拠点間VPNが1時間停止した場合、どれほどの業務損失が発生するかを試算されたことはあるでしょうか。

多国籍企業や遠隔拠点を持つ組織にとって、VPN接続（※注1）の安定性は、生産活動や業務継続に直結する重要な要素です。企業がBCP（事業継続計画）や災害復旧計画を策定する際にも、VPNの安定稼働は重点項目の一つとなります。

しかし近年では、通信インフラの高度化により、VPN障害の原因が通信事業者側や回線側にあるケースは減少しています。調査の結果、多くのVPN障害は企業内部ネットワークに起因していることが分かっています。
背景には、マルウェア感染や不正侵入の増加があります。侵害された内部端末が大量のトラフィックや異常なパケットを送信し、VPN帯域を圧迫・停止させることで、企業の生産性や業務効率に深刻な影響を及ぼします。

このような事態を防ぐためには、従来の「障害発生後に原因を調査する」受動的な運用から脱却し、自律的に異常を検知・分析できるインテリジェントな運用基盤の構築が求められます。

注1
本稿でいうVPN接続とは、拠点間など異なる地域間を接続する各種ネットワーク技術全般を指します。これらの接続方式は、大きく「自社構築型」と「通信事業者からのサービス利用型」の二つに分類されます。
自社で機器を導入し、インターネットを経由してVPNトンネルを構築する方式は、比較的低コストで導入できる一方、回線品質や安定性の面で課題が生じる場合があります。一方、通信事業者が提供するVPNサービスや専用線を利用する方式は、接続品質や安定性に優れていますが、特に国際間接続の場合は高額となる傾向があります。
そのため、高コストなVPN回線が不適切に利用されることを防ぐことは、IT運用管理において極めて重要な取り組みの一つとなります。

N-Partnerのトラフィック自動学習・分析技術により、インテリジェントなネットワーク運用を実現します

N-Partnerは、ビッグデータ分析技術を活用し、継続的に収集されるトラフィックデータを自動学習します。各IPアドレス、各部門、各サーバー単位で動的なベースラインを構築し、1分単位で使用状況を比較分析。
トラフィック量（Byte）、パケット数（Packet）、セッション数（Session）の異常増加を検知し、発信元IP（多くの場合は攻撃側）および宛先IP（被害側）を即時特定します。異常検知時にはアラートを発報し、最短時間での障害対応を支援することで、ネットワーク運用の迅速化と効率化を実現します。

本ビッグデータ自動学習技術の最大の特長は、各IPごとに煩雑なしきい値の設定が不要であることです。通常時の挙動を自動的に学習し、異常を即時に検知し、迅速な障害対応を可能にします。
大規模なネットワーク環境や多数の利用者が存在する場合でも、異常の発生源を正確かつ迅速に特定できます。従来のように、障害報告を受けてから手作業でデータを収集・分析し、原因を追跡する受動的な運用とは異なり、より効率的な対応を実現します。

さらに、ネットワーク全体を複数の単位に細分化し、それぞれの利用状況を監視することは、効果的なネットワーク管理手法の一つです。
分類の基準としては、拠点所在地や部門別などが挙げられます。例えば、第一工場・第二工場、フロア別、開発部・営業部・無線LANセグメント、本社・生産拠点、データセンター・教育棟・寮、さらにはDNS／Web／Mailサーバーといった論理単位などです。
これらの単位ごとにトラフィックを監視・分析し、レポートを作成することで、IT管理者は配下組織全体のトラフィック利用状況を一目で把握できます。

前述のビッグデータ分析・学習技術は、同様の仕組みにより各組織単位ごとに動的ベースラインを構築し、どの単位で異常なトラフィック増加が発生しているかを自動的に検知します。
さらに、ドリルダウン機能により、当該単位内のどのIPアドレスやどのユーザーが不適切な利用を行い、ネットワーク障害の要因となっているかを特定できます。原因に対して適切な対処を行うことで、ネットワークを速やかに正常状態へ復旧させることが可能です。

フロー分析結果をADおよびSNMPと相関し、ユーザー名と接続スイッチ位置情報を可視化

ビッグデータによる自動学習および異常トラフィックのリアルタイム分析技術に加え、N-Partnerはもう一つの中核技術を有しています。
それは、ネットワーク管理における三つの主要技術：「機器の稼働状況を監視するSNMP」・「トラフィックを分析するFlow」そして「詳細な動作ログを記録するSyslog」を相関統合する仕組みです。これにより、IT運用担当者はユーザーのネットワーク利用状況をより詳細に把握できます。
例えば、トラフィック分析によって異常通信を発信しているIPアドレスを特定した場合、Windows ADログインログとの関連付けにより、そのIPを使用している当該ユーザーを把握できます。さらに、SNMP情報を参照することで、そのIPが接続されているスイッチおよびインターフェースの物理的位置を特定することが可能です。

1分で解決するVPN異常 ― ソリューションフロー

STEP 1
可能な限り包括的なFlow情報を収集します。
コアスイッチ（Core Switch）、VPNゲートウェイルーター、各拠点の内部コアなどのネットワークノードから出力されるNetFlow／sFlowデータ（※注2）を、N-Reporter／N-Cloud 次世代インテリジェントIT運用基盤へ集約し、学習および異常トラフィック分析を実施します。

STEP 2
各組織単位または各IPアドレスが通常の挙動と異なるトラフィックやパケットを送信した場合、N-Reporter／N-Cloudは即時に検知します。
監視対象IP数に制限はなく、内部ネットワークのみならず、外部ネットワークから大量通信を発生させるIPについてもリアルタイムで検出可能です。

STEP 3
異常トラフィックを検知すると、N-Reporter／N-Cloudはアラートを発報し、通信総量やパケットサイズ分布などの可視化情報を表示します。
グラフをマウスでクリックする操作により、詳細なドリルダウン分析を実行でき、異常の原因となっている発信元IP、ユーザー名、通信量、所属組織、および接続スイッチ／インターフェースの物理的位置を特定できます。

STEP 4
いわゆる「自動防御」とは、異常トラフィックの発信元IPおよびその物理接続位置（どのスイッチのどのインターフェースか）を特定した後、N-Reporter／N-Cloudが自動または管理者操作により、VPNゲートウェイ装置（※注3）へ遮断指示を送信する仕組みを指します。
これにより、異常トラフィックがVPNネットワークへ流入し続けることを防ぎ、貴重なVPN帯域の不正利用を抑止し、被害拡大を防止します。

さらに、N-Reporter／N-Cloudは、SNMP／Flow／Syslogの相関分析により、悪意あるIPアドレスが接続しているスイッチおよびポートの物理的位置を特定できます。
これにより、VPNゲートウェイ側での遮断に加え、攻撃元IPにより近い内部スイッチ側で遮断を行うことが可能になります。また、IT管理者は遮断の自動解除時間を事前に設定でき、自動防御機構によって遮断されたIPはすべて履歴として記録され、後日確認することができます。

注2
N-Reporter／N-Cloudが遮断指示に対応可能な遮断連携機器は、時期により変更される場合があります。
最新の対応機器一覧については、N-Partnerまたは販売パートナーまでお問い合わせください。