セキュリティとオブザーバビリティの統合がデジタルレジリエンスを強くする

24時間つながることが当たり前の今日の社会で、デジタルシステムのセキュリティと信頼性を維持することは、もはや目標ではなく必須事項であり、経営レベルの課題です。デジタルシステムの複雑さが増し、イベントがかつてないペースで増え続ける中で、組織は、システム、データ、組織の評判を守るために無数の脅威と戦い続けています。同時に、システムのパフォーマンスを最適化し、ボトルネックを特定して、全体的なユーザーエクスペリエンスを向上させる必要もあります。従来、セキュリティチーム、IT運用チーム、エンジニアリングチームは通常、異なるツールを使用し、それぞれの領域内で閉じたプロセスに沿って、ばらばらに仕事をしていました。チーム間の協力が必要になったときは、多くの場合、その場しのぎの一時的なやり方でプロセスをつなぎ合わせていました。デジタル化によりシステムが複雑化し、脅威がますます増え、パフォーマンスに対する要求が高まる中、このようなやり方は最適とは言えず、時代にそぐわないことが明らかになってきました。  

このブログ記事では、ESG社のホワイトペーパー『セキュリティとオブザーバビリティ統合のビジネスケース：先進的なテクノロジーリーダーの戦略』(英語)で紹介されている考察と推奨事項について掘り下げます。また、セキュリティとオブザーバビリティの業務を統合してデジタルレジリエンスを構築する上でのSplunkの強みをご紹介します。

分断されたアプローチがチームの連携を阻み、MTTDとMTTRを長引かせる

システムが複雑化し、インシデントが増加し続ける中でも、セキュリティチーム、IT運用チーム、エンジニアリングチームは、より少ない労力でより多くの成果を出さなければならないというプレッシャーにさらされています。そこに昨今の人材不足とスキル不足が追い打ちをかけています。各チームは専用のツールを必要としていますが、スタンドアロンのツールだと、多くの場合、検出、調査、対応の精度を高めるために必要な組織レベルのコンテキストが得られません。たとえば、セキュリティチームとIT運用チームが異種のツールを使用している場合、クラウドサービスでの障害と、ネットワークに影響を与えている脅威との関連性を理解するのが難しくなる可能性があります。同様に、自分たちのチームの領域における決定案が、他の領域のシステムやサービスにどのような影響を及ぼすかを理解できないこともあります。環境を包括的に可視化できず共通認識を持てないことは、優先順位や対応のずれにもつながります。ESG社のアナリストはこの状況を次のように説明しています。「セキュリティチームは、アプリケーション内で保護されていないデータフローやルーターの設定ミスを発見すると、ソフトウェア開発チームやIT運用チームに問題を『丸投げ』し、各チームは独自の方法でデータを分析して、対応の優先順位を決め、問題を解決します。このとき、手動のプロセスによって修復が遅れたり、今後のソフトウェアリリースサイクルで修正されることを期待して問題がそのままにされることもあります。プロセスが重複していたり冗長だったりすると、重要なシステムの問題対応がどんどん遅れることになります」

このような話は私も実際によく耳にします。テクノロジーリーダーは、分断されたアプローチに起因する無駄なサイクルと長引くサービス障害に不満を抱いています。この状況を反映して、Splunkのセキュリティ調査レポートでは、81%の組織がセキュリティ運用とIT運用の業務の統合に取り組み、61%の組織がセキュリティ運用とオブザーバビリティの業務の統合に取り組んでいることが明らかになっています。それは、多くの回答者が、こうした統合は環境全体でリスクを可視化すること(58%)や、脅威の検出/対応プロセスでの連携を強化すること(55%)に役立つと考えているためです。また、Splunkのオブザーバビリティ調査レポートでは、多くの組織が、オブザーバビリティソリューションによる可視化が、セキュリティの脆弱性をより正確に検出および調査し、すばやく対応して修正するために有効であると考えていることもわかりました。

周到な統合戦略はすべてのチームに利益をもたらす

ESG社のホワイトペーパーでは、統合について推奨されるアプローチを紹介しています。実際、Splunkの多くのお客様がこのアプローチで成果をあげています。ポイントは、統合とは単一のツールに標準化することではないことです。むしろ、セキュリティチーム、IT運用チーム、エンジニアリングチームには、それぞれの業務にきめ細かく対応する専用のテクノロジーが必要です。重要なのは、それらを共通のデータ基盤上に構築して、各テクノロジーで生成されるデータを集約することで、情報のサイロ化を防ぎ、視野を広げることです。 

このアーキテクチャを実現するためにまず目標とすべきは、すべてのシステムとサービスのデータを活用して、部門横断的でコンテキストに富んだインサイトを生成することで、環境内のノイズを排除し、サービス障害やセキュリティ脅威の検出、調査、解決を迅速化することです。たとえば、ManpowerGroup社は、Splunkを活用して、チームの壁を超えたより的確な意思決定に役立つデータにすばやくアクセスできるようにしています。必要な情報がチームによって異なるため、チームごとに情報セキュリティダッシュボードを作成しています。たとえば、監査チームにとってはポリシーの準拠状況が重要であり、IT運用チームが知りたいのはパッチの適用状況です。同社のグローバルインフォメーションセキュリティ担当ディレクターであるMike Friedel氏は、「今日ではSplunkを通じてチーム間で共通の認識を築いています」と胸を張ります。

このアプローチには、MTTDとMTTRの短縮やプロセスの効率化以外に、コスト効率の向上というメリットもあります。Splunkの内部分析によると、セキュリティチームとIT運用チームが利用するデータは85%が重複しています。1つのデータソースに複数のチームがアクセスし、そのデータを活用して、それぞれ必要な情報を引き出すことができれば、各チームが別々にデータソースを運用するよりもコストを節約できるのは明らかです。 

Splunkは統合の実現とレジリエンスジャーニー推進のパートナー

Splunkは、世界中のさまざまな組織でレジリエンス構築ジャーニーに伴走し、セキュリティとオブザーバビリティの統合を支援しています。.conf23では、多くのお客様にこのテーマについて講演していただきました。たとえば、IKEA社のSplunkファンクショナルエキスパートであるMagnus Lord氏は、セキュリティ(SIEM)目的でSplunkを導入してすぐに、同じデータをIT運用に活用できることに気づいたときの話を語りました。同社では今日、Splunk Observabilityで基盤システムのアプリケーションやサービスの稼働状況を包括的に可視化して、サービスレベルを維持し、社内外のカスタマーエクスペリエンスを向上させています。また、Carnival社の脅威インテリジェンス/セキュリティ運用担当シニアディレクターであるAlex Tabares氏は、9つのグローバルブランド(90隻以上の客船が700の地域を航行)をSplunkで監視している話を紹介しました。これらの客船は「水上都市」のようなものであり、船上システムのセキュリティと可用性を常に確保することが不可欠です。そこで、Splunkによってすべてのデータを可視化し、ITチームとセキュリティチームが連携してデジタルレジリエンスを強化することで、最高レベルのクルーズ体験を提供しています。Splunkの導入により、同社のシステムの安定性に関する指標は過去3年間で70%以上向上しました。 

Splunkは、セキュリティチーム、IT運用チーム、エンジニアリングチームが必要とするすべての主要機能を統合的に提供して、検出、調査、対応を迅速化します。Splunkは、セキュリティとオブザーバビリティの両方の分野で最高レベルの評価を受けています。さらに、Splunkのセキュリティ製品とオブザーバビリティ製品を強力に支えるSplunkプラットフォームは、組織のデジタル環境全体を徹底的に可視化します。これにより、データのサイロ化が解消され、データのアクセスと表示が簡単になります。また、ドメイン間分析や相関付けを行うこともできます。さらに、これはコストの最適化にもつながります。また、すべてのSplunk製品にSplunk AIが組み込まれています。検出、調査、対応において、担当者主導で作業を進めながら、AIによって能力を強化することで、効率が大幅に向上し、複雑な問題でも迅速に解決できます。

Splunkによってデータを統合し、セキュリティとオブザーバビリティを分断する壁を取り除くことで、過剰なアラートを削減し、脅威やパフォーマンスの問題にすばやく対応しながら、リソースを最適化できます。予期しないトラフィック急増でも、コード変更によるセキュリティ脆弱性の発生でも、Splunkなら、チームの連携を強化してインシデントの検出、調査、対応を効率化し、MTTRを短縮して、顧客離れを防ぐことができます。Splunkの統合的なアプローチにより、セキュリティインシデントを単独で見るのではなく、システムパフォーマンスとユーザーエクスペリエンスのコンテキスト全体に基づいて分析することができます。その結果、ビジネスへの影響に基づいて対応の優先順位を判断し、デジタルレジリエンスを強化して、セキュリティとオブザーバビリティへの投資価値を最大化できます。

統合戦略がもたらすメリットについて詳しくは、プラットフォームとセキュリティの各関連ブログも参考にお読みください。

このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。