世界最高水準のログ取得精度を誇るパケットキャプチャー型
ログ監視ツール・コンテンツウォッチャーをオススメする５つの理由

パケットキャプチャー型システムはサーバ負担ゼロ

そもそもファイルサーバのログを取る際にはどのような仕組みがあるのでしょうか。
大きく分類しますと、以下の３つの手法が主に考えられます。

1. サーバにプログラムやアプリケーションを導入し、定期的にログを排出する方法
2. サーバに埋め込んだスクリプトに対し、外部からの命令によってログを排出させる方法
3. サーバを外部からモニタリングし、取得したサーバ情報をログとして再整形し、利用する方法

｢α｣と｢β｣では、サーバ中にプログラムやスクリプトが常駐し、ログ取得の役割を果たしています。
正確なログが取れるでしょうし、これ自体は問題ありません。中に入ってイベントログ等を拾って来るのですから当然のこととも言えます。
しかしながら、既にお気付きの方もいらっしゃるかとは存じますが、サーバ内にプログラムを常駐させるという事が、大変な負荷をサーバにかけてしまう原因に繋がるという事実を皆様はご存知でしたでしょうか？

ファイルサーバには常に複数のユーザーがアクセスして来ます。即ち、複数のユーザーが異なる命令をサーバに対して要求する、という事を意味します。サーバに複数の命令処理をさせる場合、特に内部のログを拾って別のサーバに送るという様な場合には、サーバによっては大きな負荷がかかり、アクセス速度が半分以下になってしまうケースもあります。本来サーバは、マルチタスクで並列処理が出来ることが大きな特徴ではありますが、サーバアクセスが増えれば増えるほど、必然的に処理速度は低下していきます。またこうしたサーバーへの負荷によって、サーバー稼動時間が遅くなる可能性もあります。

弊社製品・コンテンツウォッチャーは、外部からログを監視する｢パケットキャプチャー型｣ログ監視方式を採用していますので、サーバへの負担がほとんどかかりません。

コストパフォーマンスの健常化とシステムリスクの縮小化

ウイルスプログラムがパソコンに侵入し、
｢パソコンが遅くなったなぁ…｣と感じたことはありませんか？

弊社はもともとDTPを扱っている企業様や印刷会社様といった、ファイルサーバ上の大容量データを２４時間３交代制で利用し続ける様な企業様とお付き合いしてきました。弊社代表は15年以上にも渡って、こうした企業様を裏で支えてきたネットワーク・スペシャリストであり、ファイルサーバアプリケーション導入のための検証や研究を続けてきましたから、こうしたエージェント型ログ監視ツールが危険すぎるという事を嫌というほど知っています。弊社代表は以前このように語りました。

エージェント型の製品でログを取るというのはウイルスプログラムを入れるのと同じことだよ。
真面目にファイルサーバを利用する企業ならまず導入はしないでしょう』
『だって、仮に10人の社員が本来は1時間でできる筈の仕事を1時間半かかったとするよ?
これを1日に換算すれば、8時間労働7時間勤務の場合なら1人当たり210分のロス。それが10人で2100分。稼動20日で4200分。
4200分は70時間で時給2000円だとしたら、なんと月間14万円、年間168万円のロスになるんだよ。
中古のプリウスが買えちゃうよ。まともな経営者だったらそこまで直ぐに判断付くもの…

単純な経済面だけではありません。エージェントが常駐している事が原因となり、サーバに障害や故障が起きた場合、サポートが困難になる可能性もあります。弊社の取扱い製品に、HELIOSという大変堅牢で、大規模印刷会社様では、もはやデファクトスタンダードとなるほどのハイエンド向けファイルサーバ・ソフトウェアがありますが、この製品でもシステム障害やサーバ自体の故障等により問題が起きる場合があります。
その際、一体どこが原因でどのようにサーバ障害が起きているのかを早急に感知しなければ、サーバの復旧を行うことができません。

またファイルサーバは通常止める事が出来ないものですし、万が一停止してしまった場合には損害賠償になるかもしれない程、クリティカルなサービスでもあります。サーバ内に何らかのエージェントを入れ、しかも常駐させていた場合、複雑に絡み合った障害原因を取り除く手間が増えるばかりか、損害賠償の矛先がログ監視システムそのものに及ぶ事も懸念されるのです。

その反面、弊社製品のコンテンツウォッチャーは、HUB(ハブ)というLAN(ラン)の接続点での｢ポートミラーリング｣機能を利用して、ファイルサーバに接続されたポートに流れ込む総ての情報から複製されたもう1つの情報を受け取る、｢パケットキャプチャー型｣ログ監視方式を採用しています。要はHUBに差すだけの簡単な設置ですから、ログ監視システム自体がとてもシンプルです。

「情報漏えい抑止」によるワークフローの最適化

2007年の9月に日本版SOX法とも呼ばれる｢改正・金融商品取引法｣が成立した事により、企業内部の｢内部統制｣をきちんと法整備する事が求められてきました。しかしながら、これを殊更厳しい社内の統制に利用しようとする事によって、内部統制は強化されても社内の雰囲気が悪くなるという事が指摘されています。

例えば、エージェント導入型で｢不正侵入をブロック!!｣といった見出しで販売されている製品がありますが、これらは次のような｢内部統制の呪縛｣という新たな問題の社会現象を生むこととなってしまっています。

• 社内の連絡事項でも全て監視され、1本のEメールを送るのにも上司の許可無くして送れない
• ウェブなど全てのログが取られ、しかもその情報が社長にまで届いてしまうので大変窮屈な環境になった
• 社内のコンテンツに触れることができないのは良いが、｢誰が｣｢いつ｣｢どのデータにアクセスできない｣様にするか、その認可だけでも大変な労力が掛かってしまう

ログ監視・解析製品におけるファイルサーバを除いた分野では、やはりこうした問題点をクリアに出来る製品が売上の大半を占めています。つまり情報の流れをストップさせる｢情報漏えい禁止｣よりも｢情報漏えい抑止｣という発想で、問題が起こった際は直ちに管理者が対処出来る製品が市場のニーズである、という事なのです。情報の流れをいちいち止められてしまっては、仕事のスピードは落ち、ネットワークトラフィックが遅くなるばかりか、様々な問題点が浮上してくる事でしょう。実際の業務・実務に携わっている皆さんの心労は如何ばかりかと思われます。

とはいえPマークやISMS、日本版SOX法などでは、ファイルサーバのログがきちんと監視出来ていなければならず、正確なログデータの作成が求められます。従来、情報精度が低いとされてきたパケットキャプチャー型ログ監視ツールとコンテンツウォッチャーが如何に違うのか、ご説明致します。

ネットワーク帯域に負荷のかからないパケットキャプチャー型システム

まず、パケットとはIT用語事典によると以下のような意味を持っています。

IT用語事典より

パケットとは、コンピュータ通信において、送信先のアドレスなどの制御情報を付加されたデータの小さなまとまりのこと。データをパケットに分割して送受信する通信方式をパケット通信と呼ぶ。データを多数のパケットに分割して送受信することにより、ある2地点間の通信に途中の回線が占有されることがなくなり、通信回線を効率良く利用することができる。また、柔軟に経路選択が行なえるため、一部に障害が出ても他の回線で代替できるという利点もある。

つまり映画｢マトリックス｣の様に、昔のマシン語さながらの｢01011101…｣の世界でLAN上で情報がやり取りされているのです。パケットは、それを1つ取り出したとしても意味をなさない位に、細分化されてしまっているのですが、このパケット方式で情報が流れているからこそネットワークが高速化したのです。このパケットを全て集めてひとつひとつを元の意味ある文章に生成し直す事で、パケットキャプチャー型のログ監視システムはログを取得しています。

コンテンツウォチャーはこのようにして、ファイルサーバに対し流れてくる全ての情報を集めて、｢誰が｣｢いつ｣｢どのファイルを｣｢どう操作した｣というようにログ化している製品なのです。しかしながらファイルサーバに流れるログと全く同じものを取っているとはいえ、そのログをきちんと正確に取得出来ているという確証はあったのでしょうか？

— いいえ、初めのうちは精度が得られていませんでした。
それでは実際にログとして現れなかった項目の操作が情報漏えいの要のログであったりしたらどうするのでしょう?それこそ大問題になってしまいますね。あるパケットキャプチャー型の製品ではパケット取得率が80％前後では無いかと思われる記述すらあるのですが、その程度の精度では到底市場に出す訳には行きません。この１番の理由は、"AFP"にありました。これまでどの企業においても、Apple独自の通信規格をログ化する製品を作る事は極めて困難だったのです。

Mac対応のファイルサーバ・ログ監視ツールは｢コンテンツウォッチャー｣だけ

出来るだけ負荷がかからず、パケットキャプチャー精度が限りなく100％のものを作ろう｣というスローガンの下、弊社は多くの時間をかけて開発を進めて来ました。"AFP"を解析するため、数限りない手法を研究し、精度を高めて参りました。失敗も数多くありました。1年以上の歳月を費やしてもなかなか精度が上がらず、2ヶ月も無駄に時間が過ぎてしまった事もありました。

そのかいあって、ログ解析および取得アルゴリズムで国際特許認定を受けることができ、世界最高精度のパケットキャプチャー型のログ監視製品の開発を完了することができました。これも偏に、必要とされる皆様からの期待の声に何度も励まされたおかげです。本当に有り難うございました。

サーバに負荷が掛からず、導入がよりシンプルで、ログ取得精度の高い製品として、コンテンツウォッチャーは更なる精度へ、更なる高機能へと歩んで参ります。また、この成果は日経産業新聞等でも大きく取り上げて頂きました。ある大企業様で大規模検証にご協力頂き、キャプチャー精度の確認では、弊社検証通りの結果が得られております。

現在では印刷業界様やデザイン会社様、多くの大企業様にも導入が進んで来ております。また 2006年8月の発売以来、パケットキャプチャー型のログ監視製品を切望していた企業様から、更に数多くのご相談も頂いております。特にWindowsとMacとの混在環境や、NASサーバを利用している企業様にとっては、｢コンテンツウォッチャー｣は最も導入しやすい製品として、多くのご用命を頂く様になりました。
弊社製品｢コンテンツウォッチャー｣は、これからもパケットキャプチャー型ログ監視ツールのデファクトスタンダードとなるべく、更なる開発に邁進して参ります。