IT運用やサイバーセキュリティの歴史において、多くの場合データ分析はリアクティブなプロセスでした。ツールやチームが何らかの判断をするときに拠り所としたのは、データベースやデータウェアハウスなどのSoR (記録のためのシステム)のデータです。システムの現状を伝えるリアルタイムデータは一般的にはサイロ化しており、そのテクノロジーサイロを生み出した当人である一部の技術者しか見ることができませんでした。こうしたデータには、アプリケーション、データベース、物理/仮想サーバー、コンテナ、ルーターやファイアウォールなどのデバイス、クラウドサービスのログが含まれます。
Ponemon Instituteの試算では、行政・公共機関でのシステム障害1件あたりのコストは47万6,000ドルにのぼります。特に、システム侵害やランサムウェア攻撃による被害がコストを大幅に押し上げています。障害や侵害によるサービス停止またはパフォーマンス低下が生産性に及ぼす影響は、「生産性低下コスト = 影響を受ける従業員数 x それらの従業員の平均時給」の式で簡単に求められます。行政・公共機関の場合、顧客離れの心配はないため、コストが一番の懸念事項と言えるでしょう。
各デバイスを管理するチームごとにリアルタイムデータがサイロ化していると、情報に基づく意思決定やインシデントの解決に役立てるのが難しくなります。通常、インシデントが発生すると、各チームがそれぞれ所有するデータセットを調べ、それでも詳細がはっきりしない場合は緊急会議が招集されます。このよくあるシナリオには2つの問題があります。1つ目は、緩和策が実行されるのがインシデントの後または最中となり、被害を免れない点です。2つ目は、誰もが自身の担当範囲に落ち度がないことを証明しようとする「無実の主張合戦」に陥りがちな点です。これではインシデントを完全に防ぐことはできません。だとすれば重要なのは、障害や侵害が発生しても主要なサービスの提供を続けることです。データサイロを解消し、組織内の状況をリアルタイムで包括的に把握できるようになれば、問題の調査や解決のための緊急会議を招集する必要がなくなります。また、リアルタイムデータを活用して予測可能性を高めれば、障害、侵害、パフォーマンス低下の防止や最小化につながります。問題の予測はIT運用チームにとって理想の対策です。
Meritalk社とSplunkが共同で実施した最新の調査によると、行政機関のサイバーセキュリティ担当者の91%が、組織にはレジリエンスを向上させるための包括的で成熟した戦略が必要だと回答しています。同時に、同じ割合の回答者が、組織の幹部はいまだにレジリエンスを単なるコンプライアンスやリスク管理の一環としか考えていないと回答しています。Splunkは、「可視化ツール」としての印象は薄いかもしれません。しかし、デバイス、アプリケーション、オンプレミスシステム、クラウドサービスから送られるデジタルデータを取り込んで分析し、統合された画面に表示するSplunkの能力は、組織全体の状況をリアルタイムで可視化するという点で、他の運用レポートツールやデータウェアハウス可視化ツールでは獲得できない、組織幹部が必要とするインサイトをもたらします。
ログ、メトリクス、トレースなどのリアルタイムのデータソースから引き出したインサイトをSplunkダッシュボードで可視化すれば、組織幹部は現状を把握できます。静的な運用レポートや履歴レポートとは異なり、ダッシュボードにはリアルタイムのデータが反映されるため、プロアクティブなアプローチを取り入れ、可視性を向上させて、ダウンタイムやパフォーマンスの問題を削減することで、コストとリソースの節約につなげることができます。
プロアクティブなアプローチ:IT運用やサイバーセキュリティの歴史において、多くの場合データ分析はリアクティブなプロセスでした。リアルタイムデータを可視化するSplunkなら、データマイニング、予測分析、機械学習アルゴリズムを活用して、従来の手法やツールでは見つけるのが難しいパターンを特定し、よりプロアクティブに対応できます。
可視性の向上:最新のITインフラでは、物理サーバー、仮想サーバー、パブリッククラウド、プライベートクラウド、データベース、アプリケーションが混在し、複雑に依存し合っています。このような環境で可視性を確保するのは容易ではありません。Splunkを統合監視/分析ツールとして使用し、リアルタイムデータを取り込めば、環境全体を1カ所で包括的に可視化し、データに基づいて意思決定ができます。
ダウンタイムの削減:リアルタイムデータは、コンポーネントでの障害発生、サービスへのアクセス急増、セキュリティ脅威の発生など、インフラの問題を予測、防止、検出するための判断材料を提供します。こうした問題を予測したりすばやく検知したりできれば、顧客に重大な影響が及ぶ前に解決できます。
コストの節約:リアルタイムデータをダッシュボードで監視することで、リソースの割り当てや使用状況、システムの健全性、セキュリティの脆弱性などについて、より深いインサイトを獲得できます。それに基づいてインフラを最適化すれば、コストを大幅に節約できます。
Splunkは、2013年から上記4つの領域での成果向上を支援し、数々のお客様のベンチマークを改善するという実績をあげています。
組織では膨大な量の情報とデータが日々生成され、個人の力では到底すべてを確認しきれません。また、テクノロジーを活用して、より大きな問題を解決したり、より優れたサービスを生み出そうとすれば、新しいテクノロジーを導入することになり、環境の複雑さが増します。 さらに、レガシーシステムを維持しながらクラウドサービスを追加すれば、生成されるデータの量がますます増えます。 それでも、組織にとって最善の意思決定をするには、この大量のデータを統合して活用する必要があります。
その点を踏まえて設計されたSplunkの経営幹部用ダッシュボードでは、システムの状態がグラフィカルに表示され、関心のある情報を一目で把握できます。レポートを読み通すのに貴重な時間をとられることも、細部にとらわれて大局を見失うこともなく、リアルタイムデータを分析し、インサイトに基づいてアクションプランを立てることができます。
Splunkには、このハイレベルなビューが1つだけでなく、幹部の役割ごとに用意されています。各幹部は、データをドリルダウンして個々のメトリクスを確認することで、コンテキストをより深く理解できます。これにより、特定の問題に取り組む複数のリーダーやチーム間でデータの一貫性を保ち、問題を解決に導くことができます。リアルタイムの一貫したデータ表示を活用すれば、貴重な時間を節約できるだけでなく、組織に関するメトリクスをより正確に把握し、より的確なインサイトをリアルタイムで獲得して、新たな機会や問題に今まで以上にすばやく対応できます。
CISO
このダッシュボードでは、セキュリティリーダー向けのリアルタイムのインサイトが5つの領域に表示されます。 上部にある4つのトレンドボックスには、各メトリクスの動向が表示され、良い方向に向かっているか悪い方向に向かっているかが色で示されます。中央にある2つのグラフは、セキュリティイベントを緊急度別、セキュリティドメイン別に示し、ここから組織のセキュリティ態勢に関するより詳細なインサイトが得られます。下部の左にあるグラフは、セキュリティドメイン別のイベントのタイムラインを示します。最後に、下部の右には、違反件数の多いセキュリティルールに関する詳細が表示されます。
CEO、CIO、CISO、組織代表、事務長、CMO (Chief Medical Officer)
ゼロトラストの導入状況を示すこのダッシュボードは、旧版のものからレベルアップしていますが、基となるデータはほとんど同じです。IT部門をはじめとするリーダー層が重要な導入プロジェクトの進捗をすばやくチェックできるように設計されています。左側にあるグラフは、ゼロトラストの導入に必要な主な構成要素ごとの完了率を示します。右側には、プロジェクト全体の導入タイムラインに対する完了率と、マイルストーンの達成状況が示されます。
CIO、CISO、CTO
クラウド移行は多くの組織にとって最優先事項です。しかし、通常は進捗状況と節約効果をリアルタイムで可視化するのは容易ではありません。このダッシュボードの左側には、インフラとアプリケーションのクラウド移行の進捗が、コストと完了率の観点で示されます。 右側には、クラウド移行でこれまでに費やした支出と実現した節約額が示されます。
CIO、ネットワーク運用責任者
市内、公共交通機関の拠点、大学キャンパスやその他の組織の敷地内で高速Wi-Fi通信を提供することは当たり前になりつつあります。使用量の多い場所や時間帯を特定すれば、そのデータの傾向に基づいてサービスを拡充し、通信パフォーマンスを最適化できます。このダッシュボードでは、図のように、通信状況が良い場所と悪い場所をモバイルユーザーに知らせることもできます。
人事責任者
いわゆる「大退職時代(Great Resignation)」の後も、従業員の満足度を把握して人材を維持し、適切な人材計画を立てることは、多くの組織にとって重要事項です。このダッシュボードでは、従業員の勤務形態、不足状況、在職期間と従業員満足度を一目で確認できるため、経営幹部や人事責任者は、懸念のある領域と改善が可能な領域をすばやく特定できます。
CCO (Chief Care Officer)、CMO (Chief Medical Officer)、CNO (Chief Nursing Officer)
このダッシュボードの左側には、スタッフの空き状況に関するリアルタイムのインサイトが表示されます。部門長やCXOは、これに基づいてスケジュールを調整し、医療スタッフの配置を最適化できます。右上には、医療サービスの提供や入院の受け入れに影響を与える可能性のある、運営全体に関する重要なメトリクスが表示されます。右下には、支出の観点での主要な財務メトリクスの概要が表示されます。
あらゆるタイプと形式のデータをあらゆる時間軸で分析し、経営幹部用ダッシュボードにわかりやすく表示するSplunkは、幹部が組織全体の状況をリアルタイムで把握するために最適なプラットフォームです。 このダッシュボードでは、データの傾向、パターン、異常が一目でわかるため、リーダーとそのチームは明確なインサイトを獲得できます。Splunkがあれば、環境全体を可視化することで、日常業務を効率化し、問題のMTTD (平均検出時間)とMTTR (平均解決時間)を短縮して、影響を最小限に抑えることができます。これにより、システム障害に対する耐性と回復力を高め、トランスフォーメーションを加速して、重要なミッションを達成できます。
静的なレポートを作成するツールとは異なり、ダッシュボードにはリアルタイムのデータが反映されるため、プロアクティブなアプローチが可能です。また、ダッシュボードによって可視性を向上させ、ダウンタイムを削減し、パフォーマンスの問題を予測することができるため、コストと時間の節約に加え、ユーザーの生産性向上も実現できます。セキュリティチーム、IT運用チーム、エンジニアリングチームの個別の業務だけでなく共同作業もサポートするSplunkなら、レジリエンスを向上させるための3つの主要な成果も達成できます。
Splunkダッシュボードには、組織のすべてのシステムの状況がリアルタイムで包括的に表示されます。これらのダッシュボードを活用すれば、主要なリスクや問題をプロアクティブに検出して、重大なインシデントに発展する前に対処できます。経営幹部用ダッシュボードを通じて、チーム間で問題やイベントに関する認識を共有し、組織全体のレジリエンスを向上できます。これにより、組織のMTTDやMTTRを改善して正常な状態にすばやく復旧することができます。さらに、未活用のデータをSplunkで可視化することで、デジタルトランスフォーメーションを加速させ、自信を持って利用者に優れたサービスを提供できます。
Splunkが目指すのは、より安全でレジリエントなデジタル世界を作ることであり、SLEDコミュニティの支援にも積極的に取り組んでいます。最新のグローバル調査レポート『CISOレポート』では、CISO、CSO、およびセキュリティリーダーが今日向き合う新たなトレンド、脅威、戦略を解説していますので、ぜひご確認ください。
ダッシュボードの作成はDavid Habudaにご協力いただきました。
このブログはこちらの英語ブログの翻訳、中里 美奈子によるレビューです。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。