地方自治体におけるデジタルレジリエンス(パート1)

デジタルシステムは、かつては住民の期待に応えるためのシステムでしたが、今日では住民とのやり取りの大半を担っています。しかし、住民の関心が、デジタルシステムの複雑さやパフォーマンスの維持にまつわる課題に向かうことはありません。住民にとっては、システムを確実に利用できればそれで十分なのです。

とはいえ、システムの正常な稼動を確保する取り組みには、常に不安がつきまといます。私たちの周りは、脅威の進化、システムの侵害、システムにかかる負荷の増大など、業務の停止につながりかねないリスクに満ちあふれているからです。

デジタルシステムを強化し、多くの問題を検出してその発生を防止するためにできることは数多くあります。それでも、問題が起こってしまうのが現実です。

行政機関や組織は、デジタルレジリエンスを実現するにあたって、主に次の3つの課題に直面しています。

• 今日のデジタルシステムの複雑さに伴うリスクの増大
• 問題の検出や対応の妨げとなっているツールやチームのサイロ化
• インシデント発生によるリアクティブな対応から、新たなインシデントに備えて予防策を講じるプロアクティブな対応に移行することの難しさと、そのために必要な文化やテクノロジーの変革

今日のデジタルシステムの複雑さ：急速な変化に対応するために、今や大規模な組織のほとんどが、相互依存性の高いハイブリッド型やマルチクラウド型のテクノロジースタックを分散環境で展開しています。その上、サードパーティのサービスに依存しているケースも少なくありません。また、公共部門ではたいていレガシーシステムを運用しており、システムの維持に時間と労力がかかります。このような複雑なシステムが、攻撃者が悪用できる障害点を増やし、攻撃対象領域を広げることにつながっています。

ツールやチームのサイロ化：たとえ同じチーム内でも、さまざまなツールが混在していては、アナリストやエンジニアが問題の解決に欠かせない包括的な可視性やインサイトを得ることは困難です。チーム同士の連携が必要なケースでは、状況はさらに深刻になります。ITやセキュリティの問題の多くは、サービスの停止や低下など、同じような兆候から始まります。しかし、セキュリティアナリストやITアナリスト、それにエンジニアは、互いに協力する必要がある場面でたいていストレスを感じています。使用しているツールがばらばらで適切に連携せず、同じデータに基づいて対応したり同じ検索機能やプレイブックを活用したりすることができないからです。データに対して共通の理解を持てず、連携ができない状況では、チームが問題を効果的に特定して解決することが難しいため、住民にとって最適で安全なサービスを提供することも困難になります。

リアクティブからプロアクティブな対応への転換：チームがリアクティブな「火消し」モードに陥ってしまい、問題を包括的に解決したり、脅威やインシデントにプロアクティブに対応したりするのに苦労している状況は珍しくありません。インシデント発生によるリアクティブな対応から、新たなインシデントに備えて予防策を講じるプロアクティブな対応に移行しようとしても、大量のアラートが押し寄せる中で優先順位を付ける作業はたいてい困難です。そこでSplunkは、MLにおける実績を活かして次世代のAI機能を提供することで、行政機関が予測に基づいてプロアクティブに問題に対応し、インシデントの発生を未然に阻止できるようにしています。

今日のITシステムの複雑さ：セキュリティ、IT運用、エンジニアリングの各チームが連携しない限り、複雑なITシステムにおいてインシデントの根本原因を突き止めることは困難です。たとえば、すでに経験があるかもしれませんが、Webサイトがダウンしてしまった場合を考えてみましょう。アラートがあちこちで鳴り響き、トラフィックの急増が見られるようになります。原因はDDoS攻撃でしょうか？サイトに対する需要の急増でしょうか？あるいは、APIの設定ミスでしょうか？

このような場合に、セキュリティチームがデータセットを使用して調査を開始する一方、IT運用チームとエンジニアリングチームも、互換性がなくデータ共有ができない独自のツールを使って、同じ問題に取り組み始めることがあります。しかし、こうしたやり方がインシデントへの最も効率的な対処方法でないことは明らかです。なぜなら、各チームが同じ問題に対して異なる情報源や手法で調査せざるを得なくなるからです。チーム同士の連携ができない状況では、対応のスピードが遅れ、インシデントが組織の基幹業務にますます影響をもたらす可能性があります。

しかしSplunkなら、データをサンプリングせずに組織の基幹業務に即した形で、デジタルシステム全体を包括的に可視化することが可能です。そのため、セキュリティ、IT運用、エンジニアリングの各チームは、テクノロジースタック全体のデータと依存関係を簡単に把握できます。Splunkを使えば、この可視性を基盤に、根本原因や影響範囲を迅速かつ正確に特定できる高度な機能を活用し、インシデントの優先順位を適切に設定して対応できます。

組織は、多くのインシデントを自動的に検出して修復することで、インシデントが深刻な問題に発展するのを阻止できます。また、人による対応が必要なインシデントについても、Splunkが提供する高度なインスタントトラブルシューティングによって、どのアラートが重要か、どこを確認すべきか、どのような影響が下流のプロセスに及ぶ可能性があるかを把握することが可能です。さらに、インシデントの調査や対応でチーム同士の連携が必要な場合でも、共通のクエリ言語や可視化ツールでデータコンテキストを共有することで、「意図が伝わらない」という問題の発生を防ぎ、セキュリティ、IT運用、エンジニアリングの各チームは容易に、互いの成果を活用して無駄な手戻りを最小限に減らすことができます。

攻撃者は、データやチームがサイロ化した状況を悪用しています。セキュリティチームはこの脆弱性を十分に認識していますが、そのギャップを簡単に埋められるプラットフォームやプロセスがありませんでした。しかしSplunkは、データソースに依存せず、複雑なハイブリッドテクノロジー環境にもレガシーシステムにも対応します。そのため、データをサンプリングせずに組織の基幹業務に即した形で、データ全体を包括的に可視化できます。Splunkを使えば、この可視性を基盤に、検出と調査を迅速化する強力な機能を活用して、対応の最適化を促進することができます。

さらに、データやツールが共通のため、インシデントのライフサイクル全体を通してチーム間の連携もしやすくなります。Splunkなら、システムを包括的に可視化できる機能で、インシデントが深刻な問題になるのを阻止できます。この機能により、重要なリスクを洗い出して問題を特定し、その問題が大規模なインシデントに発展する前に対策を講じることが可能です。この他にも、脅威への対応や障害から復旧を迅速に行えるようになります。どれほど効果的にインシデントを未然に防いでも、問題が発生することは避けられません。ですが、Splunkを使用すれば、MTTD (平均検出時間)とMTTR (平均復旧時間)を短縮し、すぐにサービスを復旧できます。

サービスの劣化や停止を引き起こす原因は限りなくあるため、チーム同士が連携し、データを共有して対応することが、問題の検出、調査、対応の改善につながります。データはレジリエンスにおける共通言語です。Splunkがお客様のデータを分析したところ、セキュリティデータとオブザーバビリティデータの重複は最大で85%に達していました。しかし、共通のデータを可視化すれば、チーム同士の連携が容易になるため、インシデントが深刻な問題になるのを阻止し、修復と対応にかかる時間を短縮できます。これにより、すべてのチームが最高のパフォーマンスを発揮できるようになります。

Splunkのプラットフォームは、拡張性とカスタマイズ性に優れているだけでなく、Splunkやパートナーが開発した数千のAppや統合機能で、データとプロセスの共有によるチーム間のスムーズな連携を可能にし、組織のレジリエンスを強化します。

このブログはこちらの英語ブログの翻訳、伊藤 宣子によるレビューです。