山田 英史氏 ディアイティ 技術部長
森 勝氏 サイバーソリューション ソリューション推進室
2拠点のトラフィックを突き合わせ
問題の時間帯のトラフィックは,最初にアウト側,つまり大阪支社のルーターからインターネットへの送信トラフィックが急増。その後で,イン側,つまりインターネットからルーターへの受信トラフィックが極端に増える傾向を示していた。B社の情報システム担当者は,この傾向が3日間とも変わらなかったため,大阪支社が外部と特定のデータをやり取りしているのだろうと推測した。
大阪支社は,インターネットVPNを経由して東京本社と業務データのやり取りをする機会が多い。そこで,東京本社側のインターネット接続用ルーターのトラフィックを示すグラフを見てみると,大阪支社のルーターとは全く逆の傾向を示していた。つまり,受信トラフィックが先に急増し,その後で送信トラフィックがピーク値を記録するという傾向があったのだ。さらに,名古屋支社のルーターのトラフィックも調べてみたが,こうした傾向は見られなかった。情報システム担当者は,大阪支社と東京本社の間でデータの送受信をしていると判断した。
|
|
図3 B社は,インターネット接続用ルーターに続いて,レイヤー3スイッチの各ポートごとのトラフィック傾向を調査することで,WANのトラフィック急増の原因がどの部署にあるかを特定できた ルーターと同じトラフィック傾向を示すポートがあれば,その配下にある部署に原因があると推察できる。結局,大阪支社と東京本社の両方の営業部の間で,共有ドキュメント・ファイルを保存したディレクトリを毎晩コピーし合っていたことが原因だと判明した。 |
スイッチのポートから場所を特定
B社の情報システム担当者は次に,大阪支社と東京本社の基幹LANに設置されたレイヤー3スイッチのトラフィック量を確認した(図3[拡大表示])。B社は,レイヤー3スイッチでVLANを設定し,各部署ごとに異なったネットワーク・セグメントを提供。レイヤー3スイッチのポート単位でセグメントを分けていた。トラフィック監視もポートごとに実施していたので,各部署のトラフィック量を把握することができた。
調査の結果,大阪と東京の双方の営業部が利用するポートが,インターネット接続用ルーターと同様のトラフィック傾向を示すことを発見した。さらに各営業部の担当者にヒアリングしたところ,営業部の共有ドキュメント・サーバーで扱うファイルを管理するために,複数のディレクトリを双方向でコピーしていることが分かった。
しかし平日20時といえば,営業部以外の部署も本社・支社間で業務データをやり取りしたり,Webサイトにアクセスする社員も多く残っている時間帯だ。B社の情報システム担当者は,ディレクトリをコピーする時間帯を変更してもらい,午前3時にタイマーを使って実施するよう,営業部に指導した。また,ディレクトリのミラーリング・ソフトウエアを導入し,更新のあった文書だけをコピーすることで,トラフィック量を低減してもらった。
