ガートナー社 2025年 SIEM部門のマジック・クアドラント
Splunkが11回連続でリーダーに選出された理由をこちらからご確認ください。
足かせとなっているのは、データ量ではなくデータグラビティ(重力)
ITリーダーとセキュリティリーダーがデータについて議論するとき、まず話題になるのはコストです。彼らは、より多くのデータをより長く保存する必要に迫られています。しかし、組織の取り組みを妨げている本当の問題は、テラバイトあたりのコストではありません。本当の問題は、データの集約を重視した時代遅れの戦略によって生じるデータグラビティなのです。
組織が蓄積しているデータは、別の場所に移動するのがほぼ不可能なほど膨大な量に上っているため、組織はそのデータを中心にアプリケーションを構築せざるを得なくなっています。このように、アプリケーションがデータに引き寄せられることによって、サイロ化がもたらされ、パフォーマンスが低下し、スピードと即応性が最も求められる瞬間にデジタルレジリエンスを発揮できない状態になっています。
しかも、デジタルレジリエンスは、アップタイムだけでなく適応力にも影響します。ここで言う適応力とは、サイバー攻撃、クラウドの設定ミス、AIの暴走など、組織がオフライン状態に追い込まれる原因となるものを先回りして把握し、判断を下し、対策を講じる能力のことです。そのため、データ管理に対する考え方を根本的に変える必要があります。重要なのは、「すべてのデータを収集する」ことではなく、「適切なデータを活用する」ことです。データを保存するのは当然ですが、そのデータに基づいて行動することが組織の成功へとつながるのです。
データの価値はさまざま:価値の違いを戦略的に活かす
「データに価値があるのなら、データは多い方がいい」という意見が、CISOやCIOから聞かれることがよくあります。その論理は理解できます。データが金であるなら、すべてのデータを保管しない手はありません。しかし、すべてのデータが金であるとは限りません。ブロンズ級のデータもあれば、ゴミのようなデータもあります。したがって、すべてのデータを平等に扱うことは、F1レースのモナコグランプリにトラックで出場して勝利しようとするようなものです。たしかに、トラックは馬力があり、大きな燃料タンクを備えていますが、スピードと正確なドライビングを競う自動車レース向けに作られた車ではありません。
調査レポート『データ管理の新たなルール』によれば、昨年は91%の組織がデータ管理の支出を増やしましたが、依然として69%の組織がコンプライアンスの維持や価値の抽出に苦労しています。なぜなら、彼らが「すべてを保存する」という考え方に囚われ、「すべてをオーケストレーションする」というアプローチに移行できていないからです。すべてを集約するのではなく、すべてを結び付けることを目標にすべきなのです。
今重要なのは、データから迅速に価値を引き出すことです。インシデント対応について考えてみましょう。障害が起きたときにセキュリティチームが数週間分の未加工のログを精査していては、貴重な時間の浪費につながります。しかし、認証の問題、システムのエラー、エンドポイントのアクティビティなどの有用なテレメトリがあらかじめ優先付けされて、リアルタイムで活用できる状態になっていれば、セキュリティチームやITチームは数秒で根本原因を特定できます。これがデータの価値を活かすということであり、チームは一刻を争う状況でも、ノイズに惑わされずにすばやく判断を下すことができます。
すべてのデータが必要なのではありません。必要なのは、適切なデータをすぐに使えることです。
ハイブリッドは避けられないが、データのサイロ化は避けるべき
Michael Dell氏はかつて、「クラウドは場所ではなく、運用モデルだ」と発言しました。これは正しい考え方です。実際、ハイブリッドクラウドは妥協の産物ではなく、現代のエンタープライズITに欠かせない存在となっています。
しかし、課題もあります。それは、ハイブリッドアプローチによって環境やツールが増え、断片化が進むことです。そして、断片化は摩擦を生み出します。筆者がこれまで話を聞いたITリーダーのほとんどは、オブザーバビリティツール、セキュリティプラットフォーム、コンプライアンスシステムを切り替えながら使用していましたが、そのどれもが独自のデータレイヤーとスキーマを持ち、それぞれに盲点を抱えていました。
このようなリーダーに必要なのは、筆者が「一元監視システム」(MOM:Monitor of Monitors)と呼ぶ考え方です。それは、テレメトリ、セキュリティ、AI、およびオペレーションのシグナルを組み合わせて、1つの統合ビューを作成するアプローチです。MOMは新たなツールではなく、オブザーバビリティをスタックではなくファブリックとして捉えるアプローチです。つまり、あらゆるチームやシステムで共通に利用できる可視化機能を構築してサイロを打破し、データを孤立したスタックに閉じ込めることなく、リアルタイムで活用できるようにするアプローチなのです。
データの活用が新たな差別化要因となる理由
何年もの間、標準的なアプローチは、データを可能な限り集約して保存するというものでした。しかし、このアプローチでは、今日のように規模が大きく複雑なデータに対処できません。
今求められているビジョンは、統合サーチ、エッジ処理、階層的な保持によって、データを効果的に活用することです。調査によると、データの再利用をデータ管理戦略に取り入れている組織は、そこに大きな価値を見出しています。具体的には、52%の回答者がインシデントの影響を軽減し(その他の回答者は35%)、62%の回答者が脅威検出のパフォーマンスを向上させていました(その他の回答者は47%)。このような結果となった理由は、収集するデータを増やしたからではなく、データの結び付きを強めたからだと、筆者は経験から感じています。
筆者は現在、「蓄積」から「活用」へのシフトを組織に促しています。具体的には、次のような取り組みです。
- 蓄積より活用を優先する:検索することのないデータは保存しないようにします。
- 移行するのではなく統合する:統合的に可視化することこそが組織の力になります。
- 人間と機械のためのデータパイプラインを設計する:セキュリティチーム、IT運用チーム、AIシステムのすべてが、コンテキストを持ったデータを必要としています。
データの活用は、組織にとっての差別化戦略となり、競争優位性の獲得につながります。競争に勝つのは、大規模なデータウェアハウスを抱えた企業ではありません。よりスピーディーかつスマートにデータを成果に変えることができる企業なのです。
成果の裏付けにもなれば、リスクを高める要因にもなるAI
最新のデータ管理戦略の導入に関して、筆者が一緒に仕事をしてきた組織の多くは、取り組みの足かせとなっているのがデータグラビティであり、その取り組みを加速するのがAIであることに気づいています。簡単に言えば、AIはデータに基づく迅速な行動を組織に促すだけでなく、旧来のアプローチの問題を浮き彫りにしているのです。
AIは、コンテキストを持った質の高いデータがあってこそ力を発揮します。そのようなデータがなければ、モデルのドリフト(精度の低下)やハルシネーション(幻覚)が起こったり、バイアスが大きくなったりします。しかも、AIはもはや実験段階ではなく、本番システムに組み込まれているため、活用に失敗すれば、金銭的損失、規制当局による罰則、評判の低下に直面することになります。McKinsey社によると、今では40%の組織が、生成AIに関連したサイバーセキュリティリスクの軽減に取り組んでいます。
解決策は、データを増やすことではなく、データを結び付け、システム、ユーザー、および環境の全体像が反映されるようにすることです。チームがすべてのハイブリッドインフラを可視化し、高品質なシグナルをモデルに供給し、リアルタイムでパフォーマンスを監視できるようになれば、AIは足かせではなく、力を与えてくれるものとなります。
データの集約を強制することなくデータを活用し、AIからより有用なインサイトを得られるようにしたいと考えているリーダーは、次の取り組みに集中する必要があります。
- 統合サーチと分析機能でデータを統合し、チームがデータを移動することなくすべてのデータにアクセスできるようにしながら、リレーショナルデータベースやデータレイクなど、さまざまなデータリポジトリでAIや機械学習アルゴリズムを利用できるようにする。
- AIシステムが人間のチームと同じ品質のセキュリティデータやオブザーバビリティデータを受け取っているか確認する。
- データアーキテクチャがサイロの垣根を超えてリアルタイムにコンテキストを提供できているか確認する。
- AIの成果をIT運用やセキュリティのワークフローと同じデータ基盤で活用できるようにする方法を検討する。
データドリブンなレジリエンスの未来
AIを重視し、ハイブリッドクラウドを利用する組織にとって、パフォーマンスに影響を与えている本当の要因は、コストではなくデータグラビティです。そして、この状況から抜け出すには、オブザーバビリティ、セキュリティ、AIの導入環境を1つにつながったファブリックとして扱えるアーキテクチャを構築する必要があります。
データグラビティがなくなることはないでしょう。しかし、データを蓄積するのではなく活用するリーダーなら、次の時代に適した安全でレジリエントな事業運営の方法を確立することでしょう。
Splunkがご支援します。
このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。
