オブザーバビリティとセキュリティがうまく連携する5つの理由
Share on TwitterTwitter
Share on LinkedInリンクトイン
Share on FacebookFacebook
Share by Emailメール
Print this page印刷
サイト信頼性エンジニア(SRE)とセキュリティアナリストは、役割は大きく異なりますが、目標はほぼ同じです。どちらも、サービスに影響が出る前に潜在的な問題を特定して対処するため、プロアクティブな監視とインシデントレスポンス戦略を採用しています。また、どちらも組織の安定とレジリエンスを優先し、ダウンタイムと混乱を最小限に抑えることを目指しています。
しかし、両者がチーム内だけでなくチームを横断したコラボレーションとコミュニケーションの重要性を際立たせることで、それぞれが独立して活動する場合よりも高いレベルの運用レジリエンスを実現し、ビジネスに対する潜在的な脅威に積極的に対応できるようになります。
セキュリティチームとオブザーバビリティチームが協力してより多くのことを達成できる5つの方法を紹介します。
1. チームコラボレーションの改善
ベンダーやテクノロジーパートナーの場合、計算は簡単です。ツールが増えるほど、異なるシステムやツール間を行き来する手間が増え、問題解決に費やす時間が増えます。一回限りのサイロ化されたテクノロジーは、チームのコラボレーションと洞察の負担を増大させ、労力を増し、エラーを起こしやすくなります。ツールを増やすと、ソフトウェアの管理、更新、保守の負担も増加します。テクノロジーを統合することで、この手作業による作業負荷が軽減されるだけでなく、組織のシステムへのツールへのアクセスが制限されるため、組織の攻撃対象領域が減ります。
コラボレーションの実践
DISH Mediaの広告収益ビジネスでは、2,500万台のデバイスエンドポイントから1日に100億件のレコードを取り込み、処理しています。Elasticによる統合ソリューションとシングルエージェントにより、ダッシュボードとデータはチーム全体で単一のガラスペインで利用できるようになり、迅速な分析が可能になりました。
これにより、インシデントの検出とMTTRが大幅に削減され、顧客エクスペリエンスが向上しました。Elasticの単一エージェントにより、何百万ものシステムと顧客デバイスにわたる異常がより迅速に発見され、根本原因の分析と修復が加速されます。また、チームは1つのエージェントで運営されているため、追加の導入コストはかかりません。
「Elasticのおかげで、パターンや異常を検出するために相関関係を分析できる統合されたデータビューが利用できるようになりました」と、DISH Mediaのエンジニアリング責任者、John Haskell氏は言います。「これまでは、根本原因の分析と修復に数週間かかることもありましたが、今では数時間で終わります。」
DISH Mediaの事例をご覧ください。
2. 統合データプラットフォームによる完全な可視性
インフラストラクチャーとアプリケーションの複雑さが増すにつれて、オブザーバビリティチームとセキュリティチームに大量のデータが溢れます。多くの場合、これらのデータは同じですが、チームによって使用方法が異なります。データをサイロ化されたツールに分離すると、人工的な境界が生まれ、パフォーマンスと脅威検出の観点から問題の検出と解決が遅くなります。さらに、異なるシステムから生成されたデータは形式が異なる可能性があり、組織全体の可視性に関してさらなる課題が生じます。取り込まれて格納されたデータの共通スキーマに依存する統合プラットフォームを持つことで、関連情報の検索と相関付けが容易になり、組織全体の可視性が向上します。
コラボレーションの実践
Cloud Native Computing Foundation(CNCF)エコシステムで最も高速なプロジェクトの1つであるOpenTelemetryは、テレメトリデータの事実上の標準と見なされており、SREチームでもセキュリティチームでも広く採用されているフレームワークです。OTel Semantic Conventionsフレームワークは、多様なデータのクエリや関連付け、可視化の構築、機械学習アプリケーションの特徴分析に必要な時間と労力を削減するのに役立ちます。
OTel Semantic Conventionsを使用してセキュリティデータとオブザーバビリティデータを標準化することは、ソフトウェア、パフォーマンス、セキュリティ問題の効率的な分析を妨げることが多い複雑性を大幅に軽減する強力な手段です。SREチームとセキュリティチームは、テクノロジーベンダーとともに、多様で異質なデータを包括的に分析できるように、オープンデータ標準を採用しています。
3. 異常と脅威の検知
データの急激な増加とコードやインフラストラクチャー導入の急速なペースは、サービスに影響を与える前に異常を発見し、脅威を検出するという課題を生みだします。AIOps機能は、すぐに使えるカスタマイズ可能な機械学習(ML)モデルを使用して、異常を自動的に検出し、根本原因の分析と修復をサポートします。オブザーバビリティソリューションがノイズを低減する能力は、指標、ログ、トレース、プロファイリングデータなどのテレメトリデータに依存します。
ログ、分散トレーシング、メトリクスにより、リクエストのフロー、量、タイプ、その他のパフォーマンス特性を確認できます。分散システムのこの相関データとコンテキストデータから、アプリケーションの動作の包括的に把握でき、セキュリティインシデントの調査にも活用できます。データを分析し、確立された履歴ベースラインに基づいて逸脱を特定する機能により、セキュリティ調査が迅速化されます。
生成AIと検索拡張生成(RAG)機能の進化により、SREチームとセキュリティチームは、自然言語を理解し、あらゆるレベルの運用チームとセキュリティチームに迅速な回答を提供できるインタラクティブアシスタントを使用して、さらに調査や分析ができるようになり、解決までの時間が短縮されます。
コラボレーションの実践
オブザーバビリティプラットフォームと統合されるSIEMソリューションやその他のセキュリティテクノロジーは、ログ、指標、トレースからの洞察を活用します。この統合アプローチにより、異常なパターン、疑わしいアクティビティ、潜在的なセキュリティインシデントを予測的に特定できるようになります。
ネットワークトラフィックの異常なログの急増とサーバーのパフォーマンスメトリックを相関させることにより、企業は正当なトラフィックの急増と潜在的なDDoS攻撃を迅速に区別できます。繰り返しのログイン失敗や通常とは異なる場所からのアクセスなどの異常なパターンがすぐに明らかになり、攻撃が成功する可能性が大幅に減少します。
4. ツールの統合とコスト削減
可視性の向上と問題の予測的特定に加え、統一されたプラットフォーム上に観測可能性とセキュリティ機能を統合することは、コスト削減という付加的なメリットをもたらすツールの統合にもつながります。統合プラットフォームとは、関連する運用手数料、サービス、データストレージ、および両方の業務を管理するために必要な人員をまとめることで、総所有コストを削減することを意味します。
コラボレーションの実践
エンタープライズクラウドデータ管理のリーダーであるInformaticaは、複雑なオブザーバビリティとSIEMのソリューションをElasticの統合プラットフォーム置き換えて、外部の脅威からシステムを保護しながらアプリケーションのパフォーマンスを向上させ、同時に予算を大幅に削減しました。
「Elasticを使うことで、オブザーバビリティとSIEMを1つのベンダーでまかなうことができます。これは、当社のような規模の組織にとって、他のソリューションと比較して50%のコスト削減に相当します」と、Informaticaの MLエンジニアリング、オブザーバビリティ、およびサイトリライアビリティ・エンジニアリング担当ディレクターのAmreth Chandrasehar氏は述べています。
また、統合によってパフォーマンスが損なわれることもありません。実際、Informaticaはその逆であることに気づきました。「Elasticの検索機能は信じられないほど高速です。Informaticaには何兆ものドキュメントが保存されていますが、検索クエリには10秒足らずで正確な結果を返してくれます」と、Chandrasehar氏は説明します。
Informaticaの事例をご覧ください。
5. データの取り扱いに関する規制遵守
セキュリティ慣行の強化は、企業がオブザーバビリティデータの処理を管理する業界規制を遵守するのに役立ちます。オブザーバビリティへの取り組みを厳格なコンプライアンス要件と整合させることで、企業は法的影響を回避するだけでなく、利害関係者への信頼を築くことができます。
この連携により、規制された環境内でのオブザーバビリティツールのシームレスな統合が容易になります。また、これらのコンプライアンス基準を満たすために、セキュリティと可観測性の間に共生関係がもたらされる可能性も示しています。
コラボレーションの実践
金融業界ほどコンプライアンス要件を熟知している業界はありません。Emirates NBDは、多数のデータソースから毎日数テラバイトのデータを処理する集中ログシステムを構築しました。Elasticを中核とするこの新しい環境を、Emirates NBDのクラウドおよびデータプラットフォーム担当バイスプレジデントのアリ・レイ氏は「信頼できる唯一の情報源」の基盤と表現します。
ログの一元化により、Emirates NBDはセキュリティを強化し、ガバナンスの利害関係者が必要とする監査ログを格納・取得できるようになります。「社内外を問わず、論争や、疑問、問い合わせが発生したら、改ざんされることのない監査ログを取得して確認を取っています」とレイ氏は言います。
Elasticで集中型ロギングに移行したおかげで、銀行は当初のオブザーバビリティ投資から、外部と内部の脅威の両方を検出できるセキュリティ分野に拡大しました。
Emirates NBDの事例をご覧ください 。
データの可視化に向けた第一歩を踏み出す
オブザーバビリティとセキュリティ機能が調和していれば、より安全で信頼性の高い運用環境が保証されます。強化されたセキュリティ慣行は、ビジネスと評判の健全性にとって不可欠な防御策であるだけでなく、オブザーバビリティツールの有効性を高めるきっかけにもなります。そして、永続的なサイクルでは、オブザーバビリティ監視から明らかになった不一致によって、セキュリティ体制がさらに強化されます。
セキュリティとオブザーバビリティの両方の実践においてオープンスタンダードに基づく統合データプラットフォームを利用することは、遠い目標のように思えるかもしれませんが、今日最初のステップを踏むことで、長期的な準備を整えることができます。
SANSレポート「Shining a light in the dark: Observability + security」をお読みになるか、ウェビナーを視聴して、この新しい戦略の詳細や、組織のオブザーバビリティとセキュリティ機能を統合するための手順の詳細をご覧ください。
本記事に記述されているあらゆる機能ないし性能のリリースおよびタイミングは、Elasticの単独裁量に委ねられます。現時点で提供されていないあらゆる機能ないし性能は、すみやかに提供されない可能性、または一切の提供が行われない可能性があります。
シェアする
- Share on Twitter
Twitter
- Share on LinkedIn
リンクトイン
- Share on Facebook
Facebook
- Share by Email
メール
- Print this page
印刷
