パケットブローカー ぱけっとぶろーかー
簡単に言うとこんな感じ!
ネットワークを流れるデータを「どの監視ツールに渡すか」を仕分けする交通整理係だよ!複数の監視ツールに同じデータをうまく振り分けてくれるので、監視がグッと効率よくなるんだ。
パケットブローカーとは
パケットブローカー(Network Packet Broker / NPB)とは、ネットワーク上を流れるパケット(データの小包)をコピー・フィルタリングして、複数の監視・分析ツールへ適切に振り分ける中継装置のことです。「ネットワーク可視化のハブ」とも呼ばれます。
ネットワーク監視をするには、実際の通信データを「見る」必要があります。しかし、セキュリティ監視ツール・パフォーマンス監視ツール・ログ収集ツールなど複数の機器が、それぞれ独自に回線をのぞき込もうとすると、ネットワークへの負荷が増え、管理も複雑になります。パケットブローカーはその問題を解決し、一か所でパケットを集約して整理・加工してから各ツールへ届ける「仕分け係」として機能します。
企業のネットワーク規模が大きくなり、クラウドやSD-WANが広まるにつれて、「何が流れているか見えない」問題が深刻化しています。パケットブローカーは、その可視性(Visibility)を確保するための重要なインフラ機器として位置づけられています。
パケットブローカーの仕組みと主な機能
パケットブローカーは、ネットワークタップやSPANポートからパケットを受け取り、加工・フィルタリングして各ツールへ転送します。
| 機能 | 内容 | 効果 |
|---|---|---|
| アグリゲーション | 複数の回線からのトラフィックを1か所に集約 | 監視ツールの接続先を減らせる |
| フィルタリング | IPアドレス・ポート番号などで必要なパケットだけを選別 | ツールに余計なデータを送らない |
| リプリケーション | 同じパケットを複数のツールにコピーして配信 | 1つの回線を複数ツールで監視可能 |
| ロードバランシング | トラフィックを複数のツールに均等に分散 | ツールの処理能力を最大化 |
| パケット加工 | ヘッダの追加・削除、タイムスタンプ挿入など | ツール側の処理を軽減 |
| SSL復号 | 暗号化トラフィックを復号してから転送 | 中身の監視が可能になる |
覚え方:「仲介業者(ブローカー)」のイメージ
不動産ブローカーが「売り手と買い手をつなぐ」ように、パケットブローカーは「ネットワーク回線と監視ツールをつなぐ仲介役」と覚えましょう。自分では住まない(パケットを消費しない)のに、うまくマッチングしてくれる存在です。
タップ vs SPANポート:パケットの入口2種類
| 入力方式 | 概要 | 特徴 |
|---|---|---|
| ネットワークタップ | 物理的に回線に割り込んでコピー | 信頼性が高い・障害時もデータ取得可 |
| SPANポート(ミラーポート) | スイッチ機能でパケットをコピー | 導入コストが低い・スイッチ負荷あり |
歴史と背景
- 1990年代後半:ネットワーク監視ニーズが高まり、単純なタップ(コピー装置)が登場。ただし、コピーしたパケットを1つのツールにしか送れなかった
- 2000年代初頭:セキュリティ脅威の増加でIDS/IPS(不正侵入検知/防止システム)が普及。複数の監視ツールへ同時にパケットを届けるニーズが発生
- 2005年頃:パケットブローカーという概念が確立。Ixia(現Keysight)やGigamonが専用製品を市場投入
- 2010年代:10Gbps・40Gbpsの高速回線が一般化し、フィルタリング・ロードバランシング機能が必須に
- 2015年以降:クラウド・仮想化環境への対応が求められ、仮想パケットブローカー(vNPB)が登場
- 2020年代:ゼロトラストセキュリティの文脈で「可視性確保」がより重要視され、クラウドネイティブな監視基盤の要として再注目
パケットブローカーの配置構成
パケットブローカーがネットワーク内でどのような位置関係で動作するかを図解します。
パケットブローカーは本番ネットワークから流れてくるトラフィックを一度受け取り、4つの監視ツール群それぞれへ適切なパケットを振り分けて届けます。本番回線を各ツールが直接のぞく必要がなくなるため、本番環境への影響を最小化できます。
パケットブローカーと類似製品・手法の比較
| 手法・製品 | 概要 | パケットブローカーとの違い |
|---|---|---|
| SPANポート(単独) | スイッチのミラー機能だけで監視 | 1つのツールにしか送れない・スイッチ負荷あり |
| ネットワークタップ(単独) | 物理的にパケットをコピー | 複数ツールへの振り分けや加工機能はなし |
| ファイアウォール | 通信の許可・拒否を制御 | 監視ツールへの配信ではなく遮断が目的 |
| IDS/IPS | 不正通信を検知・遮断 | 監視ツールの1つであり、受け取る側 |
| SIEM | ログを集約・分析 | パケットではなくログを扱う後段ツール |
関連する規格・RFC
| 規格・標準 | 内容 |
|---|---|
| IEEE 802.3 | イーサネット標準。タップが対象とする物理層の仕様 |
| RFC 5176 | RADIUS拡張。一部のNPBでの認証連携に参照される |
| IETF IPFIX (RFC 7011) | フロー情報のエクスポート標準。NPBの出力形式として対応製品あり |
| TAP(Test Access Point) | 物理タップの業界慣行仕様。IEC等で標準化が進む |