トラフィックミラーリング とらふぃっくみらーりんぐ
パケットキャプチャネットワーク監視セキュリティ分析VPCIDS/IPSパケットコピー
トラフィックミラーリングについて教えて
簡単に言うとこんな感じ!
ネットワークを流れるデータを「こっそりコピーして別の場所で検査する」仕組みだよ。本物の通信は止めずに、その複製を監視ツールに流すイメージ。お店の防犯カメラみたいなものだね!
トラフィックミラーリングとは
トラフィックミラーリングとは、ネットワーク上を流れる通信パケット(データの塊)をリアルタイムにコピーして、別のシステムや分析ツールに送り届ける技術です。元の通信をまったく妨げることなく、その「複製」を使って監視・分析・記録が行えるのが最大の特徴です。
クラウド環境(特にAWSのVPCトラフィックミラーリングやAzureのネットワーク監視機能)では、仮想マシンやコンテナ間の通信をコピーして、セキュリティアプライアンス(不正検知システムなど)に転送するために広く使われています。オンプレミスのスイッチで言う「SPANポート(ミラーポート)」のクラウド版と考えるとわかりやすいでしょう。
企業のシステム担当者にとっては、「何か怪しいことが起きていないか常に見張っておく仕組み」として、セキュリティ強化や障害調査のうえで非常に重要な役割を果たします。特にコンプライアンス要件や監査対応が求められる業種では、この仕組みが「証拠保全」の手段としても活用されます。
トラフィックミラーリングの仕組みと構成要素
トラフィックミラーリングは大きく3つの要素で成り立っています。
| 構成要素 | 役割 | 具体例 |
|---|---|---|
| ミラーソース | コピー元。監視対象の通信が流れるインターフェース | EC2インスタンスのENI(仮想NIC) |
| ミラーターゲット | コピー先。受け取った複製パケットを分析するシステム | IDS/IPS、パケットキャプチャサーバー |
| ミラーフィルター | コピーするパケットの条件を絞る | 「ポート443のHTTPSのみ」「特定IPのみ」 |
動作フローのイメージ
通常の通信(本物)
[クライアント] ──────────────→ [サーバー]
↓
パケットをコピー(元は止めない)
↓
[ミラーターゲット(分析ツール)]
↑ここで検査・記録覚え方:「お店の防犯カメラ」
「お客さん(通信)の流れを止めずに、カメラ(ミラーターゲット)が記録している」
本物のお客さんの動きは邪魔しない。でも全部ちゃんと録画されている――これがミラーリングの本質です。
ミラーリング方式の分類
| 方式 | 説明 | 主な利用場面 |
|---|---|---|
| ポートミラーリング(SPAN) | 物理/仮想スイッチのポートでコピー | オンプレミス・仮想スイッチ |
| VPCトラフィックミラーリング | クラウドの仮想NIC単位でコピー | AWS VPC環境 |
| TAP(Test Access Point) | 物理的に光ファイバーや銅線に割り込んでコピー | 大規模データセンター |
| エージェントベース | OS上のソフトウェアでパケットをコピー | エンドポイント監視 |
歴史と背景
- 1990年代後半:物理スイッチの「SPANポート」機能として登場。ネットワーク管理者が障害調査のためにパケットをキャプチャする手段として普及
- 2000年代:IDS(侵入検知システム)の普及に伴い、ミラーリングを使ってリアルタイム脅威検知を行う構成が定番化
- 2010年代前半:仮想化環境(VMwareなど)でも仮想スイッチ上のミラーリング機能が実装され、オンプレ仮想環境へ対応
- 2019年:AWSがVPC Traffic Mirroringを正式リリース。クラウドネイティブな環境でも手軽にパケット監視が可能になり注目を集める
- 2020年代:ゼロトラストセキュリティの文脈で「常時監視」の重要性が増し、クラウド・オンプレ問わずミラーリングの導入が加速
オンプレミスとクラウドのミラーリング比較
主なユースケース比較
| ユースケース | 詳細 |
|---|---|
| セキュリティ監視(IDS/IPS) | ミラーコピーを不正検知エンジンに流して脅威を検出。本番通信には影響なし |
| 障害・パフォーマンス調査 | WiresharkなどでキャプチャしてTCPの遅延・エラーを特定 |
| コンプライアンス対応 | 金融・医療などで「通信ログ保全義務」を果たすためのパケット記録 |
| アプリケーション分析 | どのAPIがどれだけ呼ばれているか可視化してボトルネック発見 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| IEEE 802.1Q | VLANタグ。ミラーリングトラフィックの分離に関連 |
| RFC 7011 | IPFIX(パケットフロー情報のエクスポート形式) |
| AWS VPC Traffic Mirroring | AWSの公式機能仕様(2019年〜) |
| GRE(RFC 2784) | ミラーコピーをトンネルで転送する際に使われるプロトコル |
関連用語
- VPC(仮想プライベートクラウド) — クラウド上に作る自分専用のプライベートネットワーク空間
- IDS/IPS — 不正アクセスを検知・遮断するセキュリティシステム。ミラーリングのターゲットとしてよく使われる
- パケットキャプチャ — ネットワークを流れるパケットを記録・分析する手法
- SPANポート — 物理スイッチのミラーリング機能。クラウドミラーリングの前身
- ゼロトラストセキュリティ — 「すべての通信を疑う」前提のセキュリティモデル。常時監視にミラーリングが活用される
- ENI(Elastic Network Interface) — AWSの仮想NIC。VPCトラフィックミラーリングのソース設定単位