PFU Tech. Rev., 25, 1,pp.39-46 (01,2014) 39

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能IPCOM Visualizer Function: Optimizing Networks and Security Functions Through Visualization

中臣国雄 *Kunio Nakatomi

阿久津　寛 *Kan Akutsu

上山敬和 *Yoshikazu Ueyama

平池昌浩 *Masahiro Hiraike

田所真弥子 *Mayako Tadokoro

* ソリューション＆ソフトウェアグループ　アプライアンスソフトウェア事業部　ネットワークアプライアンス開発部

IPCOM EX シリーズは，健全で安全なネットワークを実現するため，セキュリティ機能やサーバ及びネットワー

クを最適化する機能を統合したネットワークアプライアンスである．近年のアプリケーションの多様化に伴い，複

雑化するネットワーク環境を最適な状態に維持・管理するためビジュアライザ機能を開発した．本稿では，このビ

ジュアライザ機能を利用したネットワーク環境の最適化について説明する．

IPCOM EX series are integrated network appliances that optimize the network and security

functions in order to achieve a stable and safe network. The visualizer function optimizes and

manages complex network environments for the ever-increasing diverse array of applications.

This paper explains how to optimize a network environment with the visualizer function.

1 まえがきIPCOM（アイピーコム）EX シリーズ（以降，本装置）

は，信頼性と拡張性の高い IP ネットワーク環境を実現

するために必要となる，負荷分散，帯域制御，各種セキュ

リティ機能などを統合したネットワークアプライアンス

装置である参１），参２）．2012 年 4 月に Web アプリケー

ション（Twitter，Google注１），Facebook注２））や通信

プロトコル（P2P，HTTP など）を識別するための各

種情報で構成された「アプリケーション辞書」と，アプ

リケーション辞書と連携して動作するファイアーウォー

ル（以降，FW）を簡単に設定する新アプリケーション・

ファイアーウォール機能参３）を提供した．同時に，本装

置の帯域制御（QoS）機能に，アプリケーション辞書

と連携して，企業や組織のネットワーク運用ポリシー（以

降，運用ポリシー）に従いアプリケーションが使用する

帯域を簡単に設定する機能を提供した．

近年のネットワーク利用の状況は，ハードウェアの面

注１） Google は，Google Inc. の商標である．注２） Facebook は，米国 Facebook,Inc. が提供するソーシャルネッ

トワーキングサービスである．

では，従来の PC に加えて，スマートフォンやタブレッ

トなどスマートデバイスが普及したことによって，ネッ

トワーク接続の機会が飛躍的に増大した点が特徴的であ

る．また，ソフトウェアの面では，クラウドサービスに

よるファイル共有やソーシャルネットワーキングサー

ビスの使用など，インターネット環境で利用するアプリ

ケーションの種類が増え続けている．このように，ネッ

トワークのトラフィック量が飛躍的に増大し，ネット

ワーク利用の多様化が加速している．

これらネットワークの利用状況の変化に伴い，ネット

ワークシステムの運用管理はより一層複雑になると予想

される．

2 ネットワークシステムの運用管理の課題

健全で安全なネットワーク環境を維持し，ネットワー

クシステムを最適な状態に保つために，ネットワーク管

理者（以降，管理者）は次のような活動をし続ける必要

がある．

40

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能

PFU Tech. Rev., 25, 1, (01,2014)

１） ネットワーク・トラフィックを常に監視し，運用

ポリシーから逸脱しているアプリケーションや通信

プロトコルが使用されていないかを把握して，ファ

イアーウォールのポリシー（以降，FW ポリシー）

を見直す．

２） 企業や組織の活動が変化し，アプリケーションの

通信量が増加した場合，アプリケーションに割り当

てた帯域が不足して重要な業務の遂行を妨げていな

いかを監視し，帯域制御のポリシー（以降，QoS

ポリシー）を見直す．

これらの見直しを持続的に行うには，ネットワーク監

視用の装置と監視体制を維持し運用するための管理コス

トの増加や，ネットワークの状態を監視し続けなければ

ならない管理者の負担の増大への対応が必要となる．こ

れらの問題を解決し，ネットワークシステムの健全で安

全な運用を支援するため，ビジュアライザ機能を開発し

た．

3 ビジュアライザ機能の特長図-１に示すとおり，ビジュアライザ機能は，本装置

を通過するネットワーク・トラフィック（サービス，ア

プリケーション）を収集し，様々な統計情報を円グラフ，

棒グラフ，折れ線グラフ，表などで可視化する．管理者

は，視覚的に本装置の運用状況を把握でき，運用ポリシー

（FW ポリシー，QoS ポリシーなど）の適用状況を検証，

評価可能である．

また，ビジュアライザ機能は，採取した統計情報を

PC 上のハードディスクに蓄積しておくことができる．

管理者は，ネットワークの利用傾向やサービス品質の傾

向を把握でき，ネットワーク帯域の増強などのキャパシ

ティ・プランニングを行える．

ビジュアライザ機能を導入することで，本装置が提供

する機能の運用状況を評価，監査し，ネットワークシス

テムを最適に維持できる．

4 ネットワークの運用サイクルにおける課題とビジュアライザ機能の効果

ネットワークを最適な状態に維持するためは，図-２に示す運用サイクルを繰り返すことが重要である．

ここでは，運用サイクルの各フェーズにおける課題と

ビジュアライザ機能が果たす効果を説明する．

4.1「①運用状況の可視化」フェーズアプリケーションの多様化が進んだ現在，FW や

QoS を組織のネットワーク環境に導入し利用状況に

合った運用ポリシーを設計するためには，どのようなア

プリケーションがどの程度利用されているのかを把握す

ることが重要である．従来はネットワークキャプチャー

装置を使用してパケットデータを採取し，解析した上で

運用ポリシーを設計する必要があった．このため，高

度な専門知識を持った技術者を集めなければならず，採

取したデータを解析するためにも多くの時間が必要だっ

た．

以下に具体例を説明する．

（１） アプリケーションの種類の可視化

ビジュアライザ機能は，本装置を通過するパケット

データの特徴的な情報群や，振る舞いから得られる情報

群を，アプリケーション辞書に格納された各種情報群と

比較参照し，アプリケーションを可視化する機能を提供

する．図-３は，本装置が可視化したアプリケーションの表示例である．

可視化したアプリケーション一覧には，アプリケー

ション名とともに，リスクレベルや送受信バイト数，セッ

ション数といった計測データが表示される．

表-１にアプリケーション一覧で表示される主な項目を示す．

このようにアプリケーションを可視化することで，

P2P アプリケーション，オンラインストレージなど情

報漏えいの引き金となるアプリケーションや，企業活動

に直接関係ないと考えられるゲームなど想定外のアプリ

ケーションが使用されていることを管理者は容易に把握

できる．また，これらアプリケーションの利用頻度も把

握できる．

さらに，可視化したアプリケーション一覧から簡単な

操作で，図-４に示すアプリケーションヘルプを参照す◆図 -１　ビジュアライザ機能の概略図◆

（Fig.1-Visualizerfunctionoverview）

HDD

Google

Skype ※2YouTube ※1

アプリケーション辞書で分析

蓄積

※1 YouTubeは，Google Inc. の商標である．※2 音声及びビデオ通話やチャットが行えるソフトウェア．

IPCOM ビジュアライザ

可視化

PFU Tech. Rev., 25, 1, (01,2014) 41

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能

る機能を提供している．アプリケーションヘルプを参照

することで，管理者はアプリケーションの詳細や特性及

びリスクを把握し FW ポリシーを簡単に設計できる．

（２） アプリケーションの使用帯域の可視化

ネットワーク構成として，本社（以降，センター）と，

支店や支社 ( 以降，拠点 ) の間で通信が行われるケース

では，センターと各拠点の通信特性に応じた QoS が重

要である．そのためには，使われるアプリケーションの

種類や通信量を把握し，業務で使用しているアプリケー

ションが必要としている帯域を優先的に割り当てると

いったQoSポリシーを拠点ごとに設計する必要があり，

拠点数に比例して労力と時間が必要となる．

ビジュアライザ機能は，本装置の QoS 機能に設定さ

れた QoS ポリシーと同期し，各拠点に割り当てられた

帯域で使われているアプリケーションの種類と通信量を

可視化でき，管理者は可視化されたアプリケーションと

使用帯域から各拠点の通信特性に応じた QoS ポリシー

を簡単に設計できる．

図-５は，センターと拠点 A の間で使用されている

◆図 -２　運用サイクルの例◆

（Fig.2-Optimizingnetworkoperation）

「①運用状況の可視化」・ネットワークポリシーの設計

「②運用状況の分析」・ネットワークポリシーの検証

「④運用ポリシーの評価」・ネットワークポリシー評価

「③運用ポリシーの変更，適応」・ネットワークポリシーの設定，　変更

運用と最適化

◆図 -３　可視化したアプリケーション一覧の表示例◆

（Fig.3-Exampleofhowvisualizedappilcationsare

displayed）

◆表 -１　主な表示項目◆

項目 説明

種別 アプリケーションが，登録済みのアプリケーションか，管理者が定義したアプリケーションか，辞書に登録されていないアプリケーションかを識別するアイコンを表示．

アプリケーション名

アプリケーションの略記名．

リスク アプリケーションのリスクレベル．アプリケーション特性とセキュリティ脅威の観点から判定されるセキュリティ面の危険度を5段階で示す．

バイト数 送受信のバイト数の合計を横棒グラフで表示．

セッション数 新規に確立された TCPコネクション及びUDPセッション数の合計を横棒グラフで表示．

レスポンス時間 最新のサーバ遅延時間，ネットワーク遅延時間の合計を横棒グラフで表示．

エラー数 サーバ応答無し，拒否数，チェックサム異常などのエラー数の合計を横棒グラフで表示．

◆図 -４　アプリケーションのヘルプ例◆

（Fig.4-Applicationhelpexample）

◆図 -５　アプリケーション一覧と使用帯域幅◆

（Fig.5-Listofapplicationsandbandwidthusage）

本社サーバに格納されたファイルへのアクセスが多いことがわかる

支社（拠点A）

支社（拠点A）

本社（センター）

支社（拠点B）

支社（拠点B）

支社（拠点C）

支社（拠点C）

アプリケーション名

42

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能

PFU Tech. Rev., 25, 1, (01,2014)

アプリケーションの一覧と使用帯域幅を可視化した例で

ある．

4.2「②運用状況の分析」フェーズ使われているアプリケーションが判明したあとは，1

日，1 週間，1 箇月といった単位でネットワークの利用

特性を把握し，ネットワーク利用者が快適にアプリケー

ションを使えるように考慮することが重要である．その

ためには，ネットワークキャプチャー装置を使用し大量

のデータを保存して解析しなければならず，データを保

存する場所の確保や，データ解析のための人員確保が必

要となる．

ビジュアライザ機能は，ネットワークデータを保存す

る時点で解析に必要となるデータと不要となるデータと

に切り分け，必要なデータだけを保存することでデータ

サイズを削減し，長期にわたるデータ保存を可能とする．

また，蓄積されたデータからネットワークの使用傾向を

簡単に把握できる．

以下に具体例を説明する．

（１） ネットワークの使用傾向分析

ビジュアライザ機能が提供しているモニタ・コンソー

ルは，ネットワークの使用傾向把握のため，1 箇月，1

週間，1 日といった時間遷移を観点としたアプリケー

ションの使用データ量やセッション数などを可視化でき

る．表示期間の設定はカレンダーから選択できるよう

になっており，管理者は容易に表示期間を指定できる．

図-６では，特定の 1 週間を指定している例を示す．ネットワークの使用傾向を把握するには，初めに 1

箇月や 1 週間といった期間でおおまかな状況を把握す

る．次に，通信データ量の突出や確立セッションが急

増するなど通常とは異なる傾向を示す日があれば，該当

する日を表示期間に指定し，時間帯ごとの状況を把握す

る．こうして，1日のどの時間帯でどのようなアプリケー

ションがどの程度使われるかを詳細に把握できる．

図 -７の上のグラフは，YouTube 視聴 (youtube-watch) の使用バイト数を日曜日から土曜日まで 1 日単

位で 1 週間分表示している．丸で囲った日付の使用バ

イト数が急増していることから，該当する日だけを表示

したグラフが下のグラフである．下のグラフでは，さら

に使用バイト数を 1 時間単位で表示している．

このようにネットワークの使用帯域の傾向を分析する

ことで，ネットワーク増強などのキャパシティ・プラン

ニングを行える．また，定常状態のネットワークの使用

傾向を把握することで，運用時の異常状態をより容易に

把握可能となる．なお，ビジュアライザ機能が保存して

いるデータは，レポート・コンソールを使ってファイル

へも出力可能である．

（２） 利用端末の特定

情報漏えいの可能性があるリスクの高いアプリケー

ションや，社内で禁止しているアプリケーションなどが

検出された場合には，管理者が適切な対処を行うために

利用端末を特定したいと考えられる．ビジュアライザ機

能では，端末を特定する機能として，「トップ N」機能

◆図 -６　表示期間指定◆

（Fig.6-Specifyingthedisplayperiod）

◆図 -７　バイト数のグラフ（1週間指定と1日指定）◆

（Fig.7-Networkusageinbytes（weeklyanddaily

report））

一週間指定

一日指定

PFU Tech. Rev., 25, 1, (01,2014) 43

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能

を提供している．

「トップ N」とは，送信バイト数やセッション数など

様々な計測項目を，端末の IP アドレスごとに上位 10

位までリストアップする機能である．

図-８は YouTube を使用した端末が送信した送信バイト数を IP アドレスごとに上位 10 位までを表示した

例である．

このグラフから，YouTube を使用している IP アド

レスがわかるため，管理者は容易に端末を特定でき，対

処に必要な時間を短縮できる．

さらにトップ N の情報は，外部からセキュリティ攻

撃（DoS/DDoS 攻撃など）を受けているかという観点

で分析に利用できる．

ネットワークやサーバに対するセキュリティ攻撃を受

けると，TCP コネクション数及び UDP セッション数

が急激に増加するとともに，TCP コネクションの確立

失敗数や強制解放数も急激に増加する．

図-９は，最初にセッション数の時間遷移を参照し，急激にセッション数が増加した時間帯の送信元 IP アド

レスのトップ N を表示した例である．このグラフから，

上位に表示される IP アドレスの端末から攻撃を受けた

ことがわかる．

（３） 遵守率を使用した予兆分析

使用されているネットワークの帯域を監視しているだ

けでは，異常が発生してからから対処することになり対

応が遅れがちとなる．ビジュアライザ機能は，遵守率を

使った分析により異常の予兆を捉えネットワークの安定

運用が可能である．

遵守率とは，図-１０に示すとおり，遵守率計測間隔における，「計測値の総数」に対する「計測値が管理者

の定めた基準値以下であった（基準値を遵守できた）数」

の割合である．

遵守率評価では，遵守率計測間隔でどの程度の割合

で管理者の定めた基準値を遵守できたかを評価すること

により，ネットワークが運用ポリシーに従っているかを

評価する．遵守率が低い値を継続して示すことになれば

ネットワーク異常の予兆として捉え，運用ポリシーが適

切か否かを分析できる．運用ポリシーを長い期間で評価

する場合にも適した分析方法である．

評価基準となる遵守率（評価遵守率）として危険，警

告，回復の 3 段階を設定し，各遵守率計測間隔区間で

計測した遵守率が評価遵守率の範囲となった場合，ログ

出力などのイベントを発生させることで管理者に通知可

能である．

回復は，警告又は危険が発生後に回復した場合に通知

される．

図-１１に，遵守率評価の動作例を示す．①の区間では，すべての計測値が基準値を下回ってい

るため，遵守率 100% となる．

②の区間では，計測値 10 個のうち 6 個が基準値を

下回っているため，遵守率は 60% である．この値は，

警告の範囲であるため，管理者に警告を通知する．

③の区間では，計測値 10 個のうち 4 個が基準値を

下回っているため，遵守率は 40% である．この値は，

◆図 -８　トップNのグラフ◆

（Fig.8-TopNgraph）

◆図 -９　セッションの送信元トップN◆

（Fig.9-ExampleoftheTopN（alistoftheIP

addressthatareaccessedthemost））

遵守率（％）＝

×100計測値が管理者の定めた基準値以下であった数

計測値の総数

◆図 -１０　遵守率◆

（Fig.10-Compliancerate）

44

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能

PFU Tech. Rev., 25, 1, (01,2014)

危険の範囲であるため，管理者に危険な状態であること

を通知する．

④の区間では，すべての計測値が基準値を下回ってい

るため，遵守率 100% となる．この値は，回復の範囲

であり，また，危険発生後の回復であるため，危険な状

態から回復したことを管理者に通知する．

図-１２に，帯域の遵守率をビジュアライザ機能で表示した例を示す．

この例では，評価遵守率として，危険値 60%，警告

値 70%，回復値 90% を設定している．

このグラフにおいて，遵守率が若干下がっている個所

があるが「警告値」，「危険値」を上回っており，安定し

た運用状態であることがわかる．もし遵守率が警告値を

下回れば，異常が起きていると判断する指標になる．こ

のように遵守率のグラフを見ることで異常状態が発生し

ていないかを容易に把握でき，問題が発生する前（遵守

率が危険値の領域に入る前）に対応策を実施できる．

4.3「③運用ポリシーの変更，適用」フェーズアプリケーションの可視化や把握したネットワークの

使用状況をもとに運用ポリシーを設計し，FW と QoS

を設定後は，設計に基づいた運用ポリシーとなっている

かを確認することが重要である．遮断すべきアプリケー

ション通信が FW を通過していたり，通過すべきアプ

リケーション通信が遮断されたりしていると，システ

ムの円滑な運営やビジネス機会の損失，さらには企業イ

メージの低下を引き起こすおそれもあるためである．

ビジュアライザ機能の監視機能を用いることで，運用

ポリシーが適切かを簡単に検証可能である．また，監視

結果に基づいて運用ポリシーをより適切に変更できる．

以下に具体例を説明する．

（１） 運用ポリシーの検証

ネットワークの運用ポリシーの検証例を図-１３で示す．

YouTube の視聴（youtube-watch）と Google 検

索による Web サイトの検索（google-search）が行

【管理者の設定】基準値：10Mbps評価遵守率：　危険値：50％（遵守率が50％以下の場合，危険と評価）　警告値：70％（遵守率が50％超70％以下の場合，警告と評価）　回復値：90％（遵守率が90％以上の場合，回復と評価）

◆図 -１１遵守率評価の動作例◆

（Fig.11-Operationalexampleforevaluatingthe

compliancerate）

◆図 -１２　帯域の遵守率◆

（Fig.12-Bandwidthcompliancerate）

◆図 -１３　FW機能の検証例◆

（Fig.13-FWfunctionanalysisexample）

youtube-watch通信バイト数

google-search通信バイト数

youtube-watch だけFWで遮断し，google-search の通信は変化なし

PFU Tech. Rev., 25, 1, (01,2014) 45

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能

われているネットワークに対し，業務では必要としない

youtube-watch を FW 機能で遮断するように矢印の

時点で設定変更した．設定変更以降，youtube-watch

は遮断され google-search は影響を受けずに通信でき

ているため，運用ポリシーに従い FW が正しく動作し

ていることがわかる．

（２） 運用ポリシーの変更

ネットワークシステムで使用された時に注視したい

アプリケーションがある場合，セキュリティアラート機

能により検知できる．セキュリティアラート機能には

表-２のとおりホワイトリスト監視機能とブラックリスト監視機能があり，いずれも該当アプリケーションが使

用されると管理者に通知できる．

図-１４のように，ブラックリスト機能を用い，P2Pアプリケーションのような情報漏えいリスクの高いアプ

リケーションを一覧に指定すると，該当アプリケーショ

ンが使用された場合に管理者へ通知が行われ，通知内容

をもとに運用ポリシーを適切に変更できる．また，管理

者は通知を受けた時だけネットワークを監視するといっ

た運用が行えるため，管理業務の負担を軽減できる．

4.4「④運用ポリシーの評価」フェーズアプリケーションの可視化やネットワークの利用特性

に基づいて設計した運用ポリシーであっても，社会や組

織の状況変化に伴って運用ポリシーを適宜評価し，追随

することが重要である．その運用を実現するためには，

常にネットワークの利用状況を監視し運用ポリシーから

逸脱していないことを確認しなければならず，管理負荷

が増大する．

ビジュアライザ機能が提供するモニタ・コンソールを

使用することで計測結果を定期的に評価でき，管理者の

負荷を軽減できる．

以下に具体例を説明する．

（１） FW ポリシーに基づく評価

オンラインストレージサービスの利用について，

図-１５のように通信量を確認し，図-１６のように利用端末一覧を表示し，申請があった端末か確認を行う．

申請せずに利用している端末であれば，警告又は確認

を行い FW ポリシーに従い是正する．

（２） QoS ポリシーの評価

図-１７のように，業務とは関係のない動画視聴サービス（youtube-watch）が帯域を圧迫していることが

◆表 -２　セキュリティアラート機能◆

機能名 説明

ホワイトリスト機能 管理者が定義したアプリケーションの一覧に「一致しない」アプリケーションを検出すると，アラートを通知する．

ブラックリスト機能 管理者が定義したアプリケーションの一覧に「一致する」アプリケーションを検出すると，アラートを通知する．

イントラネット

違反者端末

管理者端末

インターネット

ブラックリスト・Winny・PerfectDark　：

Winny

◆図 -１４　ブラックリスト機能◆

（Fig.14-Blacklistfunction）

◆図 -１５　1日ごとのアプリケーションバイト数◆

（Fig.15-Dailyapplicationusageinbytes）

◆図 -１６　端末一覧◆

（Fig.16-Listofterminals）

46

多様化するアプリケーションを可視化する，IPCOMのビジュアライザ機能

PFU Tech. Rev., 25, 1, (01,2014)

判明した場合，QoS 機能で youtube-watch の帯域を

抑制し，業務に影響がないように QoS ポリシーを是正

する．

5 今後について変化するネットワーク環境の中で，ネットワークシス

テムを健全で安全に運用，管理するビジュアライザ機能

を提供した．今後はさらにネットワーク管理を容易にす

べく機能強化を進めていく．以降に強化ポイントを説明

する．

（１） レポート機能の向上

ネットワークを管理する中で証跡情報の報告や保存も

管理者業務の一環である．しかし報告書の書式は組織や

報告先などで異なる場合があり，管理者にとってはでき

るだけ省力化したい業務であると考えられる．そこでビ

ジュアライザ機能で可視化した各種情報をテンプレート

化した出力書式に従い，定期的にレポート出力すべく機

能を強化する．

（２） 利用者情報の可視化

スマートフォンやタブレット端末の個人利用が進む中

で，様々なスマートデバイスがネットワークシステムに

頻繁に接続や切断をすると，IP アドレスだけでは簡単

に利用者を特定できない．そのため簡単に利用者を特定

する仕組みを提供していく．

6 むすびネットワークシステムを使った新しいアプリケーショ

ンや，新しいタイプのサイバー攻撃が次々に登場してい

る．本製品では常に最新のアプリケーションに対応する

とともに，サイバー攻撃に対抗するセキュリティ機能を

向上させ，安全で安心なネットワークを提供していく．

参考文献参１） FUJITSU Network IPCOM 紹介ページ http://fenics.fujitsu.com/products/ipcom/

参２） 新井，遠藤：進化した統合型ネットワークサーバ IPCOM EXシリーズ，PFU Tech. Rev.,18,1,pp.15-22(2007)．

参３） 上山ほか：IPCOM の新アプリケーション・ファイアーウォール 機 能 の 開 発 に つ い て，PFU Tech. Rev.,23,2,pp.14-21 (2012)．

◆図 -１７　帯域の利用状況◆

（Fig.17-Bandwidthusagestatus）

youtube-watch の帯域が使用可能帯域の8割を占めている