// シス担のミカタ
LAN・物理層

ネットワークタップ ねっとわーくたっぷ

パケットキャプチャポートミラーリングトラフィック監視パッシブ監視侵入検知システムネットワーク監視
ネットワークタップについて教えて

簡単に言うとこんな感じ!

電話回線に盗聴器をつけるイメージ!ネットワークの線の途中に「こっそりコピーを取る装置」を挟んで、流れているデータを丸ごと別のところに転送できるんだ。ネットワーク自体の動きを邪魔せずに監視できるのがポイントだよ!

ネットワークタップとは

ネットワークタップ(Network TAP: Test Access Point) とは、ネットワーク回線の途中に物理的に挟み込み、流れるトラフィック(データの流れ)をリアルタイムにコピーして別の機器へ転送する装置・仕組みのことです。「タップ(TAP)」という名前は英語の「蛇口をひねって取り出す」というイメージから来ており、回線を「盗み見」するのではなく「合法的・管理的に複製する」ための技術です。

重要なのは、元の通信を止めたり遅らせたりしないことです。ケーブルに流れる電気信号や光信号を受動的(パッシブ)にコピーするため、本来の通信には一切影響を与えません。監視ツール(IDS/IPSなど)やパケット解析ツールをタップに接続することで、ネットワーク上で何が起きているかを正確に把握できます。

企業のセキュリティ監視やトラブルシューティング、コンプライアンス対応(通信記録の保存)など、「見えない通信を可視化する」 場面で広く使われています。ネットワーク管理者にとっては「ネットワークの聴診器」とも言える重要な道具です。

ネットワークタップの種類と仕組み

種類仕組み特徴
パッシブタップ光ファイバーの光を分岐させるだけ(電源不要)完全に受動的。通信に絶対影響なし。光回線向け
アクティブタップ電気的にコピーして再送信(電源必要)銅線(UTPケーブル)向け。電源障害時のバイパス機能あり
リジェネレーティブタップ信号を再生成してからコピー長距離・高速回線での品質維持に有効
集約型タップ複数のリンクをまとめて1ポートに集約監視機器の台数を減らしてコスト削減

📌 タップが挟まる場所のイメージ

[サーバー] ──────────────────── [スイッチ]

          ここにタップを挟む

          [監視ツール / IDS / パケットアナライザ]

タップを挟んでも、サーバーとスイッチの間の通信はそのまま継続されます。タップはコピーを作って監視ツールに渡すだけです。

パッシブタップの動作原理(光ファイバーの場合)

光ファイバーは光で信号を送るため、光を「一部分岐」させるだけでコピーが作れます。たとえば送られてくる光の90%はそのまま通過させ、残りの10%をモニタリングポートに送る、という仕組みです。電源が不要で物理的に壊れにくいのが特徴です。

歴史と背景

  • 1970年代〜 電話網の時代から、通信の「合法的傍受(ローフル・インターセプト)」の概念は存在していた。物理的な分岐技術が原型
  • 1990年代 インターネットの普及とともに、Ethernetネットワークの監視ニーズが急増。スイッチ型ネットワークではハブ時代と違い全パケットが見えなくなり、監視手段が必要に
  • 2000年代初頭 セキュリティインシデントの増加を受け、IDS(侵入検知システム)SIEM の導入が進む。これらのツールにトラフィックを供給する手段としてタップが注目される
  • 2000年代中盤〜 ポートミラーリング(SPAN)がスイッチに標準搭載されたが、パフォーマンスへの影響や取りこぼしの問題からタップも引き続き選ばれる
  • 2010年代以降 10Gbps・40Gbps・100Gbpsといった高速回線の普及に合わせ、高速対応のタップが登場。クラウド環境では仮想タップ(vTAP)も普及し始める
  • 現在 ゼロトラストセキュリティの文脈でネットワーク可視化がより重要になり、タップの需要はさらに高まっている

ネットワークタップ vs ポートミラーリング(SPAN)

ネットワークを監視する方法として、タップと並んでよく使われるのが ポートミラーリング(SPANポート) です。スイッチの設定でトラフィックをコピーする方法で、追加ハードウェアが不要です。両者を比較してみましょう。

ネットワークタップ vs ポートミラーリング(SPAN) 🔌 ネットワークタップ コピーの正確性:★★★★★ 本体への影響:なし(完全分離) 高速回線対応:◎(100Gbpsも可) 導入コスト:要ハードウェア購入 検知されるリスク:ほぼゼロ 向いている用途:本番環境の常時監視 ⚙️ ポートミラーリング(SPAN) コピーの正確性:★★★☆☆ 本体への影響:スイッチCPU負荷あり 高速回線対応:△(取りこぼしあり) 導入コスト:スイッチ設定のみ(低コスト) 検知されるリスク:設定ログに残る 向いている用途:一時的な調査・テスト 本番環境の常時監視にはタップ、手軽な一時調査にはSPANが使われることが多い

実務での選び方のポイント

  • コンプライアンスや法的証拠として通信記録を保全したい → タップ一択。取りこぼしのない完全なコピーが必要
  • ちょっとトラブルシューティングしたいだけ → SPANポートで十分。スイッチの設定変更だけで済む
  • 10Gbps以上の高速回線を監視したい → タップ。SPANではパケットの取りこぼしが発生しやすい
  • 予算が限られている → まずSPANで試して、本格運用が決まったらタップ導入を検討

関連する規格・RFC

規格・RFC番号内容
RFC 2544ネットワーク機器のベンチマーク方法論(タップを使った測定にも関連)
IEEE 802.3Ethernetの物理層規格(タップが対象とする回線の規格)
CALEA(米国法)通信支援法。合法的傍受の要件を定め、タップ技術普及の背景となった法律
ETSI ES 201 671欧州における合法的傍受(LI)の標準規格

関連用語

  • ポートミラーリング — スイッチの機能でトラフィックをコピーしてモニタリングポートへ転送する方法
  • パケットキャプチャ — ネットワーク上を流れるパケットを記録・解析する技術
  • IDS/IPS — 侵入検知・防止システム。タップで得たトラフィックを解析して不正を検出する
  • SIEM — セキュリティ情報イベント管理。ログやトラフィック情報を統合して分析するシステム
  • ファイアウォール — 通信の許可・拒否を制御するセキュリティ機器
  • スイッチ — LAN内のデータ転送を行う機器。タップはスイッチ間や機器間の回線に挟まれる