デジタルレジリエンス・バイ・デザイン：Splunkとシスコによるシームレスなトラブルシューティング

テクノロジースタックの姿は以前とは様変わりしました。デジタルレジリエンスも同様に進化し、その目的はもはや稼働の維持や問題の防止にとどまりません。かつてないほどデータが増え、AIが進化し、リスクが高まる中で無秩序に広がり変化し続ける環境に、未曾有のスピードで適応することが求められます。

AIシステムの保護からエッジでのパフォーマンスの確保まで、組織のレジリエンスを維持するには、データを的確かつ迅速に保護し、監視し、行動につなげる必要があります。しかし、問題はデータが大量にあることだけではありません。データ環境が複雑化していることも大きな壁になっています。データはあらゆる場所で生成され、常に変化します。そこで、シスコとSplunkは、「デジタルレジリエンスはデータの問題」という共通のビジョンの下で連携を強化しています。データの問題を解決するには、セキュリティ、オブザーバビリティ、ネットワーク、AIなどの領域をまたいでデータを収集し、相関付け、行動につなげる新たな方法が必要です。シスコとSplunkはイノベーションを推進し、その方法を提供するさまざまな新機能を生み出して、Splunkポートフォリオ全体に組み込んでいます。

AIのためのオブザーバビリティ

AIの導入によって新たな可動要素が加わるとともに、複雑さと盲点も生まれます。AI導入による複雑化を緩和するため、Splunk Observabilityに、最新のAIスタックに特化した新しい可視化機能が追加されました。この機能を利用すれば、AIシステムの状況を常に把握し、問題探しに時間を取られることなく、イノベーションの推進に集中できます。

サンディエゴで開催されたCisco Liveでは、以下のイノベーションが発表されました。

• Observability CloudでのAIインフラ監視(プレビュー版)：AIオーケストレーター、ベクトルデータベース、アプリケーションプラットフォーム、クラウドモデルプラットフォーム、基本言語モデル、モデル計算インフラのコンポーネントをリアルタイムで監視して、生成AIのパフォーマンスとスケーリングを管理できます。
  
• Observability CloudでのAI対応アプリケーションのトレースレベルの統合(プレビュー版)：​LLMサービスの監視を通じて、AIアプリケーションのすべてのトランザクションを詳細に可視化できます。これにより、トランザクションの処理状況を把握し、パフォーマンスの問題の根本原因を特定して、サービスレベル目標を維持できます。
  
• AppDynamicsでのLLM監視(プレビュー版)：GPUインフラ、LangChainオーケストレーション、ベクトルデータベースのパフォーマンスを監視し、AppDynamicsやSplunk APMのデータと相関付けることで、LLMを認識した包括的なオブザーバビリティを実現できます。

オブザーバビリティのためのAI

AI向けのオブザーバビリティ機能によってモデルのパフォーマンスを可視化する一方で、オブザーバビリティ機能にAIを活用することで運用を効率化できます。Splunk Observabilityでは、動的なアノマリ検出から、インテリジェントな根本原因分析、自然言語によるトラブルシューティングまで、インシデント対応プロセス全体にAIが組み込まれているため、テレメトリからインサイトを簡単に導出し、アラートにすばやく対応できます。

サンディエゴで開催されたCisco Liveでは、以下のイノベーションが発表されました。 

• AppDynamicsのデータベースアノマリ検出： データベースの異常を自動的に検出して、ビジネストランザクションに影響が及ぶのを防ぎます。検出に機械学習を活用することで、手動での設定やしきい値の指定を不要にし、1分あたりの呼び出し回数(CPM)、接続数、実行時間などのメトリクスに基づいて異常を自動検出し、アラートを生成します。AIドリブンのアラートは調整が可能で、ビジネスニーズに合わせてモデルの感度を設定し、ノイズを低減できます。 
  
• AppDynamicsのインフラ向け根本原因分析(RCA)：アプリケーションのパフォーマンスに影響するインフラのパフォーマンス低下を自動的に検出し、根本原因を特定します。問題をすばやく解決するための推奨策を提案して、プラットフォームエンジニアからジュニアSREまで、すべてのチームを支援します。
  
• AppDynamicsのVA (オンプレミス) – 自動トランザクション診断：AIを活用した分析により、数百のトランザクションスナップショットをコンテキストに基づいて調査し、異常を検出します。これにより、オンプレミスワークロード全体のMTTR (平均対応時間)を短縮できます。
  
• Splunk ITSIのEventIQ：AIドリブンのアラート相関付けにより、ノイズを動的にフィルタリングし、関連するイベントをグループ化して、早急な対応が必要な重大インシデントをわかりやすく表示します。重要なフィールドを動的に推測し、イベント相関付けの詳細条件を設定して、プレーンテキストによる説明を付加することで、チームが特に重大な問題に集中してすばやく対応できるようにします。

Splunkが最近リリースしたObservability CloudのAI Assistantにより、クエリーを多用せずにオブザーバビリティデータを活用できるようになったことにも注目です。この機能はエージェントAIテクノロジーを搭載しており、クラウドアプリケーションやクラウドインフラに関する質問に回答します。プロンプトを入力すると、AI Assistantがログ、メトリクス、トレースデータをわずか数秒で分析して、考えられる根本原因やパフォーマンスのギャップに関する重要なインサイトを提供し、ITインシデントのトラブルシューティングに役立つ推奨アクションを提案します。このAI Assistantは、米国、オーストラリア、欧州の一部の地域で利用できます。

詳細についてはこちらをご覧ください。また、AI Assistantを使ってKubernetesの問題をすばやくデバッグする方法についてはこちらをご覧ください。

統合的なオブザーバビリティエクスペリエンス

多くのチームが今でも、ハイブリッド環境をまたぐワークロードの問題を追跡する際に、多数のツールやダッシュボードを頻繁に切り替えています。足りないのはデータよりも、新旧の可視性、ワークフロー、プロセスをつなぐアプローチです。Splunk Observabilityでは、AppDynamicsとObservability Cloud間の連携が一層強化され、3層アプリケーション環境とマイクロサービス環境の違いを意識せずにトラブルシューティングを行えます。

サンディエゴで開催されたCisco Liveでは、以下のイノベーションが発表されました。

• 統合的なオブザーバビリティエクスペリエンス：3層アプリケーション環境とマイクロサービス環境の新旧のワークロードを管理している場合でも、Splunk Observability CloudとSplunk AppDynamicsを使用すればシームレスにトラブルシューティングを行い、複雑さを軽減し、根本原因分析を効率化できます。
• AppDynamicsのDEMセッションリプレイ：ユーザーによる実際の操作を視覚的に詳しく再現しながら、包括的なパフォーマンスメトリクスと相関付けることで、ユーザーの行動がWebアプリケーションやモバイルアプリケーションにどのように影響し、問題にどのように関連しているかを明らかにできます。この機能により、再現が難しい問題のトラブルシューティングを効率化し、ユーザージャーニーを最適化して、ユーザーエクスペリエンスとセキュリティイベントの両方に関する実用的なインサイトを獲得できます。

ネットワークの可視化とITサービスやビジネスの健全性との相関付け

パフォーマンスの問題が単独で発生することはめったにありません。ユーザー側で処理速度が低下した場合、直接的な原因としてはネットワークパスの輻輳が考えられますが、バックエンドサービスで処理が停滞している可能性もあります。今日の環境では、インフラとITサービス間のやり取りに関するインサイトが不可欠で、パフォーマンスが低下したことだけでなく、それがビジネスに及ぼす影響や問題の修正方法も理解できるような高度な可視化が求められます。Splunkでは、Cisco ThousandEyes、Catalyst Center、Merakiとの緊密な統合と、ITSI内での相関付けにより、ネットワークが関連するサービスパフォーマンス低下の根本原因をよりすばやく簡単に特定できます。 

サンディエゴで開催されたCisco Liveでは、以下のイノベーションが発表されました。

• ThousandEyes向けのSplunk ITSI Content Pack：ThousandEyesとの新しいインテグレーションにより、ThousandEyesで生成されたイベント、アラート、メトリクスデータをITSIに取り込むことができます。これにより、ネットワークやアプリケーションの外形監視に基づいて問題を検出し、トラブルシューティングを迅速化して、ビジネスの健全性に影響するサービスを把握できます。
• エンタープライズネットワーク向けのSplunk ITSI Content Pack：Catalyst Centerで管理するデバイスとインターフェイスの健全性情報や、Merakiで管理するインフラ(スイッチ、ゲートウェイ、アクセスポイントなど)の情報を活用し、キャンパスとブランチの両方のネットワークをより詳細に可視化することで、ハイブリッドネットワーク環境のオブザーバビリティを拡大できます。これらのネットワーク情報は常にITサービスのメトリクスと相関付けられるため、ビジネスクリティカルなネットワークの問題を特定し、根本原因をすばやく突き止めてサービスを復旧できます。
• Splunk Observability CloudとThousandEyesの統合：Splunk Observability CloudとThousandEyesをまたぐ統合的な可視化により、ネットワークチームとアプリケーションエンジニアリングチームは、問題の原因がアプリケーションの不備とネットワークのパフォーマンス低下のどちらにあるのかをすばやく判断できます。その結果、チーム間で責任の押し付け合いが減り、コラボレーションが強化されて、問題の早期解決につながります。

セキュリティ運用の変革

複雑化するセキュリティ課題に対処するには、可視性を高め、検出を迅速化し、対応を効率化する統合ソリューションが必要です。シスコとSplunkの連携強化は、主要なセキュリティワークフローの相互運用性を向上させます。プラットフォーム間でデータを統合し、補強することによって、対応を迅速化し、手作業を削減して、セキュリティ運用の価値を高めます。拡張された機能には以下のものがあります。

• Splunkを使ったCisco Secure Firewallデータからのインサイトの取得(近日公開)：Cisco Secure Firewallをお使いの場合は、ファイアウォールのログデータをSplunkに取り込み、より深いインサイトをSplunk内で活用できます。これによって高度な検出と調査ワークフローの効率化が可能になり、シスコとSplunk製品から得られる価値をさらに高めることができます。
  
• Cisco Secure Firewall Threat Defense (FTD)との高度な検出の統合による脅威の検出、調査、対応(TDIR)のカバレッジ拡大：Cisco Security Cloud App for Splunkでは、Cisco FTDのサポートが強化され、TDIRワークフローに沿った相関付けと検出コンテンツがさらに充実します。Cisco AI Defense、Cisco XDR、Cisco Multicloud Defense、Cisco Talosなどのソースから取り込まれたテレメトリを統合することで、ハイブリッド環境でのSplunkの検知ユースケースを加速させます。
  
• Cisco Secure FirewallのSOAR (セキュリティのオーケストレーションと自動化によるレスポンス)連携によるTDIRの効率化：SOAR連携が拡張され、TDIRワークフローでCisco Secure Firewall固有のアクションを使った封じ込めや対応が可能になりました。これは、すでに利用可能なCisco Talosの脅威インテリジェンスとの連携に続くSOARの強化です。プレイブックを使って、ホストの隔離、アウトバウンド接続のブロック、ポリシーコントロールの適用を自動化し、手作業を削減して短時間で問題を解決できます。
  
• Splunk AppDynamicsからのアプリケーションリスクシグナルの接続：Secure ApplicationイベントをSplunkに転送することで、アプリケーション層の脆弱性や脅威を可視化し、より広範なビジネスリスクの検出結果をコンテキスト化できます。
  
• Splunk Enterprise Security 8.1でのSOCワークフローエクスペリエンスの拡張：統合的なワークフローエクスペリエンスでセキュリティ運用を簡素化し、運用効率を向上させることができます。強力なリリースであるSplunk Enterprise Security 8.1では、FedRAMPやAzureの利用範囲が拡大し、SOARとの連携が強化され、ワークフローが向上しています。これにより、未来志向のSOC構築に向けて柔軟性と拡張性を高めることができます。
  
• Splunk SOAR 6.4でのセキュリティ自動化の大幅強化：Splunk SOARの最新アップデートである6.4リリースでは、ガイド付き自動化、プレイブック設計、カスタムスクリプトによるコードの効率化、アプリケーションとの連携が強化されており、セキュリティ運用のスピードと効率を飛躍的に向上させることができます。

今後の展望：デジタルレジリエンス・バイ・デザイン

データの価値は、それをいかに効率的に管理して有効活用できるかによって決まります。Splunk Enterprise 10.0とSplunk Cloud Platform 10.0のリリースが発表されたことで、組織は今後、FIPS 140-3に準拠した最新の暗号化プロトコルと、PythonやOpenSSLなどの重要コンポーネントのアップデートを通じて、運用の負担を軽減し、機密データを保護して、セキュリティをさらに強化できます。潜在的な攻撃対象領域を減らし、データへの不正アクセスを防いで、機密データを守るためにサイバー対策を強化したいお客様のために、Splunk 10は真のデジタルレジリエンスを実現します。

シスコとSplunkは協力して、設計段階からレジリエンスを組み込むことで、データファブリックからエッジまで、そしてLLMのセキュリティからインフラのインサイトまで、環境全体でレジリエンスを確保します。スタックの各層をAIで強化し、AIを保護および監視するためのツールを提供して、組織が混乱、複雑化、リスクに先手を打てるように支援します。

シスコとSplunkのイノベーションには、個々の製品アップデートが含まれるだけでなく、両社の統合の進展が反映されています。データを異なる領域間でシームレスにやり取りし、AIをすべてのワークフローに組み込み、セキュリティ、オブザーバビリティ、ネットワークのトラブルシューティングを共通のエクスペリエンスに統合することで、より迅速でスマートなデジタルレジリエンスを実現します。

このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。