ネットワークが安定稼働している状態は、利用者にとっては「当たり前」です。しかしその裏側では、ネットワーク管理者が絶えずシステムの脈拍や呼吸を監視し、異常の兆候を早期に発見し、問題発生時には迅速な診断と治療を行う、まるで「ITインフラのお医者さん」のような活動をしています。
本記事では、このネットワーク管理の核心となる「監視」「障害対応」「性能分析」、そして「セキュリティ対応」という4つの重要な技術に焦点を当てて徹底解説します。単なるツールの紹介ではなく、収集した情報をどう解釈し、次のアクションにどう繋げるかという思考プロセスを深掘りします。
ネスペ午後試験で頻出する障害対応問題は、まさにこのネットワーク管理者の思考を追体験させるもの。本記事でプロの技術を学び、どんなトラブルにも動じない対応力を身につけましょう。
目次
ネットワークの監視│安定稼働と異常の早期発見
ネットワーク管理の基本であり、最も重要な活動が日々の「監視」です。監視の目的は、ネットワークが正常に稼働していることを継続的に確認すると同時に、障害や性能劣化の予兆といった「異常」をいち早く検知することにあります。これにより、問題が深刻化する前に対応する、プロアクティブな管理が実現できます。
監視の種類:何をどう見るか?
ネットワーク監視は、その目的によっていくつかの種類に分けられます。これらを組み合わせて、多角的にネットワークの状態を把握します。
【身近な例え】
人間ドックで、身長・体重(リソース)だけでなく、血圧(トラフィック)や心電図(死活)など、様々な側面から健康状態をチェックするのと同じです。
| 監視の種類 | 内容 | 検知できる異常の例 |
|---|---|---|
| 死活監視 | Pingなどを用いて、機器がネットワーク上で応答を返すか(生きているか)を定期的に確認する。 | 機器のハングアップ、電源断、ネットワークケーブルの切断。 |
| リソース監視 | SNMPなどを用いて、ルーターやスイッチ自身のCPU使用率やメモリ使用率を監視する。 | 機器の性能限界、特定のプロセスによる高負荷状態。 |
| トラフィック監視 | インターフェースを通過する通信量(トラフィック量)を監視し、通信の詰まり(輻輳)がないかを確認する。 | 帯域幅の不足、異常なトラフィック(ウイルス活動など)の発生。 |
| ログ監視 | 機器が出力するSyslogを収集し、特定のキーワード("Error", "Down"など)が含まれていないかを監視する。 | 設定変更の失敗、不正アクセスの試み、冗長機能の切り替わり。 |
閾値(しきい値)設定の重要性
監視ツールが自動で異常を検知するためには、「どこからが異常か」という基準、すなわち「閾値」を設定する必要があります。
【仕事例】
例えば、あるルーターのCPU使用率に対して、「平常時は20%程度だが、80%を5分間継続して超えた場合は異常とみなし、管理者にアラートメールを送信する」といった設定を行います。閾値が低すぎると、正常な状態でもアラートが多発する「アラート疲れ」を引き起こし、本当に重要な警告を見逃す原因になります。逆に高すぎると、異常の発見が遅れてしまいます。
そのため、平常時の状態(ベースライン)を十分に把握した上で、ビジネスの重要度に応じて適切な閾値を設定・チューニングしていくことが、効果的な監視システムの鍵となります。
障害の分析と復旧│迅速な原因特定と切り分けの手順
監視によって異常が検知された、あるいは利用者から「ネットワークに繋がらない」といった申告があった場合、ネットワーク管理者は迅速に「障害対応」を開始する必要があります。ここでの目標は、被害を最小限に抑え、根本原因を特定し、システムを正常な状態に復旧させることです。
障害対応の心構えと初動
障害発生時は、冷静に行動することが最も重要です。慌てて場当たり的な対応をすると、かえって事態を悪化させる可能性があります。
- 初動の3ステップ:
- 事象の確認:何が起きているのかを正確に把握する。「繋がらない」のは特定のユーザーか、全員か?いつからか?
- 影響範囲の特定:この障害が、どのシステム、どの利用者に影響を及ぼしているかを切り分ける。
- 関係者への報告:影響範囲と現状を、関係者(上司、利用者、関連部署など)へ第一報として連絡する。
切り分けの基本:OSI参照モデルに基づく思考法
原因を特定する上で最も基本的かつ強力な手法が、「OSI参照モデル」の階層に基づいた切り分けです。問題がどの層で起きているかを特定することで、調査範囲を効率的に絞り込むことができます。
【仕事例】「特定のWebサーバーに繋がらない」という申告があった場合の切り分けフロー
| 階層 | 切り分けアクション | このアクションで分かること |
|---|---|---|
| 物理層 | PCやサーバー、スイッチのリンクランプが点灯しているか?ケーブルは抜けていないか? | 物理的な接続に問題があるかどうかが分かる。 |
| データリンク層 | PCでarp -aコマンドを実行し、ゲートウェイのMACアドレスが見えるか? |
同じLAN(セグメント)内で通信できているかが分かる。 |
| ネットワーク層 | pingコマンドを、①ゲートウェイ、②宛先サーバーの順に実行する。 |
ルーティングに問題があるか、Firewallでブロックされていないかが分かる。 |
| トランスポート層以上 | telnet [サーバーIP] 80を実行し、ポートが開いているか確認する。 |
サーバーのWebサービス自体が停止していないか、ポート単位のACLで止められていないかが分かる。 |
低い層から順番に確認していくのがセオリー
ARP(Address Resolution Protocol)
・IPアドレスに対応するMACアドレスを解決する仕組み。
・OSI階層:L2とL3の橋渡し。
・特徴:ブロードキャストで問い合わせ、結果をARPテーブルにキャッシュして効率化。通信の前提となる基本プロトコル。
ping(ICMP Echo)
・相手ホストがネットワーク的に到達可能か確認するテストツール。
・OSI階層:L3(ネットワーク層)。
・特徴:ICMPを使用し、疎通可否や応答時間(RTT)、パケットロスを確認できる。セキュリティ上ブロックされる場合もある。
Telnet
・リモート機器へ文字ベースで接続し操作するアプリ層プロトコル。
・OSI階層:L7(アプリケーション層)。
・特徴:TCP/23を使用(暗号化なし)。ネットワーク機器の設定やポート疎通確認に使えるが、現在はSSHが推奨。
比較表
| プロトコル/コマンド | OSI階層 | 役割 | 使用プロトコル/ポート | 用途 |
|---|---|---|---|---|
| ARP | L2↔L3 | IP→MAC解決 | ARPフレーム | 初回通信前のMAC特定 |
| ping | L3 | 到達確認 | ICMP | 疎通テスト、遅延確認 |
| Telnet | L7 | リモート操作 | TCP/23 | 機器設定、ポート疎通確認 |
補足:トラブルシュートでは「ARPでMAC解決 → pingで到達確認 → Telnetでアプリ層確認」の順に進めると切り分けがスムーズ。
このように、低いレイヤーから一つひとつ問題がないことを確認していくことで、原因箇所を論理的に特定できます。根本原因を特定・修正し、システムが正常に稼働することを確認したら、関係者へ最終報告を行い、障害対応は完了となります。そして、なぜその障害が起きたのかを分析し、再発防止策を講じることが、将来の安定稼働に繋がるのです。
システム性能の分析│ボトルネックの発見と改善
障害には至っていないものの、「なんだか最近ネットワークが遅い気がする」といった性能の劣化は、利用者の満足度や生産性に直結する深刻な問題です。システム性能の分析とは、収集した監視データを元に、ネットワークのどこが「詰まっている」のか、すなわちボトルネックを発見し、改善に繋げる活動です。
ベースラインの重要性
性能分析の第一歩は、「平常時」の状態を正しく把握することです。この平常時の性能指標を「ベースライン」と呼びます。
【身近な例え】
自分の「平熱」を知っているからこそ、熱が出た時に「体調が悪い」と判断できますよね。ネットワークも同じで、平常時のトラフィック量やCPU使用率(=平熱)を知らなければ、現在の状態が「遅い(熱が出ている)」のかどうかを客観的に判断できません。
監視ツールを使い、通常業務が行われている期間(例:平日午前、午後)の各種データを収集・平均化し、「我々のネットワークの平熱はこれくらいだ」という基準を定めておきます。
ボトルネックの特定と改善アプローチ
ベースラインと比較して明らかに性能が劣化している場合、監視データを複合的に分析してボトルネックとなっている箇所を特定します。
【仕事例】「全社的にWeb会議の品質が悪い」という問題の分析
-
- データ収集:
- インターネットゲートウェイのルーターのトラフィック量を分析。→ 日中の特定の時間帯に、常に契約帯域の上限に達していることが判明(ベースラインとの乖離)。
- 同ルーターのCPU使用率を分析。→ こちらは常に20%以下で推移しており、問題は見られない。
- NetFlowなどのツールでトラフィックの内訳を分析。→ 特定の部署からの動画サイトへのアクセスが、帯域の40%を占めていることが判明。
- ボトルネックの特定:
以上の分析から、「ルーターの処理性能ではなく、インターネット回線の帯域不足がボトルネックである」と結論付けられます。 - 改善策の提案:
特定した原因に基づき、「①インターネット回線の増強」「②特定の通信(Web会議など)を優先させるQoSの導入」「③業務外通信を制限するURLフィルターの導入」といった複数の改善策を立案し、費用対効果を評価して最適なものを提案します。
- データ収集:
ol>
このように、感覚的な「遅い」を客観的なデータで裏付け、論理的に原因を特定して改善に繋げるのが、プロの性能分析です。
セキュリティ侵害の分析と対応│インシデントレスポンス
ネットワーク管理における最も緊急性が高く、かつ冷静な対応が求められるのが、ウイルス感染や不正アクセスといった「セキュリティインシデント」への対応です。この一連の対応プロセスを「インシデントレスポンス」と呼び、その目的は、被害の拡大を迅速に食い止め、原因を分析して再発を防止することにあります。
インシデントレスポンスの流れ
【身近な例え】
これは、火災発生時の消防活動に似ています。まず火災報知器が鳴り(検知)、消防隊が駆けつけて延焼を防ぎ(初動対応)、鎮火後に消防署が火事の原因を調査して再発防止を呼びかける(原因分析と恒久対策)、という流れと同じです。
| フェーズ | 主な活動内容 |
|---|---|
| 1. 検知 | IDS/IPS(不正侵入検知/防御システム)からのアラート、Firewallでの不審な通信のブロックログ、ウイルス対策ソフトの警告などから、インシデントの発生を認知する。 |
| 2. 初動対応(封じ込め) | 被害の拡大を防ぐことが最優先。ウイルス感染が疑われるPCをLANケーブルから抜線し、ネットワークから物理的に隔離する。影響範囲を特定し、関係者へ速やかに報告する。 |
| 3. 原因分析 | 隔離した機器の保全(証拠保全)を行った上で、ログや通信履歴(パケットキャプチャ)を分析し、「いつ」「どこから」「どのように」侵入されたのか、侵入経路と原因を特定する。 |
| 4. 恒久対策と復旧 | 特定した原因を取り除くための恒久対策を講じる。(例:脆弱性があったソフトウェアにパッチを適用する、Firewallのルールを強化する)。安全が確認された後、システムを復旧させる。 |
【仕事例】マルウェア感染PCへの対応
「あるPCがマルウェアに感染し、外部の不審なサーバー(C&Cサーバー)と通信している」とIDSが検知した場合、ネットワーク管理者は以下のように対応します。
-
-
- 初動:該当PCの利用者に連絡を取り、即座にLANケーブルを抜いてもらう。これにより、マルウェアが他のPCへ感染を広げたり、内部情報を外部へ送信したりするのを防ぐ。
- 分析:Firewallやプロキシのログを調査し、そのPCが他にどのサーバーと通信していたか、いつからその通信が始まっていたかを特定する。
- 対策:原因が「Javaの古いバージョンを放置していたことによる脆弱性」だと判明した場合、全社PCのJavaバージョンをチェックし、最新版へアップデートするよう指示を出す。
-
インシデント対応は、技術的な知識だけでなく、関係者を巻き込みながら冷静にプロセスを進める管理能力も問われます。事前に対応手順を文書化し、定期的に訓練を行っておくことが、いざという時の迅速な行動に繋がるのです。
まとめ
今回は、ネットワークの「当たり前」を支える管理技術として、「監視」「障害対応」「性能分析」「セキュリティ対応」の4つの柱を解説しました。
-
-
- ネットワークの監視:システムの健康状態を常に把握し、異常の兆候を掴む。
- 障害の分析と復旧:論理的な切り分けで、迅速に原因を特定し復旧させる。
- システム性能の分析:データに基づき、体感的な「遅さ」の根本原因を暴く。
- セキュリティ侵害への対応:被害を最小化し、再発を防止するプロセスを確立する。
-
これらの管理活動は、単に目の前の問題に対処するだけでなく、収集したデータや対応履歴を分析することで、ネットワーク全体の弱点を発見し、より堅牢なシステムへと改善していくための重要なインプットとなります。この改善活動こそが、次の「評価」フェーズへと繋がっていきます。
次回、連載第6回では、ネットワークシステム全体を客観的に評価し、改善提案を行う「ネットワークシステムの評価」フェーズについて解説します。