ネットワーク上の通信を完全保存
3. パケット・ロスなしに10GbEをキャプチャ
今回紹介する、米WildPacketsの「TimeLine Network Recorder」(以下、TimeLine)は、11.7Gbpsという高速なキャプチャ能力を備えたパケット記録アプライアンスです。性能テストを実施した米国の独立テスト機関であるMiercomでは「脅威の性能を有する、ネットワーク・フォレンジックに最適な設計」と絶賛しています。
11.7Gbpsのキャプチャ・レートの実現によって、10GbEであっても、パケットを取りこぼすことなく全データを取得・保存できます。
|
|
| 図1: TimeLine Network Recorderのキャプチャ・レート(クリックで拡大) |
あらかじめ、フォレンジック検索に適したテンプレートが用意されています。これを使うことで、膨大な保存データから情報を検索することが容易になっており、迅速に所望のデータを再生することが可能です。必要に応じて、テンプレートのカスタマイズも可能です。
|
|
| 図2: フォレンジック・サーチ(クリックで拡大) |
また、第2回で紹介した監査証跡取得ソフト「Tectia Guardian」からTimeLineにデータを渡すことによって、サーバー管理者が暗号化通信の下で実施した作業のパケット解析も可能になります。Tectia Guardianからは、ログを直接、またはpcap形式データに変更してからTimeLineに転送します。
ネットワーク・フォレンジック機器の導入は、事象や事件が発生したに追跡や証跡保存が可能になるだけではありません。「すべてのデータを取得している」ということ自体が、社員に認知させることで、不正行為の大きな抑止力となるのです。
4. ネットワークのリアルタイム監視も可能
TimeLine Network Recorderに同梱(どうこん)されている、プロトコル・アナライザ「OmniPeek」を利用することによって、高速データのキャプチャとディスクへの書き込みと同時に、ネットワークの使用状況や、ジッターなどのネットワークの重要な統計を、リアルタイムでグラフ表示することができます。
統計情報の変化を見ることによって、ネットワークに異常が発生したことを迅速に把握することができます。結果として、組織の生命線であるネットワークの安定稼働やセキュリティの維持に役立ちます。
次ページからは、ネットワーク・フォレンジックによって特定した端末に対して、証拠を保全して証跡の正当性を証明する、コンピュータ・フォレンジックについて解説します。
