーズ Supervisor 2T 512,000

Supervisor 2TXL 100 万

脅威防御には Netflow と sFlow のどちらが適しているか？ SFlow システムは複数のデバイスから構成されており、パケットまたはアプリケーション レイヤ オペレーションのランダム サンプリングと、カウンタのタイムベース サンプリングという 2 種類のサンプリングを実施します。定義されているサンプリ

ング レートを基に、n パケットまたは n オペレーションの中から平均的なものを 1 つランダムに抽出します。適切なパケッ

ト サンプリング レートを選択することは、スイッチにおける sFlow の設定で重要な部分です。sFlow は通常、10 Gbps リンク上で 2000 パケットから 1 つサンプリングするように設定されています。このレートは、大半のネットワークで一般的な

トラフィック監視に適しています。表 4 の推奨レートでサンプリングすると、トラフィックの 99 % 以上は無視されることにな

ります。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 15/19 ページ

一般に、ネットワーク キャパシティ プランニングやトラフィック エンジニアリングといった用途でサンプル データを使用する

場合、これは問題にはなりません。ただし、セキュリティ分析のためのパケットをキャプチャする場合、サンプリングされたパ

ケットがインターフェイスを通過する IP フロー（通信）全体を表すわけではありません。セキュリティ分析では、すべての IP フローを詳細に分析し、侵入の可能性を示す異常なネットワーク アクティビティを検出する必要があります。こうした点から、

ネットワークの異常を検出するのに適したソリューションは NetFlow だと言えます。NetFlow はすべての通信をキャプチャ

できるからです。sFlow も異常検知に使用できますが、サンプリングという性質から、重要なフローを逃す確率は高いと言

えます。

サイバー セキュリティに使用される IP フロー エクスポート プロトコルは次の 2 つの要件を満たす必要があります。

● ネットワーク上のすべてのパケットをモニタしてデータを生成する

● モニタするデータとレポートするデータをカスタマイズできる

ここでの問題は、フローをサンプリングする（sFlow）か、サンプリングしない（NetFlow）か、という単純な選択肢ではありま

せん。むしろ、どちらの IP フロー プロトコルが、ユーザ定義フィールドを基にフロー レコード データを提供でき、セキュリ

ティ分析に役立つかという問題なのです。Flexible NetFlow は、その点で優れています。テンプレート ベースで、IPv6 トラフィック、MPLS ラベル、マルチキャスト トラフィック、MAC アドレス、VLAN ID、ジッター、メディア トラフィックのラウンドト

リップ時間などの新しい技術もサポートしているからです。

sFlow は、キャパシティ プランニングに加え、トラフィックやアプリケーションの可視化には有効ですが、包括的なセキュリ

ティ ソリューションとしては不十分です。次にその理由をいくつか示します。

● 誤検知の可能性が高い。sFlow はサンプリングしたパケットのみをエクスポートするため、偏りが発生し、正当なア

プリケーション データに誤って不正フラグを設定してしまう可能性が高くなります。sFlow のフロー レコードでも同様

で、パケット サンプリングに基づいているため偏りが発生し、誤ってフラグを設定しまうことが多くなります。

● ネットワーク スロー スキャン攻撃を検知できない。従来のワームによるネットワーク スキャン攻撃であればサンプリ

ング手法でも特定できますが、攻撃手口はより巧妙になり、攻撃頻度が下がり、より体系的になっており、サンプリ

ング方式の検知ソリューションを回避できるようになっています。

● アトミック アタック。進化したコード攻撃では 1 パケットのみを送信するため、sFlow のようなサンプリング パケット キャプチャ ソリューションでは検知できません。フロー サンプリングは、ネットワーク管理目的には有効な方式です

が、セキュリティにとっては多くの問題が残ります。

フル フロー エクスポートベースのソリューション IP フロー 監視（NetFlow）に、StealthWatch システムのようなセキュリティを重視した NetFlow コレクタを組み合わせるこ

とで、通常とは異なる不審なアクティビティや異常な振る舞いをすばやく特定できます。フル NetFlow によって、IP フローが

有効化されたインターフェイス上で、ネットワーク アクティビティ全体をアカウンティングできるため、相関関係付けやデータ

の分析に役立ちます。重要なことは、フローをサンプリングせずに収集することで、サンプリングによるパケット キャプチャ ソリューションよりも誤検知が減るということです。さらに、フローを完全に可視化できるため、他のセキュリティ ソリューショ

ンでは特定できなかったネットワーク スロー スキャンやアトミック アタックまでも特定できます。StealthWatch ソリューショ

ンと合わせて、Netflow のようなフル フロー エクスポート技術をネットワーク要素で使用することで、進化するサイバー攻撃

を検知して軽減できるクラス最高レベルのソリューションが実現します。

Flexible NetFlow の脅威防御設定 シスコ スイッチ/ルータの Flexible NetFlow は、次の 4 つのステップで設定します（図 10）。

フロー レコードを作成する：フローを作成するためにトランザクションから抽出するデータを定義します。

1. フロー エクスポータを定義する：フロー レコードの宛先と送信方法を設定します。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 16/19 ページ

2. フロー モニタを設定する：フロー レコードとフロー エクスポータを結びつけます。キャッシュ タイマーを定義します。

3. フロー モニタを適用する：必要なインターフェイス、VLAN、または SSID に対してフロー監視を有効にします。

図 10. Flexible NetFlow の設定

このセクションでは、Cisco IOS ソフトウェアベースのスイッチに Flexible NetFlow を順番に設定します。Flexible NetFlow の脅威軽減ソリューションは StealthWatch コレクタにレコードを送信できます。

ステップ 1. パケットの特定フィールドを対象に、ユーザ定義のフロー レコードを設定します。match ステートメントでは特

定フィールドをキー フィールドに指定します。コレクションのキーワードを使用し、フローに追加され、フローに

合わせてエクスポートされる非キー フィールドまたは情報を指定します。以下の例のフロー レコードは、IPv4 情報、宛先 IP アドレス、レイヤ 4 情報、宛先ポートを対象に設定されています。さらに、タイムスタンプとバイ

ト/パケット カウンタも送信されます。

Switch# configure terminal

Switch(config)# flow record my-flow-record

Switch(config-flow-record)# description Collect Flow Data

Switch(config-flow-record)# match datalink mac source address input

Switch(config-flow-record)# match ipv4 tos

Switch(config-flow-record)# match ipv4 protocol

Switch(config-flow-record)# match ipv4 source address

Switch(config-flow-record)# match ipv4 destination address

Switch(config-flow-record)# match transport source-port

Switch(config-flow-record)# match transport destination-port

Switch(config-flow-record)# match interface input

Switch(config-flow-record)# match flow direction

Switch(config-flow-record)# collect transport tcp flags

Switch(config-flow-record)# collect interface output

Switch(config-flow-record)# collect counter bytes long

Switch(config-flow-record)# collect counter packets long

Switch(config-flow-record)# collect timestamp absolute first

Switch(config-flow-record)# collect timestamp absolute last

Switch(config-flow-record)# collect counter bytes layer2 long

ステップ 2. フローのエクスポート先（コレクタの IP アドレス）とポート番号を定義します。

Switch(config)# flow export my-flow-export

Switch(config-flow-exporter)# destination <IP address of Flow Collector>

! {flow-collector IP address}

Switch(config-flow-exporter)# transport udp 2055

!{The UDP number of the Flow collector}

Switch(config-flow-exporter)# source <interface>

!{source IP to use to send flows to the Flow collector}

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 17/19 ページ

Switch(config-flow-exporter)# template data timeout 60

!{frequency of template exchange with FC}

ステップ 3. フロー モニタを設定し、フロー レコードとフロー エクスポートを関連付けます。フロー モニタをインターフェイス

に設定し、入力（イングレス）トラフィックを追跡します。

Switch(config)# flow monitor my-flow-monitor

Switch(config-flow-monitor)# record my-flow-record

Switch(config-flow-monitor)# exporter my-flow-export

Switch(config-flow-monitor)# cache timeout active 60

ステップ 4. フロー モニタをレイヤ 2 およびレイヤ 3 インターフェイス、スイッチ仮想インターフェイス（SVI）、VLAN、または SSID に適用します。

Switch(config)# vlan configuration <access VLAN>

Switch(config-vlan-config)# ip flow monitor my-flow-monitor input

Flexible NetFlow をサポートするシスコのポートフォリオについて シスコのルータおよびスイッチで NetFlow をサポートするものを表 5 に示します。ほとんどのシスコのルータ、スイッチ、お

よび他のネットワーク デバイスが、NetFlow をサポートしています。詳細については、次のホワイト ペーパーをご覧くださ

い：http://www.cisco.com/c/dam/en/us/td/docs/security/network_security/ctd/ctd2-0/design_guides/ctd_2-0_cvd_guide_jul15.pdf

表 5. シスコ デバイスの NetFlow サポート マトリックス

プラットフォーム NetFlow のバージョン

Catalyst 3000-X バージョン 9

Catalyst 3850/3650 シリーズ スイッチ バージョン 9

Catalyst 4500E バージョン 9

Catalyst 6500E バージョン 9

Catalyst 6800 バージョン 9

5760 ワイヤレス コントローラ バージョン 9

5520、8510、8540 ワイヤレス コントローラ バージョン 9

シスコ第 2 世代サービス統合型ルータ（ISR） バージョン 9、従来の NetFlow

Cisco 4000 シリーズ ISR バージョン 9

Cisco ASR 1000 シリーズ バージョン 9

Cisco Cloud Services Router 1000V バージョン 9

ASA 5500/5500-X シリーズ バージョン 9

Cisco Nexus 7000 シリーズ （M シリーズ I/O モジュール）

バージョン 9

Cisco NetFlow Generation Appliance バージョン 9

Cisco UCS® 仮想インターフェイス カード（VIC） バージョン 9

従来の NetFlow：IP 情報の固定の 7 項目を使用し、ほぼ常にフローを特定する。

Flexible NetFlow：テンプレート ベースでユーザが定義可能。

ネットワーク セキュリティ イベント ロギング（NSEL）：イベント ベースの NetFlow。Cisco ASA 製品でのみサポート。

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 18/19 ページ

Netflow ベースの分析は次世代型侵入防御システム（IPS）ソリューションに代わり得るか？ それはできません。NetFlow ベースの分析とシグネチャ ベースの境界 IPS ソリューションは非常に上手く相互に補完しま

す。NetFlow ベースの分析がヘッダー情報に基づいて広範囲を対象にする一方で、シグネチャ ベースの境界 IPS ソリュー

ションは特定の場所に導入され、ファイル レベルでより詳細にチェックします。2 つのソリューションの違いについては、表 6 を参照してください。

表 6. NetFlow 分析と次世代型 IPS ソリューションの比較

機能 NetFlow 分析 次世代型 IPS

脅威の検出 フロー分析 ファイル分析

配置 コレクタは一般に中央に配置され、エクスポータは UDP でフローを送信

インラインから保護されたゾーンまで

インスペクション 広範囲（ヘッダー情報に基づく） 詳細。ファイル レベルの分析

プライバシー ヘッダー レベルのみ確認。ユーザ データは検査の対象外 ファイルやアプリケーションを検査

ストレージ フロー情報は少なく、調査のために数か月から数年保管可能 パケットまたはファイルをすべて格納することは非現実的。ログのみ長期間保存可能

ホストベース分析 フロー ベース。クライアントは不要 FireAMP のようなクライアント ベースにも対応

NetFlow は異常検知に有用なネットワーク振る舞い分析（NBA）には有効ですが、攻撃の実行を防ぐことはできません。そ

の代わり、セキュリティ インシデントの発生時に警告します。シグネチャベースの IPS ソリューションは、シグネチャをトリ

ガーしたフローを阻止することで潜在的なセキュリティ攻撃を防げます。ただし、フローを分析して、標準的なネットワーク アクティビティからの逸脱を発生時に特定することはできません。

包括的なサイバー脅威対策ソリューションには、どちらの分析も含まれています。可能な限りすべてのアラートを関連付け

ることで、脅威をすばやく絞り込み、リアルタイムに防御します。Cisco Cyber Threat Defense 2.0 の詳細については、 http://bit.ly/cisco-ctd-2-0 をご覧ください。

©2018 Cisco Systems, Inc. All rights reserved. Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1502R) この資料の記載内容は2018年3月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。

シスコシステムズ合同会社

〒107‐6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp

C11-736595-01JA 18.03

お問い合せ先

まとめ NetFlow とは NetFlow は、ネットワーク セキュリティ分析とサイバー フォレンジックの重要なツールです。リアルタイムにネットワークを監

視し、既知および未知のゼロデイ DoS 攻撃、ウイルス、ワームを特定して分類します。NetFlow データを調べれば、ネット

ワークの振る舞いにおける変化を把握し、データ フロー内の異常を検出できます。フロー データは、セキュリティ侵害の過

程を調べ、再現するための貴重な調査ツールでもあります。NetFlow データは、PCI、HIPAA、SOX など各種の業界標準

に関するセキュリティ コンプライアンス要件を満たすためにも使用できます。

（サンプリングしていない）フル NetFlow を使用する理由 サンプリング技術である sFlow とは異なり、フル NetFlow は、インターフェイスを通過する IP フロー情報をすべてキャプ

チャし、トランザクションを欠くことなく全トラフィック データをレポートします。フロー サンプリングはネットワーク管理には有

効ですが、セキュリティ確保には不十分です。一定のフローを除外するため、本来であればキャプチャすべき部分からネッ

トワークの侵害を許す危険性があるためです。フル NetFlow によって、IP フロー対応インターフェイス上でネットワーク アクティビティをすべて（サンプリングではなく）フル アカウンティングできるため、イベントの相関関係付けやデータの分析と

いったセキュリティ面で効果を発揮します。

Flexible Netflow はセキュリティ面で優れている 従来の NetFlow は、IP フローの 5 つのフィールド（IP アドレス、ポート、プロトコル番号、TCP フラグ、インターフェイス）を

追跡します。Flexible NetFlow では、これを拡張して、IP パケットのほぼすべてのフィールド（各種の TCP フラグや VLAN タグなど）を選択できるようにしています。これはセキュリティ面で有利です。フォレンジック分析で重要となる IP フローの情

報フィールドの特定ビットをカスタマイズしてキャプチャできるからです。たとえば Flexible NetFlow では、IP フローの詳細

なパケット分析に使用できます。その際、セキュリティ脅威分析に重要な特定ビットのみを抽出できます。

Lancope と Flexible NetFlow は、サイバー脅威を軽減できる最適なソリューションです。 サイバー脅威は変化が激しく、攻撃手口はさらに洗練されています。IT 部門はプロアクティブな警戒態勢を敷き、あらゆる

種類のサイバー攻撃を迅速に特定して、発生する前に防御する必要があります。フル NetFlow と、セキュリティ重視の NetFlow コレクタとして機能する StealthWatch システムを組み合わせて導入することで、サイバー脅威を迅速に検知して

軽減できます。StealthWatch システムは、ネットワークを詳細に可視化することで、高度な脅威から保護できます。攻撃を

検知するためにシグネチャの更新に頼る必要はなく、高度な振る舞い分析によってフロー データを最大限に活用します。

NetFlow と StealthWatch を組み合わせたソリューションは、NBA 能力を拡張します。ネットワーク異常の検出時に警告し、

潜在的なセキュリティ インシデントをプロアクティブに特定できるため、より詳細な調査を可能にします。

詳細については、http://cisco.com/jp/go/enterprise をご覧ください。