オフィス・ネットワークの見える化 ~横浜本社での社内 - PFU

オフィス・ネットワークの見える化
~横浜本社での社内実践事例~
Office Network Visualization - Case Study in Our Yokohama Headquarters -
増澤大悟 *
Daigo Masuzawa
*
ソリューション & ソフトウェアグループ アプライアンスソフトウェア事業部 技術部
PFU は,ネットワークセキュリティ製品やオフィス機器などを提供している.今回,それらから得られる情報
をもとに,オフィス・ネットワーク全体の状況を,脅威状況を中心に俯瞰的に把握できるようにする見える化ツー
ルを開発した.マルウェア検出などセキュリティ上の脅威となる各種イベント情報や端末の位置情報を統合し,ど
こでどのような脅威が発生しているかを見える化するものである.加えて,電力使用量や印刷量などのオフィス機
器の稼働状況も見える化する機能も実装し,オフィス・ネットワークの統合的な見える化を実現した.横浜本社の
ネットワーク環境に導入した社内実践事例をもとに説明する.
PFU provides network security products and office equipment. Based on the information
obtained from these products, we have developed a tool that can show an overview of the
entire office network by focusing on security threats. This tool visualizes what the threats are
and where the threats are occurring by integrating various event information that may indicate
a security threat, such as malware detection, with the location of the terminal. In addition,
we have equipped this tool with functions that can visualize an office equipment's operational
status such as power consumption and the printed amount to realize an integrated visualization
of the office network. Based on the network environment in our Yokohama headquarters as
a case study example, this document explains how a visualization of the office network was
implemented.
1
まえがき
ント注1)発生時の影響の範囲や度合いを把握することが,
PFU は社内ネットワークに,安心・安全なネット
今まで以上に重要となってきた.
ワーク環境を実現するネットワークセキュリティ製
これに対応すべく,
「iNetSec シリーズ」や「IPCOM
品「iNetSec シリーズ」や,統合ネットワークサーバ
シリーズ」をはじめとする複数の装置が管理している機
「IPCOM シリーズ」など,PFU が開発,又は販売す
器情報や記録しているセキュリティ上の脅威発生などを
る製品を含む様々なネットワークセキュリティ装置を多
示すイベント情報を統合して視覚的に分かるようにし,
参1)
,参2)
,参3)
,参4)
数導入し活用している
.
近年,外部からの脅威は多種多様にわたり,影響は
PFU 製品をさらに活用しやすくする,オフィス・ネッ
トワークの見える化システムを開発することにした.
ますます広範囲に広がるようになってきている.これら
に対応するために,ネットワーク全体の脅威状況やイベ
注1)ネットワークセキュリティ製品が検出する,マルウェアの侵
入,利用許可されていない端末の接続,ウィルス対策ソフトウェ
アの設定不備,セキュリティパッチ未適用といったセキュリ
ティ上の脅威となりうる事象を示す.
PFU Tech. Rev., 26, 1,pp.19-24 (09,2015)
19
オフィス・ネットワークの見える化 ~横浜本社での社内実践事例~
2
◆表 - 1 情報取得対象の装置と取得する情報◆
システム開発の狙い
社内ネットワークに導入されているセキュリティ装
置はそれぞれ専用のユーザーインターフェース(以降,
UI)を持ち,各装置の機能を使用する範囲においては
十分有効に機能する.ただ,ネットワーク全体の脅威状
況を確認したい場合には,複数の装置の UI や検出イベ
ントを確認しなければならない.また,異なる装置で複
数のイベントを検出した場合には,それらのイベントの
装置
iNetSec Smart
Finder マネージャー
機器管理情報,複写機とプリンタの印刷
量,電力使用量,端末接続検知情報など
iNetSec Intra Wall
マネージャー
マルウェア検出情報,禁止アプリケー
ション検知情報
iNetSec Inspection
Center
OS やアプリケーションのパッチ適用状
況,ウィルス対策ソフトウェアのパター
ンファイルアップデート状況など
IPCOM
社外からの攻撃検知ログと許可しないア
クセスの遮断ログ
L2 スイッチ
接続端末情報
脅威の度合いが比較しづらく,脅威の影響範囲も分かり
にくい.さらに,イベントが発生した端末の物理的な位
置も特定しにくかった.
個々のセキュリティ装置には,検出したイベントを外
部に通知したり,外部から取得したりする機能や,様々
取得する情報
イメージスキャナ
スキャン枚数
(ScanSnap シリーズ,
fi シリーズ)
な管理情報を外部から取得するインターフェースも備
わっている.それらの機能を使用して取得した情報を,
する社外からの許可しないアクセスの遮断情報を収集す
物理的な位置情報も含めて統合し,見える化するシステ
る.
ムを構築することで,どこで何が発生しているかを迅速
(2)
セグメントと機器管理情報
に特定し,脅威の度合いや影響範囲を視覚的に把握でき
ネットワークの論理構成や機器情報を見える化するた
るようにする.これにより,例えばマルウェアに感染し
めに,iNetSec Smart Finder が管理しているセグメ
た端末を検出した場合,物理的な隔離などの処置が迅速
ント構成と機器構成と機器管理情報を収集する.
に行えるようになる.
(3)
オフィス機器の位置情報
また,ネットワーク接続された複合機など,オフィス
社内ネットワークに接続されているオフィス機器の物
機器の稼働状況も統合して視覚化することで,セキュリ
理的な位置を特定するために L2 スイッチが保持してい
ティ上の脅威状況だけでなく,どこの機器がどういう稼
る接続機器情報を収集する.
働状況であるかということも,簡単に把握できるように
する.
(4)
オフィス機器稼働状況
オフィス機器の稼働状況を見える化するために
iNetSec Smart Finder マネージャーで登録及び管理
3
システムの概要
社内ネットワークの情報を収集し,それらの情報を統
合又は連携させて,フロアマップ,チャートなどで表示
されたネットワーク上のオフィス機器種別や電力使用
量,印刷量と,PFU のイメージスキャナ「fi シリーズ」
や「ScanSnap シリーズ」が接続された端末からスキャ
ン枚数を収集する.
するシステムを作成することで,個別の情報からは分か
りにくい事象や傾向などを簡単に把握できるようにした.
3.2 見える化した情報と見せ方
収集した情報を元に,目的別の情報を表示する UI を
3.1 収集する情報
収集する情報は以下とした.また,情報取得対象の装
置と取得する情報の一覧を表 - 1に示す.
(1)
セキュリティ脅威状況
作成した(表 - 2参照)
.
各 UI は,横浜本社全体の物理的な情報と論理的な情
報が俯瞰できる図 - 1のような構成を基本とした.UI
の左側にフロアの物理的な地図を表すフロアマップを配
脅威状況を見える化するために,iNetSec Smart
置し,各種ネットワーク装置やオフィス機器の物理的な
Finder マネージャー,iNetSec Intra Wall マネー
位置を表示する.UI の右側にネットワークの論理構成
ジャー,iNetSec Inspection Center が管理し通知
を示すツリーマップを配置し,各フロアに存在するネッ
する社内ネットワークのセキュリティ上の脅威イベント
トワークセグメントの構成と各セグメント内の端末情報
ログと,ファイアーウォール装置(IPCOM)から取得
を表示する.その他の情報として UI ごとに異なる情報
20
PFU Tech. Rev., 26, 1, (09,2015)
オフィス・ネットワークの見える化 ~横浜本社での社内実践事例~
(機器種別,電力使用量,スキャン枚数,脅威状態など)
の内訳や遷移を示すチャートを配置した.
4
開発時の主な取り組み
不正アクセス遮断状況には,社外からの攻撃と不正
社内ネットワークに導入されている iNetSec シリー
アクセスの遮断状況をアニメーション表示する.ここで
ズ,L2 スイッチ,ファイアーウォール装置などのネッ
表示する情報はインターネットからのアクセス情報であ
トワーク管理機器やセキュリティ装置から各種イベント
るため,他の UI のようなフロアマップ表示ではなく,
情報や管理情報を収集し,収集した情報からウェブコン
3D 地球儀上に情報表示することにした(図 - 2参照)
.
テンツを生成する見える化専用のサーバを構築した.ク
ライアント端末から見える化サーバへのウェブアクセス
◆表 - 2 UI 一覧◆
見える化した情報
UI の表示内容
によりオフィス機器の状況とネットワークの脅威状況を
ブラウザで閲覧できるようにした(図 - 3参照)
.
機器情報
ネットワーク上の機器種別,機器情報の内訳,
検出機器数の遷移
電力使用量
各端末の電力使用量,機器ごとの電力使用量,
電力使用量の遷移
印刷量
複写機とプリンタの印刷量,印刷量の遷移
スキャン枚数
イメージスキャナのスキャン枚数,フロアや
セグメントごとのスキャン枚数
理を実装した UI を作成しなければならない.
脅威状況
マルウェア検出,機器遮断などの脅威イベン
トの発生状況
ようにするために,取得した情報に含まれる各データに
不正アクセス遮断
状況
社外からの攻撃と不正アクセスの遮断状況
属性を示す統一したタグ付けを行い,見える化サーバ内
4.1 情報収集の際の取り組み
見える化サーバが収集する各種情報は,収集対象の装
置によってそれぞれフォーマットが異なるため,そのま
ま使用する場合,それぞれのフォーマットに合わせた処
装置によって異なる情報を一括して管理し処理できる
部で動作する検索エンジンに登録する方法を採った.検
索エンジンに情報登録することで,異なる装置から取得
した情報であっても,統一した検索手段で情報検索でき
るため,UI に表示する情報の絞り込み処理などを作り
Internet
iNetSec Intra Wall
ファイアーウォール
見える化サーバ
◆図 - 1 電力使用量◆
(Fig.1-Power consumption)
情報収集管理
iNetSec Smart Finder
ウェブコンテンツ
作成
iNetSec Inspection Center
ブラウザで閲覧
L2 スイッチ
◆図 -2 3D 地球儀◆
◆図 - 3 見える化システム◆
(Fig.2-3D globe)
(Fig.3-Visualization system)
PFU Tech. Rev., 26, 1, (09,2015)
21
オフィス・ネットワークの見える化 ~横浜本社での社内実践事例~
込む必要がなく,UI 作成作業の簡略化と効率化ができ
た.
かるようになっている.
(2)
社外からの脅威状況
また,新たな情報を追加し UI の機能拡張を行う場合
インターネットから PFU への攻撃や不正アクセスの
や,UI の表示内容を修正する場合でも,大きな工数を
状況を,アクセス元地域や国名といった位置情報を含め
かけずに対応可能である.
て 3D 地球儀にアニメーション表示した.
攻撃や不正アクセス情報は,インターネットとイント
4.2 見える化の際の取り組み
ラネットを結ぶファイアーウォール装置から取得する遮
4.2.1 セキュリティ脅威状況の見える化
断ログ情報を使用する.遮断ログ情報にはアクセス元の
(1)
社内ネットワークの脅威状況
iNetSec Smart Finder,iNetSec Intra Wall,
位置情報は含まれないため,位置情報データベース注2)
からアクセス元 IP アドレスに対応する位置情報を検索
iNetSec Inspection Center から取得した各種イベ
し,見える化サーバの検索エンジンに登録する.位置情
ント情報を元に,セキュリティ上の脅威状況を見える化
報からは経緯度と国名が分かるため,地球儀上にアクセ
した(図 - 4参照)
.
ス元地域から日本(PFU)へのアクセスを攻撃アニメー
この UI には検出されたマルウェア数や,利用承認さ
れていない機器や管理外 IP アドレスの機器の接続を示
ションのような効果で表示し,国別のアクセス統計情報
を表示することができた.
す不正機器接続数,各種イベント情報を脅威情報として
また,ファイアーウォール装置から見える化サーバへ
表示する.ただ,イベント情報を単に表示するだけで
の遮断ログ情報の送信とアクセス元の位置情報の検索,
は,見える化のメリットは限定的であり,脅威の度合い
UI からの情報検索と表示処理は逐次行われるようにす
や影響範囲が分かりにくい.そこで,脅威状態の度合い
ることで,3D 地球儀にリアルタイムで攻撃や不正アク
を示す「脅威レベル」を導入した.各ネットワークセグ
セスの状況を表示することができるように考慮した.
メントと各端末に脅威の度合いを示す 0.0 ~ 1.0 の値
3D 地球儀への表示を実現することで,単純な遮断ロ
を脅威レベルとして持たせる.ある端末でセキュリティ
グ情報からは分からないアクセス元地理情報と合わせ
上の脅威イベントが発生した場合,そのイベントの脅威
て,時間あたりのアクセス量やアクセス種別などの傾向
度合に応じて,端末の脅威レベル値を上げる.同じよう
が直観的に把握できるようになっている.
に,あるネットワークセグメント内で脅威イベントが発
4.2.2 ネットワーク・オフィス機器状態の見える
生した場合はその度合いに応じて,そのネットワークセ
グメントの脅威レベル値を上げる.この脅威レベル値を
化
(1)
オフィス機器状態の見える化
ツリーマップ上のツールチップの色の濃さとして表現す
社内ネットワークに接続された複写機とプリンタの印
ることで,各セグメントと各端末の脅威度合が視覚的に
刷量,ネットワーク機器の電力使用量,イメージスキャ
分かる仕組みとした.また各フロアの脅威レベル値をグ
ナ
(ScanSnapシリーズ,
fiシリーズ)
のスキャン枚数を,
ラフ化し,脅威レベルがどのように遷移しているかが分
機器単位及びセグメント単位でチャート化した参5),参6).
また,後述のツリーマップ表示とフロアマップ表示と連
携し,マップ上の端末の情報(機器種別,印刷量,スキャ
ン枚数,電力使用量など)が分かるようにした.
印刷量や電力使用量は,iNetSec Smart Finder マ
ネージャーから取得できるが,スキャン枚数は現状の
iNetSec Smart Finder マネージャーでは管理対象外
であるため,イメージスキャナが接続された端末からス
キャン枚数を取得することにした.ただ,機種によって
スキャン枚数の取得インターフェースを備えるものと
そうでないものがあり,見える化サーバから統一した手
段でスキャン枚数を取得することが難しかった.スキャ
◆図 - 4 脅威状況◆
(Fig.4-Threat situation)
22
注2)この処理には MaxMind が作成した GeoLite2 データが含ま
れており,http://www.maxmind.com から入手いただけます.
PFU Tech. Rev., 26, 1, (09,2015)
オフィス・ネットワークの見える化 ~横浜本社での社内実践事例~
ン枚数を見える化するために,ScanSnap シリーズに
(3)
端末位置の見える化
対しては,ScanSnap Manager からネットワーク経
横浜本社 3 フロア分のフロアマップ上にネットワー
由でスキャン枚数を取得する専用ソフトウェアを本見
ク機器の物理的な位置表示を実現した.端末の物理的な
える化システム向けに開発し,ScanSnap シリーズを
位置をフロアマップ上に表示するためには,端末の位置
接続した端末からスキャン枚数を取得することを可能と
情報が必要となる.複写機など物理的な設置位置が変わ
した.また,fi シリーズに対しては,スキャナをリモー
らない機器は,固定座標データを用意することで位置表
トで管理又はメンテナンスをすることができる自社ソフ
示を行えるが,PC などの個人使用端末は台数が膨大で
トウェア SCA(Scanner Central Admin)により
あり,また,移動されることがあるため,固定座標デー
参7)
スキャン枚数を取得することにした
.本見える化シ
タを用意して位置表示するのは現実的ではない.フロア
ステムでのスキャン枚数見える化対象のイメージスキャ
に設置されている位置固定の L2 スイッチから,L2 ス
ナは,USB 接続された ScanSnap iX100,iX500,
イッチに接続されている端末の MAC アドレス情報を収
S1300i,SV600 と fi シリーズである.
集し,iNetSec Smart Finder マネージャーから取得
した機器管理情報と照合することで,おおよその端末位
(2)
ネットワーク構成の見える化
iNetSec Smart Finder マネージャーからネット
置を特定し,フロアマップ上に位置表示することを可能
ワークを構成しているセグメントや,そのセグメントに
とした.フロアマップ上の端末は機種種別ごとに色付け
属する機器の情報が取得できる.それらの論理構成情
表示し,カーソルを置くことで詳細情報が表示される.
報をツリーマップとして表示することにした(図 - 5参
また,フロアマップはツリーマップと連携動作し,ツ
照)
.ツリーマップは,階層化された情報を二次元平面
リーマップに表示されているネットワークセグメントや
上の領域に入れ子状に分割して視覚的に表現する手段で
端末がフロアマップ上のどこに位置するかが分かるよう
あり,ネットワークの論理構成の視覚化に適している.
になっている.例えば,ツリーマップ上の端末にカーソ
ツリーマップの階層構造をたどることで,フロア上のセ
ルを置くとフロアマップ上の対応する端末がハイライト
グメント構成,セグメント内の機器構成が分かる.また,
表示される(図 - 6参照)
.これにより端末の論理情報
機器構成セグメント内の機器の数をツールチップの相対
から物理的な位置を簡単に特定可能である.
的な大きさで表現し,印刷量やスキャン枚数も相対的な
色の濃さで表現した.ツリーマップの特性を生かして,
ネットワークの論理構成と機器管理情報の量を視覚的に
分かりやすく表現できた.
4.3 オープンソースソフトウェアの活用
本システム構築にあたり,有用なオープンソースソフ
トウェア(以降,OSS)を活用することで,システム
に必要な機能実装作業を効率的に行い,短期間で開発を
行うことができた.使用した OSS について,その概要
フロアの構成
を紹介する.
より詳細に
対応するフロアマップ上の
端末をハイライト表示
より詳細に
フロア内のセグメント構成
セグメント内の機器構成
◆図 - 5 ツリーマップの階層表示◆
◆図 - 6 フロアマップとツリーマップの連携動作◆
(Fig.5-Hierarchical display of the tree map)
(Fig.6-Linking the floor map and the tree map)
PFU Tech. Rev., 26, 1, (09,2015)
23
オフィス・ネットワークの見える化 ~横浜本社での社内実践事例~
(1)
Elasticsearch
5
分散型の全文検索サーバであり,スキーマフリー,リ
アルタイム検索,REST API 注3)などの特徴を持つ.
見える化サーバ上で Elasticsearch を動作させ,収
集した各種情報を登録し,管理している.
(2)
Fluentd
むすび
本システム開発の取り組みにより,各種ネットワーク
管理装置から取得した情報を統合し,位置情報を含めて
横断的に見せる基本的な技術を確立し,PFU 横浜本社
オフィスのネットワーク環境に適用し,社内実践した.
本見える化システムの一部は,2015 年に開催された
各種 OSS などからログデータの収集と加工を行い,
他のソフトウェアへデータ出力するソフトウェアであ
「情報セキュリティ EXPO(春)
」や PFU の製品及び
る.プラグインを追加することで,未対応のログの収集
技術を紹介する「PFU IT Fair」などの社外展示会場
と加工も可能である.
でデモ展示を行った.また,社内でもビジネス推進のた
見える化サーバでは,ログとイベントデータの
めのツールとして使用したいという要望があり,企業内
収集とデータ変換を行う独自プラグインを追加し,
ネットワークの脅威監視用ツールとして活用することも
Elasticsearch へのデータ登録を行っている.
検討され始めている.
今後は,無線 LAN 接続端末への対応や横浜本社オ
(3)
Kibana
Elasticsearch の検索機能を使用して,ウェブブラ
フィス以外の事業所への展開など,社内運用での実用性
ウザ上に様々なチャートやテーブルを作成できるログ可
を高めるための機能追加と改善に取り組む予定である.
今回の取り組みで培った技術とノウハウを生かして,
視化ツールである.
各 UI のウェブコンテンツに Kibana 機能を組み込ん
で各種チャートの生成に使用している.
(4)
WebGL Globe
WebGLをサポートしたウェブブラウザ上で各種デー
タを地球儀に表示させるソフトウェアである.GPU ア
さらに付加価値を高めた情報を見せる技術を追求し,ビ
ジネス支援ツールや新製品への応用と展開を検討してい
く.
参考文献
参1)iNetSec シリーズ紹介ホームページ
クセラレーション可能な WebGL 対応ブラウザであれ
ば,
非常に滑らかな 3D グラフィック表示が可能である.
参2)中山,伊藤,青木:多様化する IT 資産をトータルに管理する
iNetSec Smart Finder, PFU Tech.Rev.,21,2,pp.1-7(2010)
WebGL Globe を機能拡張し,Elasticsearch との
連携と各種アニメーション効果やテーブル表示機能の追
加によって,3D 地球儀を実現した.
http://www.pfu.fujitsu.com/inetsec/
参3)大浴ほか : 標的型サイバー攻撃・内部対策アプライアンス
「iNetSec Intra Wall」, PFU Tech.Rev.,25,2,pp.1-7(2014)
参4)IPCOM シリーズ紹介ホームページ
http://fenics.fujitsu.com/products/ipcom/
参5)カラーイメージスキャナ ScanSnap(スキャンスナップ)紹
介ホームページ
http://scansnap.fujitsu.com/jp/
参6)業務用スキャナ fi シリーズ紹介ホームページ
注3)あるプログラム(ソフトウェア)が保持する機能やデータを,
外部のプログラムから呼び出して利用するための規約の種類の
一つで,REST と呼ばれる設計原則に従ったもの.
24
http://imagescanner.fujitsu.com/jp/
参7)Scanner Central Admin 紹介ホームページ
http://imagescanner.fujitsu.com/jp/concept/sca/
PFU Tech. Rev., 26, 1, (09,2015)