Elastic 7.9をリリース、無料プランで使えるWorkplace Searchとエンドポイントセキュリティが登場
今回のリリースでは、エンタープライズサーチ、オブザーバビリティ、セキュリティの各Elasticソリューションに多彩な新機能が登場しています。Elasticソリューションは、Elasticsearch、Kibana、Logstash、Beatsで構成されるElastic Stackをベースとしています。7.9リリースは市場に画期的な新機能を投下します。Elastic Stackへのデータ投入方法を大きく変えるElastic Agentが登場したほか、ElasticエンタープライズサーチのElastic Workplace Searchが新たに無料プランでお使いいただけるようになりました。同時にElasticセキュリティから、無料プランで使えるエンドポイントセキュリティをベータリリースしています。このエンドポイントセキュリティはElastic Stackに直接統合されたマルウェア防御機能を備え、包括的で深く統合されたエンドポイントセキュリティの提供に取り組んできたElasticにとって、最初の重要なマイルストーンとなるリリースです。
また、Elastic Stackと各種ソリューションのデプロイに最適なElastic Cloudも継続的な進化を遂げています。ここ数か月の間にAWS PrivateLink接続のサポートを開始したほか、FedRAMP Moderate認証への対応、購入オプションのシンプル化、3つのサポートリージョンを新たに追加しています。Elastic 7.9の新機能はすべて、Elasticが提供する唯一のマネージドサービス、Elastic Cloudで今すぐ使いはじめることができます。またElastic Stackをダウンロードして、あるいはクラウドオーケストレーションプロダクトとして提供されるElastic Cloud EnterpriseやElastic Cloud for Kubernetesを活用して、セルフマネージドでお使いいただくことも可能です。
今回は多数のアップデートを含むリリースとなっていますが、本記事ではリリースの主要なハイライトを中心にお伝えします。各機能について詳しくは、個別の製品ブログ記事でご確認いただくことができます。それでは早速、はじめましょう。
ElasticエンタープライズサーチのWorkplace Search、無料プランで導入可能に
無料プランにWorkplace Searchが登場
7.7で一般公開し、その後Elastic Cloudでも提供を開始していたWorkplace Searchは、今回のリリースより無料のベーシックプランでお使いいただけるようになりました。Workplace SearchはGoogle DriveやGmail、Salesforce、SharePoint、Jiraをはじめ、幅広いコンテンツプラットフォームを一元化してチームの生産性を高め、組織向けにパーソナライズされた検索エクスペリエンスを実現します。無料プランのWorkplace Searchには、サポート対象の全コンテンツソースに対応する各種コネクター、独自コネクターを作成するためのカスタムAPIへのアクセス、グループとユーザー管理機能、最新のユーザーエクスペリエンスを叶える検索構築用ツールが含まれます。
Workplace Searchは無償でお使いいただくことができ、プラチナまたはエンタープライズサブスクリプションでご利用の場合、追加機能が提供されます。Workplace SearchはElastic Cloudでお使いいただけるほか、Elastic Stackを使う自社インフラに、セルフマネージドオプションでデプロイすることもできます。
Kibanaで見る、Elasticエンタープライズサーチ
“Elastic Stackへの開かれた窓”として、Kibanaはあらゆるソースからくるデータをあらゆるフォーマットで取り込むことができ、またデータのリアルタイムな検索、分析、可視化機能を備えています。今回のリリースより、KibanaでElasticエンタープライズサーチを操作できるようになりました。App SearchとWorkplace Searchをおなじみの画面で、簡単に操作できます。またKibanaの管理者はspaceをカスタマイズして、メインのナビゲーションメニューでElasticエンタープライズサーチの表示/非表示を指定できます。今回のリリースより、App SearchユーザーはKibanaですべての検索エンジンとメタエンジンにアクセスできるようになりました。Workplace Searchユーザーは、Kibanaからユーザー管理とコンテンツソース同期ツールにアクセスできるようになっています。
Gmailのサポートを開始、メール検索能力を劇的に向上させるWorkplace Search
メールはビジネスコミュニケーションの主要ツールです。しかし日々の業務インサイトの大部分は、時間とともにメールアーカイブという名のサイロに埋もれてしまいます。7.9より、Workplace SearchはコネクターとしてGmailのサポートを開始しました。Gmailユーザーは、すっきりしたビジュアルで直感的な操作性を備えたWorkplace Searchのユーザーインターフェースでメールを検索したり、検索結果を他の広範なコンテンツソースと並べて表示することができます。
スケーリングの高度な制御・自動化と、ソースアクティビティログの新たなインサイト
Elastic StackがベースのElasticエンタープライズサーチはフレキシブルな設計。App SearchやWorkplace Searchに、ユーザーのニーズに応じてパワフルな機能を加えることができます。7.9より、Elastic Stackのインデックスライフサイクル管理(ILM)ポリシーがApp SearchとWorkplace Searchにも組み込まれています。ユーザーはILMポリシーを設定し、独自の要件に沿ってインデックス(エンジン)管理を自動化できます。たとえば、事前定義したサイズに達したときに新規のインデックスを作成するとか、1日、あるいは1週間、1か月単位でインデックスを作成またはアーカイブする、あるいはデータ保持ルールに基づいてインデックスを削除する、などのポリシーを設定できます。ILMポリシーは、App Search内で直接作成、および管理します。
その他のElasticエンタープライズサーチの新機能については、エンタープライズサーチ7.9リリースブログでご覧ください。
1クリックのデータ投入を叶える、単一のエージェント
Elastic AgentとIngest Manager、新登場 - オブザーバビリティのためのデータ投入がよりシンプルに
データ投入はオブザーバビリティのワークフローに不可欠なステップですが、ときに膨大な時間や手間がかかることがあります。あるシステムを監視すると決定してから実際に監視を開始するまでの所要時間は、どれくらいでしょうか?それだけではありません。システムの監視ツールのセットアップの難易度は、実際どの程度か?収集したデータはパースや構造化され、使えるものになっているか?どれほど早くデータを可視化し、重要なインサイトを抽出できるか?こうしたすべての問いを、サーバーやVM、コンテナー、アプリ、データベース、ミドルウェアなど、テクノロジースタックを構成する数千ものコンポーネントと、オペレーションの側面について検討することになります。
Elasticは7.9より複数の新たな投入機能を導入し、データ投入と投入管理のワークフローを劇的にシンプル化させました。この取り組みが目指すのは、投入プロセス全体を最適化することで、運用担当者がインサイトに沿って行動する時間の増加と、投入プロセスの設定や管理に費やす時間の節約です。今回登場したElastic Agentは、7.9でベータリリースされる単一のエージェントです。ログ、メトリック、エンドポイントセキュリティデータをはじめ、広範な種類のデータをホストから収集する一元的な手法として使用することができ、今後はAPMや、他のデータタイプもサポートする予定です。インストール、設定、アップデート、そして保守するエージェントが1つだけになることで、担当者の作業効率の大幅な向上につながります。また7.9で同じくベータリリースされるIngest Managerを使って、投入プロセスのあらゆる側面を1か所で制御できます。主要なサービスやプラットフォームの統合機能を追加、管理できるほか、今後数回のリリースにわたって100以上のBeatsモジュールをポートする予定です。3つ目にご紹介するFleetは、デプロイ済みのすべてのエージェントを一元的に管理する、管制塔のような機能です。典型的な組織は、何万ものホストにエージェントをデプロイしています。Fleetを使うと、そのようなエージェントを1か所で簡単に管理することができます。
アナリストのエクスペリエンスを向上させる、一元的なオブザーバビリティ概要ページ
Elasticオブザーバビリティの強みの1つに、オブザーバビリティの3つの柱であるログ、メトリック、トレースをデータレイヤーで統合できることがあります。データストリームをスムーズに追跡し、スピーディーな平均復旧時間を達成できる調査ワークフローを実現するには、すべてのデータを単一のデータストアに格納するスキームが不可欠です。
今回のリリースではKibanaのオブザーバビリティ概要ページを刷新し、Elasticが誇る一元的なデータ基盤上で、可視化レイヤーのさらなる一元化を図りました。この新しい概要ページは、ログ、メトリック、APM、アップタイムのあらゆるオブザーバビリティデータから重要な情報を抽出します。また、エコシステム全体のヘルスを洗練された、わかりやすいビューで表示します。このビューは設定不要ですぐに使いはじめることができ、特に新規ユーザーによる、あるいは新規のデプロイからのインサイト取得を高速化します。またこの概要ページには、プロダクトのアップデートや最新情報を伝えるニュースフィードも表示されます。
オープンスタンダードをサポート - Elastic APMのOpenTelemetry統合
オープンコードやオープンなコミュニティなど、Elasticは“オープンネス”と“透明性”をベースに活動しています。この方針は、オブザーバビリティ領域のオープンスタンダードについても同じです。ElasticはOpenTracingやJaeger、W3C Trace-Contextをはじめとする各種オープンスタンダードをサポートしています。嬉しいことに、そのサポートリストに最近OpenTelemetryスタンダードが加わりました。OpenTelemetryはCloud Native Computing Foundation(CNCF)のサンドボックスプロジェクトで、現在はベータ段階です。ベンダーニュートラルかつ言語固有なエージェントとSDK、APIを備え、監視するアプリから分散トレース、メトリック、ログのデータを収集できます。Elasticは新たにElastic APM exporterをリリースしました(さらに、OpenTelemetryのcollector contrib repoにコントリビュートしています)。このexporterはOpenTelemetry collectorを使ってトレースデータを収集し、Elastic互換のプロトコルに変換してから、データをElastic APMに送ります。つまり、既存のインストルメンテーションに変更を加えることなく、Elastic APMを使ってOpenTelemetryの探索をはじめることが可能になっています。既存のOpenTelemetry設定に、Elasticのexporterを追加して、わずか数分でデータの探索を開始することができます。Elastic exporterは現在ベータ版です。
SecOpsとDevOpsの連携を強化する、50以上の検知ルール
監視はするのに保護しない、なんてナンセンスですよね。オブザーバビリティチームがアプリやインフラから収集するログやメトリック、トレースは、セキュリティチームにとって豊かな情報ソースとなります。ElasticセキュリティとElasticオブザーバビリティが同じElasticsearchデータを利用するメリットに、各種ツールを使うためにわざわざデータを複製する必要がなく、同一のデータに多様な質問をすることができる、というものがあります。Elasticのソリューションは、SecOpsとDevOpsの双方のニーズを満たしながら、コラボレーションの機会を提供します。またElasticはリソースベースの料金体系を採用しています。つまり、同じデータを他の目的で分析しても、追加のコストは生じません。
7.9のリリースでは50以上のすぐに使える検知ルールがベータ版で登場し、ElasticセキュリティとElasticオブザーバビリティの結びつきは一層強化されています。この検知ルールに作業や費用の追加は一切必要ありません。数百ものサービスやシステムからわずか数分で、DevOpsチームとセキュリティアナリストの双方に役立つインサイトを抽出できます。もちろん、お使いの環境に応じて、追加のルールをフレキシブルな検知エンジンに追加することも可能です。
その他の新機能について詳しくは、Elasticオブザーバビリティ7.9ブログ記事を併せてご覧ください。
Elasticセキュリティに内蔵のエンドポイントセキュリティ、無料プランに登場
統合型マルウェア防御でエンドポイントへの攻撃を阻止
今回のリリースは、包括的な統合型エンドポイントセキュリティの提供を目指すElasticにとってはじめての大きなマイルストーンとなります。無料のアンチマルウェア機能(ベータ)がElasticセキュリティに搭載され、“世界中の組織のセキュリティに貢献する”という取り組みを進展させることができました。Elasticの技術がシグネチャーレスメソッドでWindowsとmacOSホストからくるマルウェア攻撃を防ぐ実力は、最近AV-Comparatives社において検証されました。またElasticは、MITRE ATT&CK®準拠のルールでWindows、macOSおよびLinuxホストの脅威を検知する機能を提供しています。
クラウドセキュリティの強化を支援
Elasticのセキュリティ研究チームは新たに、クラウドインフラ監視のための事前構築済み防御と、IDおよびアクセス管理テクノロジーをリリースしました。ユーザーはATT&CK® Matrixに準拠した事前構築済みの機械学習ジョブ(一般公開)と脅威検知ルール(ベータ)を使って、重要なクラウドインフラとアプリへの攻撃を検知できます。
コミュニティ主導のワークフロー強化で防御、検知、対応を一元的に実施
Elasticセキュリティ7.9で、複数のワークフローが強化されました。このワークフローを使って、アナリストは攻撃に対して効率的にトリアージ、追跡、調査、対応できます。新登場の内蔵型調査ガイドを使うと、アナリストが特定のタイプのアラートを開くときにどの質問をすべきかを把握する手助けとなります。またこのガイドに沿ってタイムラインをカスタマイズし、データプレゼンテーションを最適化することで、インサイトをすばやく取得できます。
検知とエンドポイントルールに例外を追加する、効率的なワークフローも加わりました。誤検知を最小化するために生じる作業負荷の軽減に役立ちます。またIBM Resilientとの統合機能も新たに登場しました。セキュリティチームや、その他の範囲にわたってインシデントレスポンスワークフローを最適化します。
データ統合機能の強化で、投入がよりシンプルに
バージョン7.9より、Microsoft Defender ATPやWindows PowerShell、Google G Suiteを含む複数のホストやクラウドデータソースを新たにサポートしています。今回登場した統合機能はセキュリティ運用のほか、DevSecOps、その他の一般的なユースケースまで広くサポートします。さらに、20以上の一般的なネットワークとアプリのセキュリティテクノロジーについて新たにサポートを開始しています。
詳しくは、Elastic セキュリティ7.9リリースブログをご覧ください。
瞬時にページを読み込むKibanaの新たなエクスペリエンス
Kibanaページの読み込み速度が向上、すばやい操作と自然なワークフローをサポート
Elasticはこの18か月以上、Kibanaの中心となるエンジンのオーバーホールを行ってきました。7.9リリースではついにこの作業が完了し、Kibanaのすべての基盤アーキテクチャーを移行することができました。すぐ実感できるメリットとして、Kibanaの操作エクスペリエンスが劇的に高速化しています。APMからダッシュボードへ、さらにマップへ、SIEMへと、瞬時に画面を切り替えることができます。ミッションクリティカルなシステムのサポートや、セキュリティ脅威からの防御、データ分析など、あらゆる作業でユーザーの集中力を妨げることがありません。このようなユーザーエクスペリエンスの向上に加え、新しいアーキテクチャーはKibanaの開発コミュニティにとっても大きな進展となっています。各種機能をより早く実行できる性能のおかげで開発作業効率が向上し、結果的に高品質のコードを生み出すことができます。
データ投入をシンプルにする、Elastic Agent
Elastic Agentは、Elasticsearchへのデータ投入を支援する軽量なデータシッパー、Beatsが築いてきた技術をベースにElasticが新たに開発したエージェントです。“すべてを支配する1ビート”というコンセプトを掲げ、7.9でベータリリースとなります。ユーザーはこれまでのようにホストに複数のBeatsをインストールするのではなく、単体のElastic Agentをインストールするだけで済みます。Elastic Agentはメトリックの収集、ロギング、マルウェア防御など、広範な目的に必要となるコンポーネントをすべて搭載しています。同時にもう1つの新機能、Fleetもリリースされました。Fleetを使うと、数千ものエージェントを一元的に管理できます。いずれの新機能も、KibanaのIngest Managerからアクセスすることができます。クラウドインフラを監視するときも、数千ものエンドポイントを設定するときも、今回登場した新機能を使ってより早く設定し、安定した状態でより手軽に操作できます。もちろん、今回の新機能がElasticのゴールではありません。今回のリリースは、Elasticが続ける旅の序盤といったところです。
検索効率を高めるワイルドカードデータタイプが登場
自分が何を検索しているのか、その半分もわからないという状況は決して珍しくありません。特にオブザーバビリティとセキュリティにまたがるユースケースでは、ワイルドカード演算子がパワフルな検索能力を発揮します。ログは、スペースのない長い文字列を含むことがよくあり、標準的な反復セクションと変化する情報(名前や、期間、IPアドレスなど)で構成されます。そこでワイルドカードデータタイプの登場です。このような文字列を高パフォーマンスかつ小サイズのインデックスで効率的に検索するため、文字列を3文字のトークンに分割し、クエリにも同じテクニックを適用します。このメソッドを使うと、パフォーマンスを損なうことなく、検索でワイルドカードと正規表現をサポートすることができます。ワイルドカードデータタイプにワイルドカード演算子を使うと、検索対象を見つけるまでの所要時間を劇的に短縮できます。Elasticセキュリティソリューションを使うアナリストが脅威ハンティングを実施するなどの場面で、ワイルドカードデータタイプは特に便利です。
ElasticsearchにEvent Query Language(EQL)のプレビューが登場
ここ数年Elasticに寄せられていたリクエストに、「脅威ハンティングとセキュリティ検知のユースケースをサポートする相関クエリ言語を導入してほしい」というものがあります。昨年のEndgameの合併に伴い、Elasticはこの目的のために設計され、過酷なテストを経たパワフルな言語であるEvent Query Language(EQL)を継承しました。EQLは数年にわたってEndgameのソリューションを実行し、エンドポイントで効率的に脅威をブロックしてきました。そして今回、7.9でElastic最初のEQLをパブリックプレビューでリリースいたしました。このEQLはElasticsearchの第一級クエリ言語で、試験的な機能という位置付けです。今回はElasticsearchのAPIとしてリリースされますが、今後はElasticセキュリティとKibanaに堅牢なEQL向けUIを組み込んでいく予定です。Elasticはユーザーの創造性と、お寄せいただくフィードバックを何より大切にしています。EQLはセキュリティを目的として誕生しましたが、私たちはElasticsearchのさまざまな新しい活用につながる可能性を感じています。
ご紹介した機能やその他の情報について、Kibana 7.9ブログ記事およびElasticsearch 7.9ブログ記事でもお伝えしています。併せてご覧ください。
AWS PrivateLinkのサポートを開始、Elastic Cloudのセキュリティ強化に貢献
セキュリティとコンプライアンスを強化するAWS PrivateLinkのサポート、IPフィルタリング機能、Google資格情報、FedRAMP認証のサポート
ElasticはAWS PrivateLinkのサポートも開始しています。AWS PrivateLinkはAWSの仮想プライベートクラウド(VPC)とElastic Cloudの間をプライベートネットワーク接続で結びます。また複数のパブリッククラウドプロバイダーにわたるIPフィルタリングのサポートも開始しました。Elastic CloudのデプロイへのネットワークアクセスをIPアドレスに基づいて指定したり、アドレスのブロックや、アドレス範囲の指定を行うことができます。さらに、Googleアカウントのサポートも導入されています。既存のGoogleアカウントの資格情報を使って、Elastic Cloudにサインアップすることができるようになりました。わずか数クリックで、GoogleのIDを使ったElastic Cloudアカウントへのアクセスを設定できます。個々の資格情報を維持する必要がなくなります。
Elastic Cloud AWS GovCloud US Eastリージョンは、FedRAMP Moderate認証向けに設計されています。連邦政府や国家、地域自治体のユーザーのほか、高等教育機関関係者、政府のデータを使用するユーザーは、今すぐ無料トライアルを開始していただくことができます。
セルフサービス向け月々プレミアムサブスクリプションと新リージョンの登場で、ますますフレキシブルになった購入オプション
Elastic Cloudコンソールで直接ゴールド、およびプラチナのマンスリーサブスクリプションを購入いただけるようになりました。わずか数クリックでサポートSLAのほか、エンタープライズサーチ、セキュリティ、セキュリティのソリューションをはじめとする、Elastic Stackならではの機能にアクセスできます。また複数のクラウドサービスプロバイダーで、対応リージョンを増やしています。カナダ中部、パリ、ソウルをはじめ、より多くの都市で近距離からElastic Cloudにアクセスできるようになりました。AWS GovCloudリージョンは、一般提供に移行いたしました。
サービスパフォーマンスを向上させる、インプレースの設定変更機能とAWSの新インスタンスタイプ対応
インプレースでの設定変更機能を導入し、設定のアップデートをより早く、安定して実施できるようになりました。ノードのローリングリスタートに続いてクラスターへの変更(設定、アップグレード、リサイズなど)を適用することでスピードと安定性を保ち、データ移行操作の実行時間が長くなるといった問題を回避します。またAWSのすべてのElastic Cloud対応リージョンで、Amazon EC2 M5d(汎用)、およびR5d(メモリー最適化)インスタンスのサポートを開始しました。M5dインスタンスは演算処理、メモリー、ネットワークリソースのバランスにすぐれ、またR5dインスタンスは大規模なデータセットをインメモリーで処理する際に高速なパフォーマンスを提供します。
セルフマネージド向け新機能が登場 - Elastic Cloud Enterprise 2.6とElastic Cloud on Kubernetes 1.2
Elastic Cloud Enterprise 2.6を一般公開いたしました。Elastic Cloud Enterpriseを使うと、ElasticがElastic Cloudの運営に用いるものと同一の機能を使って複数のElasticsearchクラスターを一元的にオーケストレーションできます。2.6リリースより、Elastic Cloud EnterpriseはElastic Cloud Control(ecctl)CLIのサポートを開始しました。これにより、最新のWorkplace Search機能とインプレースの設定変更のサポートを含む、新しい一元的なElastic Cloud Enterpriseの管理を行うことができます。
さらに、Elastic Cloud on Kubernetes 1.2が一般公開へ移行いたしました。Elastic Cloud on Kubernetesは、KubernetesでElasticsearchとKibanaを使う際のセットアップやアップグレード、バックアップ、スケール、高可用性、セキュリティまでをシンプル化します。最新のバージョン1.2で、Elasticエンタープライズサーチのデプロイとオーケストレーションを手軽に実行できるようになりました。わずか数行のYAML configでApp SearchやWorkplace Searchのインスタンスを立ち上げ、Elasticsearchクラスターに接続することが可能です。またバージョン1.2では、最新のBeats Custom Resource Definition(CRD)を使用して、FilebeatやMetricbeat、Auditbeatなど、ECKのデータシッパーをデプロイ、および管理できます。
Elastic Cloudの最新情報はこの他にも、Elastic Cloudの最新情報ブログでご紹介しています。
併せてご覧ください
他にもたくさんのアップデートを行っています。7.9に追加された新機能については、各ソリューションやプロダクトの個別のブログ記事でもご覧いただけます。
Elasticのソリューション
Elastic Stack
Elastic Cloud
- Elastic Cloud 7.9の最新情報(ブログ記事)