Gigamon
チャネル・アカウント・
マネジャー
波塚欽也氏

マクニカネットワークス
セキュリティ第2事業部
プロダクトマネージャ
田上大地氏

　ネットワークをセキュアに利用するため、ネットワーク監視ツールを複数導入する企業が増えている。「以前のように、ファイアウォールだけ導入していればいいと考えているお客様はほとんどいません」とマクニカネットワークス セキュリティ第2事業部 プロダクトマネージャの田上大地氏は語る。多くの企業がサンドボックスやIDS、WAF、IPS、フォレンジックといった監視ツールを導入し、“多層防御”による堅牢なセキュリティを実現しようとしている。

　それによってネットワークのセキュリティは担保されるが課題もある。ネットワークが複雑化し、管理が難しくなってしまうのだ。また、ネットワーク監視ツールの導入コストや管理コストが上がるというデメリットも生じる。

　そこで今、注目を浴びているのがGigamonのインテリジェントL1スイッチ「GigaVUEシリーズ」だ。複数のネットワーク監視ツールを統合し、トラフィックをモニタリングできるネットワークの構築をサポートするアプライアンス製品だ。

　日本の企業ユーザーにはまだなじみが薄いかもしれないが、ワールドワイドではすでに1800を超える企業や団体がGigaVUEを利用している。その中には「Fortune 100」に名を連ねる企業のうち77社のほか、政府機関や連邦機関が含まれており、グローバルの通信事業者ではトップ100社のうち50社での採用実績がある。GigaVUEはいわば、インテリジェントL1スイッチにおけるグローバルスタンダードなのだ。

トラフィックをGigaVUEに集約し　パケットを加工してツールに転送

　図表1は通信事業者におけるGigaVUEの一般的な構成イメージである。監視を行いたいポイントにTAPを設置し、TAPからトラフィックをコピーしてGigaVUEに集約する。あるいはスイッチのミラーポートからトラフィックをコピーしてGigaVUEに集約する。そして、監視ツールが必要とする形にトラフィックの流量を調節したり、パケットを加工したりしてGigaVUEから転送することができる。

図表1　通信事業者での一般的な構成イメージ

　通常、ネットワーク監視ツールはスイッチのミラーポートに直接、接続する。だが、ネットワーク監視ツールが多くなったことでミラーポートの数が不足したり、監視したいポイントが増えてきてモニタリング機器のモニターポートが不足したりしたためにGigaVUEを導入する企業が増えてきているのだ。

　「お客様の悩みとして、ネットワークでトラブルが生じたとき、どこで問題が発生しているのかを見つけるのに時間がかかることが挙げられます。GigaVUEを導入することで短時間のうちに問題が発生している場所を見つけることができ、トラブルシュートにかかる人員と時間、コストを削減できます」田上氏は話す。

　GigaVUEはネットワークに負荷を掛けず、ネットワーク管理ツール側の処理能力も最大限発揮させることができる。

GigaVUE1台に機能を満載し　投資コストと運用コストを低減

　GigaVUEの標準機能として、「トラフィックコピー」「アグリゲーション」「フィルタリング」「負荷分散」の4つがある。さらに、オプションライセンスである「GigaSMART」というアプリケーションを利用することで、様々なパケット加工も可能になる。

　例えば、HTTPS通信を復号化し、IDSなどに転送する「SSL復号化」や、ルーターやスイッチに負荷をかけずにNetFlowデータを生成する「NetFlowジェネレーション」、VXLANやMPLS、Cisco FabricPathに対応し、不要なヘッダーを削除する「ヘッダーストリッピング」などがある。

　「ペイロードをスライシングする『パケットスライシング』機能を利用すれば、トラフィックの総量をギュッと減らすことができます。例えば10Gbpsのトラフィックを7Gbpsぐらいに減らすことで、監視ツールは10Gbps対応のモデルでなくてもよくなります」と田上氏は説明する。

　また、GigaVUEは「アウトオブバンド」でトラフィックがコントロールできるだけでなく、同時に「インライン」でもネットワーク監視ツールにトラフィックを渡すこともできる（図表2）。「セキュリティのトレンドとして、アウトオブバンドとインラインの両方に対応しなければならなくなっており、GigaVUEはその要件もクリアしています。GigaVUEは、自由自在にモニタリングトラフィックをコントロールできるインテリジェントL1スイッチと言えるでしょう」（田上氏）

図表2　活用シーン例：シンプルかつ柔軟なセキュリティ基盤

　GigaVUEを導入することで、CAPEX（設備投資）やOPEX（運用コスト）を抑える効果もあると話すのは、Gigamon チャネル・アカウント・マネジャーの波塚欽也氏だ。例えば、SSL復号化を行えるIDSも存在するが高価格である。また、WAFではWebの通信だけ見ればよいため、GigaVUEでWebの通信に絞って転送することで、より安価なモデルのWAFを導入することで済むようになる。

　「通常、これほどの機能を実現するためには相応のネットワーク監視ツールが必要になりますが、GigaVUEが1台あれば事足りるため、その分コストを減らすことができるのです。1台完結型であることは、お客様にとって大きなメリットになります」と波塚氏は語る。

米国ではGigaVUE導入が一般化　国内はパートナービジネスに注力

　米国の通信事業者やISPでは、「トラフィックサンプリング」が一般化している。例えば100Gbpsのトラフィックのうち、10％の10Gbpsだけを抽出して監視する。そのため、ネットワーク監視ツールは10Gbps対応のもので済むというもので、「日本でも遠からず、こういったトレンドが主流になるでしょう。実際、複数の大手ISP様でも来期のご導入をご検討されています」（田上氏）という。

　また最近では、データセンターを新設する際にルーターやスイッチと合わせてGigaVUEを導入するケースが一般的になっている。「GigaVUEは“ナイストゥハブ”から“マストハブ”に切り替わりつつあります」と波塚氏。エンタープライズでは国内外を問わず、製造業や金融機関、政府機関、大学などの教育機関での導入が増えているという。

　「GigamonはインテリジェントL1スイッチ専業ベンダーであり、2004年に創業したこの分野の先駆者です。そのため、北米ではGigaVUEが広く利用されています。日本でもマクニカネットワークスをディストリビューターとしてビジネスを大きく展開していく方針です」と波塚氏は話す。ネットワーク監視ツールのベンダーともテクニカルアライアンスを組んでいるという。「監視ツールだけだと、ビジネスとしては100か0かしかありませんが、GigaVUEを取り扱うことでお客様の要望に対応できる範囲が広がり、0になる確率は低くなるのです」（波塚氏）

　GigaVUEはユーザー企業だけでなく、SIerや監視ツールベンダーにとっても切り札となる製品になるに違いない。

ホワイトペーパーダウンロード

仮想化・クラウド・ビッグデータがもたらしたネットワーク可視化への課題 仮想化・クラウド・モバイルなどの技術革新はネットワークを介して人々のコミュニケーションを変革する大きな力です。一方で、企業や通信事業者などのネットワーク所有者は、ネットワーク計画、管理・運用について、大きな課題に直面しています。本稿ではこれらの課題に対する解決策を考察します。