最新のアプリケーション開発手法は、ITへの投資効果を飛躍的に向上させます。クラウドインフラストラクチャの速度、効率、順応性、分散したマイクロサービス、そして変化し続ける迅速な展開方法は、数多くの画期的なイノベーションの一部です。ただし、一歩進むごとにITフットプリントが複雑になり、継続的な管理に影響が及ぶ可能性があります。

たとえば、多数の要素から構成される多層Webアプリケーションやモバイルアプリケーションを運用しているとします。その場合、すでにおわかりかと思いますが、各コンポーネントと運用の正常性を詳細に可視化することが最も重要となります。ユーザーは各要素からログを収集し、一元化されたログモニタリングシステムがすべての情報を活用して、サービスのステータスを示すことが可能です。ただし、継続的モニタリングソリューションがどれほどの情報を提供できるかを誰もが理解しているわけではありません。

継続的モニタリングとは、組織がITシステムとネットワークを絶えずモニタリングして、セキュリティ脅威、パフォーマンスの問題、コンプライアンス違反の問題を自動的に検知するアプローチです。その目的は、潜在的な問題や脅威をリアルタイムで特定し、それらにすばやく対処することにあります。

ただし、継続的モニタリングを実装していない企業もあれば、その実装方法をわかっていない企業もあります。ほとんどの企業は、意思決定を支えるためにデータを使用していますが、継続的モニタリングからのデータではない場合もあります。

この記事では、さまざまな種類の継続的モニタリング、そのメリット、そして継続的モニタリングの計画を適切に策定するうえでのいくつかのベストプラクティスについて説明します。

継続的モニタリングの種類

継続的モニタリングのスコープは、大きく3つのドメインに分けられます。

1. 継続的モニタリングのアプリケーションレイヤーは、アプリケーションのパフォーマンスを測定します。これらのアプリケーションは、自社でカスタムビルドしたものの場合も、サードパーティのソフトウェアの場合もあります。アプリケーションモニタリングのために、1秒あたりのトランザクションやエラー、システム稼働時間、可用性などのメトリックを追跡する必要があります。このような追跡は、ソフトウェアのバグ、パフォーマンスのボトルネック、全体的な操作性の迅速な特定に役立ちます。
2. 次のレイヤーであるインフラストラクチャのモニタリングは、従来のデータセンターやクラウドプラットフォーム内に存在する仮想データセンターのコンピューティング、ストレージ、ネットワーク、およびその他の物理デバイスを対象としています。このドメインをモニタリングすることにより、ITチームはパフォーマンスの問題をトラブルシューティングしたり、使用量を最適化したり、コストを削減したり、容量のニーズを予測したりできます。
3. ネットワークモニタリングは、ネットワークが進化する中で、ファイアウォール、スイッチ、ルーター、およびその他のデバイスのステータスを把握するのに役立ちます。ネットワークトラフィックの送信元IPアドレスと宛先IPアドレス、ポート、プロトコルメタデータをキャプチャし、それらを使用して、帯域幅の使用率、パケット損失、遅延、潜在的な悪意のある侵入の試みを見つけ出します。

継続的モニタリングでは、ログ、メトリック、トレース、イベントを各ドメインのデータソースとして使用できます。この記事では、特にログによる継続的モニタリングに焦点を当てます。

継続的モニタリングのメリット

継続的モニタリングは、IT運用に可視性の向上という価値をもたらし、これによって的を絞った迅速なインシデント対応が可能になります。エラーの特定が早ければ早いほど、根本原因分析とその後の修復プロセスを早期に開始できます。つまり、平均解決時間 (MTTR) が短縮されます。

また、差し迫った問題にすぐに対処できるよう、適切なITチームに自動アラートを送信できます。さらに、ランブックなどの自動化ツールとこれらのアラートを統合することで、人的介入なしに修正プログラムを適用して問題を解決できます。ITシステムのクライアントにとっては、このような積極的なアプローチによってエクスペリエンス全体が透明化されます。

たとえば、継続的モニタリングツールでは、特定のサーバーの空きストレージ領域が事前設定済みのしきい値を下回ったことを示すアラートを生成できます。これにより、インフラストラクチャチームに自動SMSテキストメッセージが送信され、サーバーの容量を増やすか、ディスクボリュームへの領域を追加するよう促されます。同様に、「複数回のログイン試行の失敗」イベントが発生した場合に、ネットワーク設定の変更をトリガーし、問題のあるIPアドレスをブロックしてSecOpsチームにアラートを送信できます。

継続的モニタリングでログを賢く使用すれば、サイバー攻撃のリスクを大幅に軽減できます。システムログの履歴をマイニングすることにより、パフォーマンス、セキュリティ、ユーザーの振る舞いに関するベンチマークを作成できます。本来の状態がわかると、現在のログイベントから異常を認識しやすくなります。

また、ログを活用することにより、認証とネットワークイベントを関連付けて（そしてそれらをベンチマークと比較して）、ブルートフォース攻撃、パスワードスプレー、SQLインジェクション、データの流出などの疑わしいアクティビティを特定できます。たとえば、ネットワークから移動する異常に大きいファイルがネットワークログで強調表示されたり、そのアクティビティと特定のマシン上の特定のユーザーが認証ログで照合されたりします。

このレベルのインテリジェンスは、ユーザーの振る舞い分析とリアルタイムの操作性モニタリングにも活用できます。たとえば、Webサーバーのアクセスログのレスポンスタイムからは、特定のランディングページの通常の振る舞いがわかります。この操作性の指標が突然低下した場合、季節的なトラフィックの増加を示している可能性があります。そのため、リソースのスケールアップが必要となるかもしれませんし、あるいは分散型サービス拒否 (DDoS) 攻撃の可能性も考えられます。

継続的モニタリングの実装に関するベストプラクティス

適切なプラクティスを取り入れることで、長期間にわたって使用可能な継続的モニタリングソリューションをセットアップできます。

まず、モニタリングプロファイルは、組織における制約と技術的な制約に合わせて調整する必要があります。継続的モニタリングにすべてのシステムを含めたくなりますが、そうすると必要以上にコストがかかり、複雑になってしまう可能性があります。ターゲットを慎重に選ばなければ、貴重なネットワーク帯域幅、ストレージ容量、処理能力が浪費されることになります。

これを行うには、IT環境を十分に理解し、実際のニーズとコストの上限を把握する必要があります。関連するすべてのチームのステークホルダーと密に話し合うことにより、各自のニーズと期待を把握できます。目的は、重要でありながらモニタリングされていないシステムがオフラインになる可能性を完全に排除することです。同時に、予期せぬ高額な請求書が経理チームに届くような事態も避ける必要があります。

最も重要なシステムを特定したら、モニタリングの範囲で最も重要なメトリックとイベントを絞り込みます。たとえば、アプリケーションエラーを優先的にモニタリングしたり、パフォーマンス関連のイベントやメトリックを重点的に収集したりします。ファイアウォール設定変更イベントをキャプチャするのか、ブロックされたトラフィックの詳細をキャプチャするのかという選択が必要になる場合があります。同様に、サーバー上の容量関連の問題で、どれが最も重要なのかを見極める必要が生じることもあります。

モニタリング対象のプロファイルができたら、それらのモニタリング方法を決定する必要があります。モニタリングソフトウェアを選択するときは、ビジネスとテクノロジーのニーズ、および使用可能な予算を考慮する必要があります。投資から最大限の価値を引き出すには、既存の環境と予測される環境の（すべてではないにしても）大部分に適したシステムが必要です。それはつまり、以下を意味します。

• 継続的モニタリングソリューションは、最初の実情調査フェーズで特定されたアプリケーションスタックと連携する必要があります。スタックには、すべてのソフトウェアコンポーネント、インフラストラクチャ、ネットワーク要素が含まれます。
• スタックの各統合ポイントからのログ、メトリック、イベント、トレースは、ソリューションに簡単に取り込める必要があります。
• ソリューションは、長期間にわたってキャプチャされた大量のデータを取り込んで保存し、処理できる必要があります。
• ターゲットシステムからキャプチャされたデータは、移動時と保存時に暗号化され、機密情報は必要に応じてマスキングされる必要があります。
• 業界の規制で求められている場合、キャプチャされたデータは特定の地理的地域でホストされる必要があります。
• 監視対象データを検索、分析、可視化できる必要があります。
• 同じアプリケーションスタックのタッチポイントからのさまざまなイベントとメトリックは、互いに関連付けて分析できる必要があります。
• 傾向、異常、比較結果を確認し、さまざまな通信チャネルでアラートをセットアップできる必要があります。
• ライセンスモデルは柔軟でなければならず、必要なときに必要なサポートを受けることができる必要があります。

最後に、継続的モニタリングは「設定さえしてしまえば後は気にする必要がない」ものではないということを覚えておいてください。製品のライフサイクル全体を通じて、継続的に改善し、進化させていく必要があります。その理由は、時間の経過とともに以下が必要になるためです。

• 継続的モニタリングの計画に新しいシステムを組み込む。
• 関連するすべてのチームと連携し、モニタリングが各チームにメリットをもたらしていることを確認する。
• ソリューションとのさらなる統合を実現するためにソースシステムのアップグレードや変更を行う。

次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください

SIEMとログ管理のための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon^®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。