Elastic、大規模なデータのすべてから価値を効率的に引き出す新機能を導入

今回リリースされる新機能では、読み取り時のスキーマによりデータから素早く価値を引き出したり、新しいフローズンデータティアを使用してコスト効果の高い方法でオブジェクトストアに対するほぼ無制限の格納と検索を実現して新しい価値を解き放ったり、Elastic Cloudでデプロイを自動的にスケールしたりできるようになります。

Elasticエンタープライズサーチは、アーキテクチャ上のさまざまな機能強化により、デプロイサイズの削減、インデックスの高速化、その他の関連する機能といった利点がユーザーにもたらされます。Elasticオブザーバビリティには、相関関係が導入され、アプリケーションパフォーマンスの問題やエラーの主要な要因を特定する際に役立ちます。Elasticセキュリティには、アナリスト主導の相関関係が導入され、SecOpsワークフローが合理化されます。

Elastic Stack、Elastic Cloud、および各種ソリューションに導入される主なアップデートを以下でご紹介します。

Elastic StackとElastic Cloud 7.12

Elasticsearch、Kibana、およびElastic Cloud 7.12の新機能の1つ、一般公開版の読み取り時のスキーマを使用すると、ユーザーはデータをすばやく取り込み、柔軟に調査できます。書き込み時のスキーマの速度とスケールのバランスや、読み取り時のスキーマの柔軟性を検討する必要はなくなります。同じElastic Stackで、同じデータに対して、すべてを同時に実現できるのです。 

Elastic 7.11の検索可能スナップショットの一般公開時に発表されたイノベーションに新たに加わるフローズンデータティア（現在テクニカルプレビュー中）は、総保有コストを最小限に抑えながら、ほぼ無制限にデータを遡ることができる、最高水準の検索エクスペリエンスを提供します。このフローズンデータティアでは、ストレージとコンピューティングを分離でき、Amazon S3、Google Cloud Storage、Microsoft Azure Storageなど低コストのオブジェクトストアで直接検索する機能が導入されます。お客様は、わずかなパフォーマンスのトレードオフだけで、低コストのストレージに格納した大量のデータを検索でき、検索に必要な専用リソースの割合を削減できます。近い将来には、Elastic Cloudでフローズンデータティアを構成するためのユーザーエクスペリエンスの強化も導入する予定です。

また、7.12に導入された新しい「バックグラウンドに検索を保存」機能では、長時間実行されているクエリを完了している間に、データ分析フローを続けることができます。いわゆる「干し草の山から1本の針を探す」ような膨大なデータの検索こそ、Elasticの技術がユーザーのために実現する機能の中核です。DiscoverやKibanaダッシュボードでの長時間の検索セッションは、バックグラウンドで実行されるよう設定できます。新しい検索セッション管理インターフェースを使用すれば、検索結果の進捗状況をオンデマンドで確認できます。 

さらに、今回追加された自動スケーリングに対するサポートの強化により、お客様は自動的にストレージ使用率と機械学習機能を監視し、リソース調整し、パフォーマンスを管理できます。自動スケーリングは、Elasticコミュニティで最もリクエストが多かった機能の1つでした。この機能は、ノードのパフォーマンスを維持しつつ、想定外のコストを避けながら、クリティカルなビジネスアプリケーションを実行するためのセーフティネットとして役立ちます。

Elastic Cloudでは、新しいインスタンスタイプがサポートされ、柔軟性と価格パフォーマンスが向上するメリットが得られるようになっています。今回のアップデートに伴い、Ls-SeriesインスタンスがMicrosoft AzureのUK South（ロンドン）リージョンとJapan East（東京）リージョンに追加され、D3インスタンスがAWSのEU（アイルランド）、US East（北バージニア）、US East（オハイオ）、US West（オレゴン）の各リージョンに追加されました。これらのインスタンスでは、コストを大幅に抑えながらパフォーマンスを大きく向上できます。

Elasticエンタープライズサーチ

Elasticエンタープライズサーチ7.12のアップデートでは、デプロイサイズの削減、インデックスの高速化、関連性の高い結果の提供を実現することで、より多くの価値を引き出せる基盤データアーキテクチャが再設計されました。新しいアーキテクチャは、基盤となるインデックス管理を最適化して、データの重複を排除します。また、新しいマッピング構成を採用し、最新の検索エクスペリエンスで要求される入力ミスの予測変換を行いながら、検索の精度を高めます。ストレージ効率は最大70%改善、インデックス遅延は最大40%低下、App SearchとWorkplace Searchでは関連性が大幅に改善されることが想定されます。

Elasticオブザーバビリティ

Elasticオブザーバビリティ7.12では、Elastic APMの新しい相関関係機能により、低速のアプリケーショントランザクションで有意なパターンを検出し、根本原因分析を高速化できるようになりました。Elastic APMに導入された新しい機能を使用して、遅延とエラーが多いアプリケーショントランザクションを分析し、このようなパフォーマンスが悪いトランザクションに相関関係が強いサービスバージョンやインフラストラクチャメタデータなどの要因を自動的に明らかにできます。ユーザーは、対話型のトラブルシューティングワークフローで低パフォーマンスの根本原因に即座に着目し、解決までの平均時間を短縮できます。また、能動的なワークフローが推進され、アプリケーションの所有者は改善可能な領域を特定し、継続的にエンドユーザーエクスペリエンスを改善できます。

Elasticセキュリティ

Elasticセキュリティ7.12の新機能であるアナリスト主導の相関関係は、データを情報と洞察に変える必要がある担当者にとって重要なツールです。セキュリティアナリストは、脅威ハンティングと調査を高速化し、Elasticsearchが誇る速度で有意なデータを特定できます。これにより、脅威ハンティングと調査を絞り込み、調査中に明らかになった結果から信頼度が高い検出が得られます。

アナリスト主導の相関関係はEvent Query Language（EQL）によって実行されます。これは、Elasticセキュリティ検出エンジンの高度な相関関係を支える技術です。これまで、相関関係で脅威ハンティングと調査を強化する試みは応答時間が遅いせいで思うように進みませんでしたが、本リリースでは履歴データ全体に相関関係を適用できるようになったことで、アナリストは、わずか数分で、最も執拗で高度な攻撃者からも主要なインサイトを収集することができます。セキュリティチームには、幅広いセキュリティユースケースを網羅する複数の検出および調査方法という利点がもたらされます。EQLベースの相関関係と機械学習ベースの検出、インジケーター一致タイプ検出ルール、クラウド規模のサードパーティコンテキストを組み合わせることで、より包括的なセキュリティ戦略が可能です。

Elasticセキュリティには、Elastic Agentで振る舞い分析を使用してランサムウェアを阻止する新しい層が追加されました。Elastic Agentによる振る舞いベースのランサムウェア防御は、Elasticセキュリティ7.9で初めて導入されたシグネチャーレス型マルウェア防御を補完するかたちで、低レベルのシステムプロセスからデータを分析することで、Windowsシステムへのランサムウェア攻撃を検出して阻止します。これは、システムのマスターブートレコードを対象としたランサムウェアなど、広く蔓延しているさまざまなランサムウェアに有効です。

今回のリリースに寄せて

• Uberのセキュリティエンジニアリング部門責任者、Wes Connell氏は、「オブザーバビリティのユースケースの範囲が広がり続けている今、すべてのユーザーがデータをどのように操作するつもりかを前もって正確に把握するのは容易ではありません。ランタイムフィールドが備える柔軟性のおかげで、当社のユーザーはデータドリブンクエリと同じくらい動的なソリューションを実現できています」と述べています。
• Anitianのセキュリティ担当副社長、Robert Cooper氏は、「読み取り時のスキーマにより、大量のセキュリティデータセットに大規模なクエリを非同期に実行できるため、より多くの問題点を発見できています」と述べています。また、Anitianの上級DevOpsエンジニア、Ian Godfrey氏は、「読み取り時のスキーマとランタイムフィールドにより、苦労して既存のデータを再インデックスしなくても、サードパーティセキュリティツールから取得するデータの変化にすばやく対応できるようになりました」と付け加えます。
• Elasticの最高製品責任者、Ash Kulkarniは、「Elasticの中心に据えられているのは、ユーザーがすべてのデータからインサイトを取得できる検索主導のデータ探索です。Elasticセキュリティで行う脅威ハンティングや、Elasticオブザーバビリティでアプリケーションパフォーマンスの問題を診断する高度な相関関係など、Elasticが提供する機能を使用すれば、ユーザーはデータのサイロを解消し、すべてのデータとアプリケーションを検索、監視、保護できます。7.12では、この検索主導プロセスの柔軟性をさらに高め、総保有コストを低減しています」と述べています。