クラウドの中身を“観る力“|WiresharkからStratosharkまで、Sysdigが紡ぐOSSの軌跡と未来
本記事は、全6回の連載「クラウドの中を“観る力”」の第2回です。
この連載では、可視化という観点からOSSの進化をたどりながら、クラウドネイティブ時代における観測・セキュリティの在り方を読み解いていきます。
第1回: Sysdigのルーツ|“Wireshark for the Cloud”が目指す未来
第2回: EtherealとWinPCAP|クラウド可視化を切り拓く技術の出発点 ← 本記事
第3回: Wiresharkが育てたコミュニティ|“Shark”たちの文化が生んだ継承力
第4回: Sysdig OSSが可視化したコンテナの“中身”|System Callが開いた世界
第5回: Falcoが変えた“検知”の常識|振る舞いベースで守るOSSセキュリティ
第6回: Stratosharkと新コミュニティの爆誕|OSSが切り拓くクラウドセキュリティの次章
本稿では、パケット可視化という観点からOSSの「出発点」となった2つの技術──EtherealとWinPCAPにフォーカスします。SysdigやFalcoといった“次世代の可視化”へと続く道は、実は1990年代後半、ネットワーク観測の黎明期から始まっていたのです。
Wiresharkの前身であるEthereal、そしてWindowsにパケット可視化の力をもたらしたWinPCAP。Sysdig創業者の一人であるLoris Degioanniは、どのようにこれらの開発に関わり、何を課題と捉え、どんな思想でその限界を超えようとしたのか。OSSに根差した“見る力”の原点を紐解く第2回。
はじめに:クラウド可視化の“起源”をたどる
クラウドの中身が「見える」──前回の記事では、この思想の出発点にあるSysdigの誕生と、System Callベースでアプリケーションの内側を観測するという技術的アプローチについて紹介しました。その根底には、もっと根源的な「観察」の欲求が存在します。私たちはなぜ“中身”を見たいのか? そして、なぜ可視化はOSSによって推進されてきたのか?
今回の主役は、現代のクラウドネイティブセキュリティ文化を築いたふたつのツール──Ethereal(イーサリアル)とWinPCAP(ウィンピーキャップ)です。これらはネットワーク観測に革命をもたらしただけでなく、その後のSysdig、Falco、Stratosharkなどの誕生に直接的な影響を与えた“技術の出発点”でもあります。
1998年──GUIパケットキャプチャの夜明け「Ethereal」
1998年、ネットワーク可視化の世界に革新をもたらしたツールが誕生します。それが、当時StillSecureに勤めていたGerald Combs(ジェラルド・コムズ)によって開発された、GUIベースのパケットキャプチャツール「Ethereal」です。それまでネットワークトラブルを分析するには、商用の高額なソリューション(Sniffer Proなど)を使うか、UNIX上でCLIベースのtcpdumpのようなツールを駆使するしかありませんでした。Etherealの登場により、ネットワークトラフィックをGUIで視覚的に解析できる時代が幕を開けたのです。
.png)
📌Etherealの技術的な特徴
- GTK+ベースのGUI(Linux/X11環境に対応)
- libpcapを利用したパケットキャプチャ
- TCP/UDPレイヤの再構築、セッション自動分離
- 数十種類のプロトコルの解析に対応
- 高速フィルタ、カラールール、ツリー構造ビュー
- クロスプラットフォーム(Linux/UNIX/Windows)
- CLIに慣れたUNIXエンジニアだけでなく、Windowsユーザーやネットワーク初学者にも使いやすいUI設計で、教育・商用問わず爆発的に広まりました。
$ sudo ethereal
と起動すれば、ネットワーク上を流れるパケットの中身がカラーで一覧表示され、フィルタ一発でHTTPやDNSなども分類できる。この革命的体験が、多くのネットワークエンジニアを魅了したのです。この使いやすさと柔軟性は、多くのネットワークエンジニアに歓迎され、瞬く間にEtherealはネットワークトラブルシューティングのデファクトスタンダードとなりました。
しかし、Etherealの利用を拡大するうえで最大の壁がありました。それは「Windows上での動作制限」です。
Windowsで“見る力”を──WinPCAPの登場
Etherealが成功を収める一方で、Windowsユーザーにとってネットワーク観測は依然としてハードルが高いものでした。Linuxではlibpcapが標準的に使えたものの、Windowsにはそれに相当する仕組みが存在しなかったのです。この壁を乗り越えるために登場したのが、WinPCAP(Windows Packet Capture)です。このプロジェクトを主導したのが、イタリアのトリノ工科大学で研究していたLoris Degioanni(ロリス・デジオアンニ)です。のちにSysdigやFalcoを生み出す彼の原点が、ここにありました。
.png)
WinPCAPは、Windowsカーネル内のNDISドライバにフックをかけ、ユーザーモードと連携することで、libpcapと互換性のあるAPIを提供するという仕組みを実現しました。
📌 WinPCAPの主な機能
- Windowsカーネルレベルでのパケット取得(ネットワークドライバ層からパケット取得)
- Promiscuousモード対応(無差別モード)
- タイムスタンプ付きでのキャプチャ(精密な時系列解析が可能)
- バッファリングによる効率的なパケット収集
- libpcap互換APIでクロスプラットフォーム開発が容易(UNIX/Linuxアプリケーションの移植性を確保)
▶ WinPCAP公式アーカイブ: WinPcap - Home
▶ npcap(WinPCAPの後継プロジェクト): Npcap: Windows Packet Capture Library & Driver
WinPCAPの登場により、EtherealはLinuxだけでなくWindowsでも実用的なツールとなり、ユーザーベースを一気に拡大します。そして、WinPCAPとEtherealは運命的な“統合”へと向かっていきます。
「見る技術」をOSSで支える哲学
ここで重要なのは、EtherealやWinPCAPがただの便利なツールとしてではなく、“OSSであること”がユーザー体験の中心にあった点です。
- 誰でもソースコードを見て改良できる
- 新しいプロトコルを自分で追加できる
- 学習教材としても活用できる
このような思想が、今日のKubernetesやPrometheusといったクラウドネイティブOSSと共通していることは言うまでもありません。OSSであるがゆえに、Etherealには以下のような文化が根付いていきました。
| OSS文化の価値 | 具体例 |
|---|---|
| 自由な改変と拡張性(コントリビューション) | Wiresharkのプロトコルディセクタ追加 |
| 教育機関での採用(学術連携) | セキュリティ教育やトラブルシュート研修 |
| 世界中の開発者との連携(多言語対応) | SharkFestの開催、パッチ提供など技術共有 |
この「可視化はOSSであるべき」という思想は、後に登場するSysdig、Falco、Stratosharkにも明確に受け継がれていきます。
EtherealからWiresharkへ──進化と継承
2006年、商標上の理由から「Ethereal」は「Wireshark」へと名称変更されます。ただし、開発チーム・プロジェクト構造・OSS文化はそのまま引き継がれました。これにより、“Ethereal精神”は絶えることなく継続された”と言えるでしょう。
Wiresharkの進化年表
| 年 | 進化 |
|---|---|
| 1998年 | Etherealリリース(GTK+ GUI) |
| 2000年代前半 | WinPCAPと連携しWindows対応拡大 |
| 2006年 | 商標問題でWiresharkへリネーム |
| 2010年 | SharkFest初開催。ユーザー会文化が定着 |
| 2020年以降 | GUIをQtに刷新。プロトコル数2,000以上の対応へ進化 |
▶ Wireshark公式:https://www.wireshark.org/
▶ Wireshark GitLab:https://gitlab.com/wireshark/wireshark
▶ SharkFest:https://sharkfest.wireshark.org/
Wiresharkは今や、企業でも教育現場でも活用されるグローバルなプロダクトへと成長しました。その根底には、「中身を“観る”という力はOSSで支えるべき」という精神が宿っています。
そしてSysdigへ──“パケット”から“System Call”の世界へ
ネットワーク層の可視化は、インフラの理解において強力な武器でした。しかし、時代はコンテナへ、そしてクラウドへとシフトしていきます。
ここで問題が発生します:
- パケットはTLSなどで暗号化され中身が見えない
- アプリケーションの振る舞いは通信だけでは見えない
- 仮想化・スケーラビリティにより観測対象が複雑化
この課題に対して、Loris Degioanniが選んだのが「System Callベースの可視化」でした。これにより、プロセスの起動・ファイルアクセス・権限変更・ネットワーク通信など、アプリケーションの“内側”の振る舞いをリアルタイムで観測可能にしたのです。その第一歩が「Sysdig OSS」、次に「Falco」、そして最新の「Stratoshark」へと繋がっていきます。
Sysdig、ジェラルドとWiresharkコミュニティを迎える
おわりに:観測技術の“出発点”としてのEtherealとWinPCAP
EtherealとWinPCAPの物語は、単なるツールの歴史ではありません。それは、「誰でも中身を見たい」という純粋な欲求が、いかにOSSによって技術として結実し、受け継がれていったかを物語る文化の系譜です。Loris Degioanniの挑戦も、Gerald Combsの信念も、その本質は“可視化の民主化”にあります。20年以上を経て、それらの精神はSysdigに引き継がれ、いま私たちの手元にあります。
次回は、その文化がどのようにコミュニティの中で育まれてきたのか──Wiresharkが築いた“観察者たち”のネットワークについて、掘り下げていきます。
次回予告|第3回:Wiresharkが育てたコミュニティ
――“Shark”たちの文化が生んだ継承力──
次回は、Wiresharkがなぜ20年以上も進化し続けることができたのか
それは、開発者だけではなく“観察者”たちのネットワークによって支えられてきたからです。
SharkFest、教育現場、企業ユーザー、学生ハッカソン……世界中に広がる「観測文化の継承力」に迫ります。
オープンソースセキュリティの新拠点「Sysdig Open Source Community」のご案内
Sysdigは、Falco、Wireshark、Stratoshark、sysdig OSSのユーザーをつなぐ、新たなグローバルコミュニティを開設しました。本コミュニティは、世界中のセキュリティ専門家や開発者が集い、協力し、成長するためのハブとなります。
技術的な情報交換はもちろん、専門スキルを証明する認定プログラム、求人掲示板、メンター制度、学生支援センターなど、キャリア形成に役立つ多様な機会を提供します。
