Elastic Stack 7.7.0をリリース

Elastic Stackバージョン7.7を一般公開いたしました。今回も、パンチが効いたリリース内容になっています。しかしElasticは今回の新機能以上に、このリリースに携わったチームを誇りに思っています。新機能が多数デビューするリリースはいつでも特別ですが、さまざまなことについて見通しが立たない今は、なおさら特別です。このリリースは、Elasticのチームと組織、ビジネスがレジリエンシー（回復力）を備えていることの証であり、またユーザーとお客様に継続して価値を提供することに絶えず注力する私たちの取り組みの見せ場でもあります。 

7.7について、いち早くお伝えしたいことは山のようにあります。はじめに、Workplace Searchが一般公開（GA）へ移行しました。あらゆる業務コンテンツに最新の、一元的な検索エクスペリエンスを提供します。また、Elastic Stackが完全に再設計されたアラートフレームワークをリリースしたことに伴い、Kibana全体のアラートエクスペリエンスが刷新されています。Elastic APMにはサービスマップが加わりました。クリアなビジュアルでサービスがどのように相互に接続しているか表現し、システムのオブザーバビリティを高めます。Elastic SIEMにはServiceNowとの統合を含む、埋め込み型のケースマネジメントワークフローが登場しています。これは、リリースハイライトのほんの一部分です。 

Elastic Stack 7.7はElasticが提供する唯一のマネージドサービス、Elastic CloudのElasticsearch Serviceで今すぐ使いはじめることができます。またElastic Stackをダウンロードして、セルフマネージドでお使いいただくことも可能です。

それでは早速、いくつかのリリースハイライトを紹介します。 

生まれ変わったElastic Stackのアラート

アラートは、Elastic Stackの多数のユースケースで主要な役割を果たしている機能です。アプリのアップタイムをトラッキングする場合でも、SLAに基づいて対応時間を監視する場合でも、あるいは攻撃者を追跡する場合でも、アラートは問題を検知し、アクションを取る上でカギとなるツールです。Kibana 7.7より、新しいアラートシステムが登場しました。Kibana全体を通じて最上級のアラートエクスペリエンスを提供する取り組みにおいて、大きな前進です。アプローチについては昨年概要をお伝えしました。このコンセプトはシンプルです。まず、Kibanaの各ソリューションとアプリは、“ユーザーがいる場所”にアラートのワークフローを提供できるべきであり、またユーザーのコンテクストとユースケースに応じてカスタマイズできるものであるべき、ということ。さらに、各アプリでは事前定義されたアクション、または通知メカニズムのどれでも使えるようにすべき、というコンセプトを掲げています。Elasticは、この目的に沿ってアラートシステムを0から開発し直しました。

7.7では、Kibanaの随所でこのメリットが発揮されています。包括的なアラート管理UIと、一連の新しいパワフルなアラートインターフェースがKibanaのManagementアプリ内に導入されました。しかし今後は、SIEMソリューションでアラートを使うユーザーが多くなるかもしれません。Elastic SIEMのSIEM検知エンジンは、ルールにヒットした場合にアラート経由での通知送信をサポートするようになりました。Elasticオブザーバビリティでは、Metrics、APM、Uptimeの各アプリに、緊密に統合されたアラートエクスペリエンスが直接導入されています。Metricsアプリでは、Metrics Explorerビューでアラートを簡単に作成し、インフラに何らかの変化が生じた場合に警告を発するように設定できます。APMアプリではあらゆるサービスについて、トランザクション時間の変化や、エラーレートに生じるスパイクをキャッチするルールなどを設定することができます。Uptimeアプリでは、監視するサービスの1つでステータスに変化があった場合のアラートを簡単に作成することができます。 

また新しいアラートフレームワークは、アラートでただ“人間の注意を引く”という以上のことにフォーカスしています。メール、Slack、PagerDutyをはじめ多数のサードパーティ統合が提供されることで、ユーザーは既存のインシデント管理や、ケース管理のワークフロー経由でアラートを受け取り、対応することが可能になります。ベータ版で提供される新しいアラートの各種仕様について詳しくは、ぜひアラートに関するこちらのブログ記事をご覧ください。 

のんびりいこう：コストと遅延のトレードオフ問題に新たな切り口を提供する非同期検索

Elasticsearchは、超高速検索に最適化されています。しかし必ずしもすべてのユースケースで、すべてのデータタイプやデータ量について常時、高速検索が必要とされているわけではありません。Elasticsearchは多様なユースケースをサポートするため、数年にわたって、検索スピードと、1度に検索できるデータ量、あるいはハードウェアのコストとのバランスをフレキシブルに調整するためのいくつかの機能（Hot-Warm-Frozenインデックスなど）を導入してきました。この路線を踏襲するElasticsearch 7.7で、非同期検索がデビューしました。ユーザーが“遅く”処理する代わり、大量のデータに対して検索をかける、あるいは、コスト節約になる安価なストレージで検索をかけることを選択する場合に、すぐれたエクスペリエンスを提供します。

非同期検索を使用するとバックグラウンドで長時間かかる可能性のあるクエリを実行することができ、クエリの進捗を把握しながら、生成された結果から順に、部分的に取得して利用することが可能です。Kibana 7.7では、ダッシュボードとDiscover（ディスカバリ）が非同期検索に対応しています。たとえばダッシュボード上のクエリ時間がKibanaのタイムアウト上限に近づくと通知が届き、ユーザーはこの通知からタイムアウトを無視して処理完了まで実行するよう指示できます。今後リリースされるバージョンでは、Kibanaのエクスペリエンスに非同期検索機能がますます深く統合される予定です。たとえば、Kibanaで他のことをしているときに、バックグラウンドでKibanaクエリを実行するといったことが可能になります。 

非同期検索や、その他のすべての新機能についてはElasticsearch 7.7リリースブログでご紹介しています。

Elasticエンタープライズサーチ

最新のエンタープライズ向け検索プロダクト、Workplace Searchを一般公開

Elastic Workplace Searchが一般公開（GA）となりました。単一の検索バーからあらゆる業務コンテンツを発見可能にすることで、規模や業界を問わず、組織のチームに一元的な検索エクスペリエンスを提供します。 

今日、企業の活動はかつてないほど分散し、バーチャル環境を活用して行われています。このような状況に伴って、組織の知識はMicrosoft 365やGoogle G Suite、Salesforce、Zendesk、Google Drive、OneDrive、Dropbox、GitHub、Jira、ServiceNow、SharePoint Online、Confluenceなど、多数のアプリやコラボレーションツールに散在しています。Elastic Workplace Searchはシンプルな目標を掲げています。組織においてあちこちに散らばった知識を効果的に活用するための、一元的な手法の開発を支援する、という目標です。 

Workplace Searchは豊富なサードパーティ統合を備え、シンプルな設計に重点を置いており、レガシーツールにもわずかな時間でデプロイ可能です。パワフルなElasticsearchをベースに開発されたWorkplace Searchは、チームに安全でパーソナライズされた、関連性の高い検索を大規模に提供できるよう設計されています。 

Elasticファミリーの最新プロダクトとなるWorkplace Searchについて詳しくは、Workplace Searchアナウンスブログでご紹介しています。その他のすべてのエンタープライズサーチの新機能については、Enterprise Search 7.7リリースブログをご覧ください。

Elasticオブザーバビリティ

全体像を把握できるElastic APMのサービスマップ

Elastic APM 7.7より、サービスマップを導入しました。インストルメンテーションしたアプリと、アプリが呼び出す外部サービス間の依存関係をグラフィックビューで表示するマップです。Elastic APMはトランザクションデータを使ってどのサービスが相互に呼び出しているか判断し、さらにこのデータからサービスマップを自動で作成します。分散型で動的なアーキテクチャーが増えている昨今、システムを理解するには、要素同士がどのように組み合わさっているかライブで図解することが不可欠です。 

サービスマップの利点は、チャートができるだけではありません。このサービスマップはインストルメンテーションした各サービスについて高次の、主要なパフォーマンス指標を、呼び出す外部サービスのサマリー情報と共に表示します。ユーザーは、高度5万フィートからのビューと、詳細なビューを手軽に切り替えて確認することができます。 

サービスマップは、分散トレーシングを手軽に強化する手段としても役立ちます。分散トレーシングはある特定のトランザクションについて、サービス全体にわたり個々の呼び出しを羅列して表示します。これに対し、サービスマップはサービスの相互の応答を俯瞰的に、総合的に描きます。

あれもこれも、統合

Elasticオブザーバビリティチームは、テクノロジー領域のあらゆる次元でもっとずっと「すぐ使える」統合を提供することにより、インストルメンテーションをシンプル化するというミッションに絶えず取り組んできました。7.7でもこのミッションを果たすべく、いくつもの統合を新たに導入しました。具体的には、Prometheus、AWS（Lambda、Virtual Private Cloud、Amazon Aurora、DynamoDB）、Google Cloud（Pub/SubおよびLoad Balancing）、Azure（データベースアカウントとコンテナーメトリック）、Pivotal Cloud Foundry、MQTT、Redis Enterprise、Istio、IBM MQ、です。そこそこの数になりました。 

オブザーブ可能なシステムを構築するとき、インストルメンテーションは大きな部分を占めます。適切なインストルメンテーションを実施することで、インシデントが起きた際も、エラーを起こしたシステムコンポーネントを速やかに特定し、問題を解決するために必要なすべてのデータを確実に揃えることができます。またインストルメンテーションを通じて、問題が生じる前に検知する早期警告システムを作成することもできます。Elasticは使用するテクノロジーを問わず、組織のあらゆるレイヤーでのログ、イベント、メトリック収集をこれ以上ないくらいシンプルにしようと考えています。 

その他の新機能について詳しくは、Elasticオブザーバビリティ7.7ブログ記事を併せてご覧ください。 

Elasticセキュリティ

スムーズなインシデントレスポンスを実現する、Elastic SIEMにケースマネジメントを搭載

Elasticセキュリティ7.7より、ケースマネジメントを組み込みました。セキュリティ運用チームはこの機能を使って、検知と対応のワークフローをより高度に制御できます。アナリストなら、内蔵のケースワークフローでケースの作成、更新、タグ付け、コメント、終了の操作を実行できるほか、ケースを外部システムと統合するといった活用が可能です。SOCチームでは潜在的な脅威の修正と調査を担当するセキュリティアナリスト向けに、豊富な調査ガイドをSIEMの検知ルールに盛り込み、修正の提案や参考情報など、コンテクストとなるリソースを提供することができます。 

このケースマネジメントワークフローを使うことにより、SOCチームは検知時間を追跡でき、またMTTR（平均復旧時間）や、その他のセキュリティ体制KPIを表示するダッシュボードを生成することもできます。

Elastic SIEMにServiceNow ITSMとのネイティブ統合が登場

Elastic SIEMの新しいケースマネジメント機能は、ServiceNow ITSMと直に統合することができます。アナリストはElastic SIEMからServiceNowプラットフォームに情報を転送し、組織横断的なチケットトラッキングや、修正作業を実施できます。ネイティブなコネクターでケースを更新でき、アナリストは確実に最新情報で作業することができます。 

さらにオープンな統合で、可視性を強化

組織を安全に保つ上で、環境全体から実践的なデータを収集する手順は不可欠です。Elastic Security 7.7より新たに、Okta、Microsoft 365、Check Pointをはじめとする主要なテクノロジーとのデータ統合を提供します。エコシステム全体への可視性の確立を、よりシンプルに実現することができます。 

詳しくは、Elastic Security 7.7リリースブログをご覧ください。 

併せてご覧ください

他にもたくさんの情報をお届けしています。7.7に追加された新機能については、各プロダクトの個別のブログ記事で詳しくご紹介しています。

Elastic Stack

• Elasticsearch 7.7.0リリース（ブログ記事）
• Kibana 7.7.0リリース（ブログ記事）

ソリューション

• Elasticエンタープライズサーチ7.7.0リリース（ブログ記事）
• Elasticオブザーバビリティ7.7.0リリース（ブログ記事）
• Elasticセキュリティ7.7.0リリース（ブログ記事）