目次
OSIレイヤ2(データリンク層)とは?
OSIレイヤ2、データリンク・レイヤは、データをフレームにフレーミングし、エラーを検出して訂正し、ネットワーク・メディアへのアクセスを制御することにより、物理的なネットワーク・リンクを介してノード間のデータ転送を提供します。ローカル・ネットワーク・アドレッシングにMACアドレスを使用し、データの過負荷を防ぐフロー制御を行い、スイッチやネットワーク・インターフェース・カード(NIC)などの隣接するネットワーク・デバイス間の信頼性の高いデータ伝送を担当します。
このレイヤーの主な機能は以下の通り:
- フレーミング:データリンク・レイヤは、ネットワーク・レイヤ(レイヤ3)から受信したデータを、ローカル・ネットワーク・セグメントで伝送するためのデータの塊であるフレームにパッケージする。
- エラー検出と訂正:物理層上での伝送中に発生したエラーを検出し、場合によっては訂正するメカニズムを実装し、データの完全性を保証する。
- フロー制御:このレイヤーは、送信側が受信側を圧倒しないように、機器間のデータ転送速度を管理する。
- メディアアクセス制御(MAC):MACサブレイヤは、ネットワークデバイスが物理媒体にアクセスする方法を制御し、複数のデバイスが同時に送信しようとしたときの衝突を解決する責任を負う。
- 物理アドレス指定(MACアドレス):レイヤ2は、ネットワーク・インターフェース・カードに割り当てられた一意の識別子であるMACアドレスを使用して、ローカル・ネットワーク内の正しい宛先にフレームを誘導する。
データリンクレイヤーは、その多様な機能を管理するために、しばしば2つのサブレイヤーに分けられる:
- メディアアクセス制御(MAC):物理ネットワーク媒体へのアクセスを管理し、ローカルアドレス指定にMACアドレスを使用する。
- 論理リンク制御(LLC):エラー制御とフロー制御を処理し、OSIモデルの上位層と連動する。
OSIモデルにおけるレイヤー2の役割
レイヤ2は物理ハードウェアと上位プロトコルの橋渡しをする。物理層からの生のビットを、レイヤ3(ネットワーク層)で処理できる構造化フレームに変換する。これには、同じローカル・ネットワーク内のデバイスを識別するソースとデスティネーションのMACアドレスのアタッチも含まれます。
データリンク層のタスクの1つは、フレーム・チェック・シーケンス(FCS)のようなメカニズムを通じて、エラー検出とエラー処理を確実に行うことである。また、イーサネットのCSMA/CDやWi-FiのCSMA/CAなどのプロトコルを使用して物理媒体へのアクセスを管理し、デバイスがデータを送信できるタイミングを制御します。
レイヤ2は、デバイスが同じブロードキャスト・ドメイン内で通信することを可能にし、ローカル・エリア・ネットワーク(LAN)の運用に不可欠です。レイヤ3パケットをフレームにカプセル化することで、スイッチによる転送決定をサポートし、ネットワーク・セグメンテーションと仮想LAN(VLAN)の基礎を提供する。
データリンク層のコア機能
フレーミングとデータのカプセル化
レイヤ2では、上位から受信したデータをフレームと呼ばれる構造にパッケージ化する。このフレーミング・プロセスでは、生のデータ・ペイロードにヘッダとトレーラを追加し、アドレス指定、制御、エラー・チェックに必要な情報を提供します。各フレームは自己完結型のユニットであり、開始点と終了点を指定します。これは、ハードウェアがネットワーク・メディア上の個々のメッセージを区別し、有効な伝送をバックグラウンド・ノイズやエラーから分離するのに役立ちます。
データリンクレイヤーでのカプセル化もデータの境界を確立し、共有メディア上での信頼性の高い配信をサポートします。送信元アドレスと宛先アドレスは、フレームタイプ情報と共に、ネットワークデバイスがフレームを正しく処理または転送できることを保証する。
エラーの検出と修正
レイヤ2でのエラー検出は、通常、フレームトレーラに特別なコードやチェックサムを含めることによって処理され、ほとんどの場合、巡回冗長検査(CRC)などの方法を使用します。フレームが宛先に到着すると、受信デバイスはチェックサムを再計算し、トレーラーの値と比較します。
値が一致しない場合、フレームは破損していると識別され、フレームの廃棄や再送要求などのエラー処理手順が促される。基本的なエラー検出はレイヤ 2 で共通ですが、すべてのレイヤ 2 プロトコルが自動エラー訂正を実装しているわけではありません。
検出だけを行い、訂正は上位レイヤーや手作業に任せるものもある。また、ある種の無線プロトコルのように、信頼性を向上させるために、限定的な再送信や確認応答方式を取り入れるものもある。
流量制御と信頼性の高いデリバリー
レイヤ2のフロー制御メカニズムは、送信者と受信者の間でフレームが送信されるペースを調整する。フロー制御がなければ、高速な送信者が低速な受信者を圧倒し、フレームのドロップや非効率なネットワーク利用を引き起こす可能性があります。ほとんどのレイヤ2プロトコルは、ポーズ・フレーム(イーサネットの場合)やバッファ管理スキームなど、各エンドポイントで利用可能なリソースに基づいて送信を調整する技術でこれに対処しています。
信頼性の高い配信は、確認応答スキーム、再送戦略、または転送中のフレームのステータスを追跡する予約情報フィールドによってさらにサポートされます。これらの機能はTCPのような上位レイヤほど洗練されてはいませんが、レイヤ2のフロー制御と信頼性メカニズムにより、ローカル伝送段階でデータが無駄に失われたり重複したりすることはありません。
MACアドレスによるアドレス指定
物理アドレス指定はレイヤ2の機能であり、メディア・アクセス制御(MAC)アドレスの使用によって実現される。デバイス上の各ネットワーク・インターフェイスには一意のMACアドレスが割り当てられ、各フレームのヘッダーに含まれます。これにより、レイヤ2より上位に存在するIPアドレスやプロトコルに関係なく、データがローカルネットワーク上の正しい物理デバイスに配信されることが保証されます。
MACアドレスは、同じネットワークセグメント内でデバイス間の通信を可能にし、スイッチが転送を決定するための基本的なものです。フレームがネットワークを通過する際、各スイッチは宛先MACアドレスを検査し、フレームを転送するか、フィルタリングするか、ブロードキャストするかを決定します。
データリンク層のサブレイヤ
論理リンク制御(LLC)副層
IEEE 802.2 で定義された論理リンク制御(LLC)サブレイヤは、OSI モデルのレイヤ 2 と上位レイヤ間の通信を管理する。LLCは、コネクションのセットアップ、メンテナンス、ティアダウン、フレーミング、アドレッシング、オプションのエラーとフロー制御などのサービスを提供します。
このサブレイヤは、同じデータリンク上でプロトコルの多重化を処理する。これは、複数の上位プロトコルが競合することなく、単一の物理リンクを共有できることを意味する。LLCはまた、フレームのシーケンスと確認応答を管理し、ローカルセグメントに範囲を限定するものの、トランスポートプロトコルと同様のサービスを提供します。
フレームが正しく識別され、適切なレイヤ3プロトコルやアプリケーションサービスに配信されることを保証します。このように物理的なアクセスタスクから論理的な制御を分離することで、標準化されたスタック内での互換性を保ちながら、ハードウェアとソフトウェアが独立して進化することが可能になる。
メディアアクセス制御(MAC)サブレイヤ
メディアアクセス制御(MAC)サブレイヤは物理的なネットワークインフラに近いところで動作し、同じローカルネットワークセグメント上のデバイスが共有通信媒体にアクセスする方法を管理します。ハードウェア(MAC)アドレスの割り当てと認識を処理し、衝突回避と解決技術を実装し、メディアアクセスに関するルールを強制することでデータフローの整合性を保護します。
MACプロトコルはネットワークの種類によって異なり、CSMA/CD(carrier sense multiple access with collision detection)、トークンパッシング、ポーリング方式などがある。MACサブレイヤはまた、宛先MACアドレスに基づいてフレームをフィルタリングすることで、トラフィックを管理するのに役立ちます。
スイッチはMACアドレス・テーブルを使用して転送決定を行い、意図した受信者だけがデータを受信し、ブロードキャスト・ドメインが含まれるようにします。共有リソースの使用を取り締まり、一貫したアドレス標準を適用することで、MACサブレイヤは最新のネットワークにおける効率的なレイヤ2動作に不可欠です。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
専門家からのアドバイス
私の経験から、企業ネットワークにおけるOSIレイヤ2(データリンク・レイヤ)の安全性、最適化、トラブルシューティングを改善するためのヒントを紹介します:
- テーブルポイズニングを防ぐためにMACアドレスのレート制限を実装する:1つのポートが学習できるMACアドレスの数にしきい値を設定する。これにより、MACフラッディング攻撃を軽減し、不正なデバイスがスイッチリソースを使い果たすのを防ぎます。
- ARPの完全性を確保するために、DHCPスヌーピングと一緒にダイナミックARPインスペクション(DAI)を使用する:DHCPスヌーピングと一緒にDAIを有効にして、ARP応答を既知のDHCPバインディングと照合して検証する。これは、MACとIPのマッピングを動的に検証することで、ARPスプーフィングを阻止します。
- ルートブリッジの役割を明示的に構成して STP を強化する:デフォルトの STP 選択に頼らず、重要なコアスイッチがルートブリッジとして選択されるように、手動でブリッジの優先順位を割り当てる。これにより、攻撃者が優れた優先順位を主張して STP をハイジャックすることを防ぎます。
- ACLで無線と有線のネットワークを別々のVLANにセグメント:同じレイヤ2ドメインで有線と無線のクライアントを混在させないようにする。VLANセグメンテーションとレイヤ3アクセス・コントロール・リスト(ACL)を使用して、不要なクロストークを制限し、無線固有の脅威を抑制する。
- スティッキーMACと違反アクションによるポートセキュリティの有効化:信頼されたポートにスティッキーMACアドレス学習を使用し、違反レスポンス(シャットダウンまたは制限)を設定して、有効なエンドポイントになりすまそうとする不正なデバイスを即座にブロックする。
レイヤ2が他のOSIレイヤとどのように相互作用するか
レイヤ1(物理層)との関係
レイヤ2は、ネットワークの物理媒体(銅線、光ファイバー、無線電波など)上で構造化されていないビットを実際に伝送するために、レイヤ1(物理レイヤ)に依存します。物理レイヤーは、あるポイントから別のポイントへデータを送信するために必要な電圧、電流、変調、タイミングを処理し、レイヤー2はこのデータをコンテキスト、宛先、エラーチェックメカニズムを持つフレームに構造化します。
レイヤ2とレイヤ1の間のインタフェースは、データ交換を成功させるために重要です。レイヤ2は、基礎となる媒体の制限と動作を考慮し、それに応じてフレーム・サイズ、タイミング、伝送戦略を適応させなければなりません。その代わりに、レイヤ2は抽象化と整理のレベルを提供し、スプリアスやノイズの多いデータをフィルタリングします。
レイヤ3(ネットワーク・レイヤ)との関係
データリンク・レイヤーは、データが正しくフレーム化され、アドレス指定され、エラーがチェックされると、レイヤー3(ネットワーク・レイヤー)にデータを配信します。レイヤ3は、論理的なアドレス指定、ルーティング、および複数のレイヤ2セグメントを通過するネットワークを介したパケットの配送を担当します。
レイヤー2は、ローカル・セグメントに関連するデータのみを渡し、ローカル・ネットワーク外への配信はレイヤー3に依存する。この分離により、柔軟でスケーラブルなネットワークが実現します。レイヤー2は、クリーンで検証されたデータのみがレイヤー3に引き渡されることを保証し、広範囲に及ぶネットワーク・エラーのリスクを低減します。
レイヤ3は、信頼性の高いローカル配信のためにレイヤ2を活用し、独自のリソースをエンド・ツー・エンドのルーティング、アドレッシング、ポリシー・エンフォースメントに集中させます。これらのレイヤー間の相乗効果は、機能的なインターネットワーキングと複雑なマルチセグメントネットワークトポロジーのサポートに不可欠です。
一般的なレイヤー2プロトコルと規格
イーサネット(IEEE 802.3)
イーサネットは最もユビキタスなレイヤー2プロトコルであり、ほぼすべての有線ローカルエリアネットワークの基礎を形成している。IEEE 802.3標準によって定義されたイーサネットは、フレーム構造、MACアドレス指定、メディア・アクセス方式(CSMA/CDなど)、標準データ・レート(10Mbpsから400Gbpsおよびそれ以上の範囲)を規定している。
イーサネットの設計は、小規模なワークグループ・ネットワークから大規模な企業ネットワークまで拡張可能です。イーサネットの特長は、ブロードキャストフレームとマルチキャストフレームをサポートしていることで、デバイスの検出とグループ通信が可能です。スイッチは、イーサネット・フレームのMACアドレスを使用して、意図した受信者にのみトラフィックを転送し、輻輳とスケーラビリティの制御に役立ちます。
Wi-Fi (IEEE 802.11)
Wi-FiはIEEE 802.11規格ファミリーに準拠し、ワイヤレスネットワークにレイヤー2機能をもたらす。この規格は、フレームの構造やアドレスだけでなく、認証、暗号化、無線周波数管理についても詳細に規定している。Wi-FiのMACサブレイヤーは、信号干渉、ローミング、共有チャネルの競合といった無線の課題に対処するために強化されている。
Wi-Fiのレイヤ2動作の主要な側面は、モバイル・デバイスがシームレスにネットワークに参加したり、離れたりできるようにする動的関連付けと認証のサポートです。フレーム再送信、アダプティブ・レート選択、エラー訂正などの機能により、Wi-Fiは家庭用アクセス・ポイントから企業や公共施設まで、さまざまな環境に適しています。
PPPとHDLC
ポイントツーポイントプロトコル(PPP)とハイレベルデータリンク制御(HDLC)は、どちらもルータ間のWANリンクのような直接シリアル接続に特化したレイヤ2プロトコルです。PPP は信頼性の高い配信のためにフレームをカプセル化し、認証(PAP、CHAP)、リンクネゴシエーション、レイヤ 3 プロトコルの多重化などの機能を追加します。
ダイヤルアップ、DSL、そして多くのVPNの実装に広く使われている。HDLCも同じような目的を果たすが、ハードウェアベースのWANアプリケーションやプロプライエタリー・ベンダーの環境で多く見られる。HDLCフレームはシンプルで効率的で、シンプルな制御と最小限のオーバーヘッドを可能にします。
フレーム・リレーとATM
フレームリレーと非同期転送モード(ATM)は、WAN環境向けに設計されたレイヤー2プロトコルで、専用回線や仮想接続を介して高速で効率的なデータ転送を実現します。
フレームリレーは、可変サイズのフレームを使用してスループットを最大化し、オーバーヘッドを最小化するため、ブロードバンドが普及する以前は、ビジネスクラスやキャリアグレードのリンクによく使われていました。フレームリレーは、基礎となる物理リンクが信頼できることを前提とした、より単純なエラーチェックと訂正のモデルに基づいています。
ATMは異なるアプローチをとり、すべてのデータを固定サイズのセル(53バイト)に分割し、予測可能なサービス品質(QoS)と低遅延をサポートする。ATMはその複雑さとコストから、主にキャリアネットワークや大規模な機関への展開に限られていた。
VLANタギング(IEEE 802.1Q)
IEEE802.1Qで定義されたVLANタグは、物理ネットワークをレイヤー2で複数の仮想ローカルエリアネットワーク(VLAN)に分離することができます。イーサネットフレームに挿入されたVLANタグは、トラフィックが物理的なスイッチやケーブルを共有する場合でも、ネットワークデバイスが論理的なセグメンテーションを認識し、実施することを可能にします。
これにより、セキュリティが強化され、管理が簡素化され、ブロードキャスト・ドメインが分離されるため、ネットワークの輻輳や障害の影響を抑えることができます。802.1Qタグは最新のネットワーク設計、特にマルチテナントやエンタープライズ環境では不可欠です。スイッチは、VLANタグを使用してフレームを適切なポートに転送し、異なるユーザーグループ、部門、またはアプリケーション間の分離を維持します。
レイヤー2におけるセキュリティ脅威と攻撃ベクトル
MACテーブルの枯渇
MACテーブル枯渇攻撃は、ネットワーク・スイッチ、特にデフォルトまたはアンマネージド・モードで動作しているスイッチを標的にする。スイッチは、フレームを効率的に転送するために、MACアドレス・テーブルを使用してMACアドレスと物理ポートの関連付けを追跡します。
攻撃者は、無作為に生成された偽のMACアドレスを含むフレームをネットワーク上に溢れさせ、スイッチのアドレステーブルを容量一杯にさせる。テーブルがいっぱいになると、ほとんどのスイッチは「フェイルオープン」動作に戻り、すべての受信フレームをすべてのポートにブロードキャストします。このため、ネットワークのパフォーマンスが低下し、攻撃者が意図しないトラフィックをスニッフィングして機密データを取得する可能性があります。
ARPスプーフィング
ARPスプーフィング(またはARPポイズニング)は、IPアドレスをMACアドレスにマッピングする基本的なレイヤ2/レイヤ3機能であるアドレス解決プロトコルを悪用します。攻撃者はローカル・ネットワーク・セグメント上に偽造ARPメッセージを送信し、デバイスを騙して攻撃者のMACアドレスをデフォルト・ゲートウェイやサーバーなどの正当な相手のIPアドレスに関連付けさせます。
このリダイレクションは、攻撃者がネットワーク・トラフィックを傍受、変更、迂回させる中間者攻撃を可能にする。その影響は、セッションのハイジャックやクレデンシャルの盗難からサービス拒否に至るまで、多岐にわたります。
DHCPスプーフィング
DHCPスプーフィング攻撃は、レイヤ2セグメント上でIPアドレスやその他のネットワーク設定を割り当てるダイナミックホストコンフィギュレーションプロトコルを標的とします。攻撃者はローカルネットワーク上に不正なDHCPサーバーを配置し、クライアントからのIPアドレス要求に対して正規のサーバーよりも迅速に応答します。
これにより、疑うことを知らないホストは、不正なデフォルトゲートウェイやDNSサーバーなどの悪意のあるコンフィギュレーション設定を受け入れることになります。その結果、攻撃者はネットワーク・トラフィックを傍受または迂回させる能力を獲得し、さらなる中間者攻撃を仕掛けたり、ネットワーク運用を妨害したりします。
BPDUの操作
BPDU (bridge protocol data unit) 操作攻撃は、レイヤ 2 ネットワークのループを防ぐ役割を担うスパニングツリープロトコル (STP) を標的とします。攻撃者は優先度やルートブリッジのパラメータを操作した偽のBPDUを注入し、ネットワークの論理トポロジーを変更したり、スイッチがパスを再計算する際にサービスの中断を引き起こす可能性があります。
この結果、敵対的なデバイスがルート・ブリッジに指定され、ネットワーク・トラフィックの大部分を可視化または制御される可能性があります。攻撃者はまた、故意にネットワークを不安定にし、機能停止やパフォーマンスの低下を引き起こすこともあります。
詳しくは、OSIレイヤーの攻撃に関する詳細ガイド(近日公開予定)をご覧ください。
レイヤー2パフォーマンス最適化のベストプラクティス
ここでは、組織がレイヤ2のパフォーマンスを改善する方法をいくつか紹介する。
1.正確なVLAN設計とセグメンテーションの維持
正確なVLAN設計は、効率的なネットワーク分離を下支えし、ブロードキャスト・トラフィックを局所化し、不要な輻輳を減らし、障害分離を改善するのに役立ちます。各VLANは組織のニーズに対応し、同様の機能やセキュリティ要件を持つデバイスをグループ化する必要があります。
重複するサブネットや過度に大きなVLANは、コリジョン・ドメインを増やし、トラブルシューティングを複雑にする可能性があるため、避けてください。VLANの割り当てとポリシーを文書化することで、成長、変更、トラブルシューティングの作業が管理しやすくなります。RADIUSを統合した802.1Xのような動的VLAN割り当て技術は、セキュリティ標準を実施しながら、さらなる柔軟性を提供します。
2.スパニングツリープロトコル(STP)の効率的な実装
スパニングツリープロトコル(STP)は、IEEE 802.1Dとその拡張機能によって定義され、ブロードキャストストームやネットワーク停止につながるレイヤ2ループを防ぐために不可欠です。STPを適切に設定することで、冗長化されていないパスだけがアクティブになり、冗長化されたリンクが即座に障害復旧できるようになります。
効率的なSTPの実装には、ブリッジの優先順位の設定、RSTP(802.1w)のような高速フェイルオーバー機能の有効化、ルートブリッジ選択の保護が含まれる。BPDUガード、ルートガード、ループガードなどの機能でSTPを強化することで、ネットワークを混乱させる悪意や偶発的なトポロジ変更を防ぎます。
3.ブロードキャスト・ドメインの最小化
大規模なブロードキャスト・ドメインは、ドメイン内のすべてのノードにブロードキャスト・トラフィックが配信されるため、輻輳、エンド・デバイスのCPU使用率の高さ、セキュリティ・リスクにつながる可能性があります。ネットワークを論理的にセグメント化された小さなVLANに分割することで、ブロードキャスト・ストームの範囲を制限し、障害や設定ミスを定義されたセグメントに分離し、より広いネットワークを保護します。
レイヤ3バウンダリを戦略的に配置したり、ルーター・オン・ア・スティックの設計を活用することで、ブロードキャスト・ドメインのサイズはさらに縮小される。このアプローチは、不要なトラフィックがネットワーク全体に伝播するのを防ぎ、セキュリティを向上させ、インシデント対応を簡素化します。
4.データリンク層の保護(MACフィルタリング、802.1X)
レイヤ2アクセスの保護は、不正なネットワーク利用、デバイスのなりすまし、攻撃者による横の動きを防ぐために極めて重要です。MACフィルタリングを実施し、既知の信頼できるデバイスにのみ機密ポートを許可し、EAP(拡張可能な認証プロトコル)などの認証プロトコルを使用したポートベースのネットワーク・アクセス制御にIEEE 802.1Xを活用します。
これらの対策は、一般的な攻撃やポリシー違反に対するポート・レベルでの防御の第一線を提供する。レイヤ2セキュリティと集中型認証およびアカウンティング・システムを統合することで、一貫したポリシーの実施、ユーザーの追跡、不審なアクティビティへの迅速な対応が可能になります。
5.レイヤ 2 パフォーマンス・メトリクスの監視と自動化
継続的な監視レイヤ 2 の健全性とパフォーマンスは、先手を打ったトラブルシューティングと迅速なインシデント対応に不可欠です。フレーム・エラー・レート、ポート利用率、MAC アドレス・テーブル占有率、VLAN トラフィック・パターン、STP ステータスなどのメトリクスを追跡します。このデータを集約し、異常な状態やパフォーマンスの低下に対するアラートをトリガーするネットワーク管理システムを導入します。
自動化ツールは、レイヤ 2 ドメイン全体にわたって、コンフィグレーションの実施、ファームウェアの更 新、およびポリシーの遵守を簡素化することができる。定期的な監査と脆弱性評価は、自動化されたタスクを補完し、プロアクティブなリスク削減と問題の迅速な軽減を保証する。
ネットワーク・セキュリティExabeam
エクサビームのセキュリティ・オペレーション・プラットフォームは、OSIレイヤー2に関連する部分を含むネットワーク・セキュリティの強化に貢献します。このプラットフォームは、ネットワーク・フロー情報、システム・ログ、ユーザー・アクティビティ記録など、さまざまなデータ・ソースを取り込み、分析します。この包括的なデータ収集により、データリンク層で発生する通信パターンとデバイスの動作が可視化されます。通常のレイヤ2操作のベースラインを確立することで、プラットフォームは侵害や攻撃ベクトルを知らせる可能性のある逸脱を検出することができます。
予期しないMACアドレスの変更、異常なARPトラフィック、不正なDHCPサーバの試行など、疑わしいアクティビティが特定されると、プラットフォームはこれらのイベントを他のセキュリティ・インテリジェンスと相関させます。この相関関係により、レイヤ2の異常がより広範な脅威状況の中で文脈化され、セキュリティ・チームは攻撃の潜在的な影響と発生源を理解することができます。異なるレイヤーのセッションとユーザーIDを追跡するシステムの機能は、悪意のあるレイヤー2のアクションを特定のユーザーまたはデバイスに帰属させるのに役立ちます。
高度な分析と行動モデリングを活用することで、このプラットフォームは、従来のシグネチャベースの防御を回避する可能性のある高度なレイヤー2攻撃の検知をサポートします。その目的は、脅威を効率的に調査し対応するための実用的な洞察をセキュリティチームに提供することです。このアプローチにより、データリンク層の基本的な通信メカニズムを特に標的とする脆弱性や悪意のある活動に対処することで、より強固なセキュリティ態勢が実現します。
