今から始めるパケットキャプチャ 障害の原因究明だけじゃない!広がる使い道

ネットワークを流れるデータを直接解析して、トラフィックを丸裸にするパケットキャプチャ。障害の原因究明の切り札として活躍する一方、定常監視やセキュリティ対策など多目的に使われ始めている。

パケットキャプチャ

写真:iStock/3alexd

「ネットワークがつながらない」「アプリの反応が遅い」──。そんなトラブルに見舞われたときは、まずネットワークの状態を把握することが解決への第一歩になる。

このトラブルシューティングで活躍するのが「パケットキャプチャ」である。ネットワークを流れるパケットを収集し、解析できるようにするツールだ。

パケットキャプチャとは

ネットワークを監視・可視化する方法には様々なものがあるが、中でもパケットキャプチャは得られる情報の豊富さと深さで群を抜く。

ネットワーク監視では一般的に、ICMPやSNMPを使ったネットワーク機器等の状態監視が行われている。SNMPを使えばルーター/スイッチ、サーバーのパフォーマンス等を計測できるが、基本的に機器の状態確認を目的としているためトラフィックの測定・分析には適さない。

対して、トラフィック監視を目的に開発された測定技術がNetFlowやsFlowだ。送信元・宛先やポート番号等を含むフローデータをルーター/スイッチが生成。これを収集し、トラフィック量の計測や障害原因の調査に使う。詳細な情報が得られるが、ネットワークを流れるデータの中身までは解析できない。

これらに比べて圧倒的に詳細な情報が得られるのが、パケットキャプチャだ。TCP/IPネットワーク内で送受信されるパケットを直に解析。ヘッダ情報から送信元や宛先等の情報が得られるうえ、送受信データそのものも解析できる。

ネットワークの利用状況を詳細に調査・分析できるほか、ネットワークのどの部分で輻輳が起きているのか、誰がその影響を受けているのか、体感品質が劣化しているアプリはどれかといった様々な分析が可能だ。トラブルシューティングの切り札となり得るうえ、ネットワークの使われ方を分析して改善ポイントを絞り込むのにも有効である。

広がるユースケース

溜め込んだデータはセキュリティインシデントの調査・分析に使ったり、証跡データとしても活用できる。通信事業者や官公庁、金融・証券業等へパケットキャプチャ製品を提供している東陽テクニカ 情報通信システムソリューション部 係長の内田武夫氏によれば、「本来の目的はトラブルシューティングだが、最近はセキュリティインシデントがあった場合に後で見直すための証跡データの保存にも活用されている。銀行や証券、官公庁や病院、一般企業での利用も増えている」。

社内LANに侵入したマルウェアが外部と行う不正通信も焙り出せるため、セキュリティリスクの検知にも役立つ。UTM等のセキュリティ製品でも通信ログを取得できるが、「ログは、サイバー攻撃者や悪意のあるユーザーが最終的に消し去っていくことが可能だ。対して、キャプチャしたパケットは消去できない完全な証拠になる」と話すのは、東陽テクニカ ワン・テクノロジーズ・カンパニーの西村亮氏だ。

そのため、多段防御の強化を目的にパケットキャプチャを導入するケースも増えているという。エンドポイントにEDR(Endpoint Detection and Response)を導入できない場合、その代わりにパケットキャプチャでトラフィックを監視することも有効だ。例えば、学生のPCやスマートフォンを校内ネットワークに接続して使わせる大学や、工作機械/センサーを多数用いる工場などだ。

ただし、パケットキャプチャにも弱点はある。データ量が膨大になるため、ストレージコストがかさむこと、データの検索・抽出に時間がかかることだ。

月刊テレコミュニケーション2022年10月号より転載

続きのページは、会員の方のみ閲覧していただけます。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

FEATURE特集

NEW ARTICLES新着記事

記事一覧

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。