クラウドとモビリティがもたらす、パフォーマンスモニタリングの境界を再検討する必要性

この記事はLinkedInに掲載され、3月1日に英語で公開されたブログの翻訳版です。

今や従業員は社内だけで仕事をしていません。さらに言えば、企業ネットワーク内にもとどまっていません。彼らは社外からアクセスし、データセンタの外に置かれたアプリケーションを使用し、従来の監視ツールの目が届かないところで多くの仕事をしています。この新しい働き方は、クラウドファースト、モバイルファーストの上に成り立つものです。IT部門はもはや、支店とデータセンタ間を結ぶ「ハブ&スポーク」方式のネットワークアーキテクチャや、「堀で囲まれた城（castle and moat）」方式のセキュリティ境界に頼ることはできなくなっています。

SASE（セキュアアクセスサービスエッジ）アーキテクチャは、エッジにおけるネットワークとセキュリティの将来を定義しています。この中では、セキュリティ機能をクラウドで利用するシンブランチ/ヘビークラウドアーキテクチャを提唱しています。SASEアーキテクチャのセキュリティ対象はネットワークからエンドユーザに移り、エンドユーザは、アイデンティティとコンテキストをベースにしたポリシーで定義されます。SASEの基本方針は、その深度、スピード、拡張性によって、エンタープライズネットワークの俊敏性、性能、セキュリティのニーズを満たすことです。

企業がSASEによる変革に着手し、クラウドやモバイルを取り入れ、WFA（Work From Anywhere）のユーザを受け入れるようになると、従来の監視ツールでは不十分なことが明らかになります。従来のデータセンタ中心の監視スタックを使用すると、パフォーマンス問題の検出や、トラブルシューティング、診断などにおいて可視性のギャップが生じるのです。クラウド上にアプリケーションがあり、ネットワーク境界外にユーザが存在する場合、ネットワーク、アプリケーション、システムのデータを収集する計測において重大な問題が発生します。 インターネットが企業ネットワークとなり、クラウドがデータセンタになった場合、従来の監視ツールではそれらを計測できず可視化できません。 
 

レガシーな監視手法では霧の中を見通せない

従来の監視方法は次の3つのカテゴリに分類できます。

• ITインフラストラクチャ監視（ITIM）：ITIMツールは、ポーリングによってネットワークとシステムのインフラ要素の健全性と可用性を把握します。 
• アプリケーションパフォーマンス監視（APM）：APMツールは、ホスト上のエージェントを使用し、多層間の深いコードレベルのトレースを取り込んで分析します。 
• ネットワークパフォーマンス監視（NPM）：NPMツールは、アプライアンスやソフトウェアコレクターによって、ネットワークのパケットやフローの情報を収集します。

クラウド中心、モビリティ中心のネットワークにこの3つの監視ツールを用いると、計測において次のような課題を抱えることになります。

• ITIMツールでは、SaaSプロバイダーのデータセンタのシステムをポーリングできません。
• APMツールでは、SaaSプロバイダーがホスティングするホストにエージェントを置くことができません。
• NPMツールでは、暗号化トラフィックを分析できず、また、トラフィックが中央集約点（データセンタなど）を経由しなければ分析できません。

SASEアーキテクチャへの移行でITチームは、セキュリティの再考が必要になります。つまり、監視対象がセキュリティ境界を離れ、ユーザのアイデンティティとコンテキストをベースとしたポリシーに移るのです。同様に、監視の境界は、データセンタ、アプリケーションホスト、ネットワーク接続などから、エンドユーザへと移ることになります。ガートナー社は、この手法をデジタルエクスペリエンスモニタリング（DEM）)として定義しています。DEMは、ユーザからアプリケーションまでを計測する一連の監視手法です。この場合、ユーザとアプリケーションの間のネットワークは無関係となり、ユーザの場所も、アプリケーションのホスト先も影響しません。DEMは、従来の監視ツールを置き換えるものではありませんが、モバイルユーザからクラウドアプリケーションへのアクセスが増え続ける中で生じる可視性のギャップを埋めることができます。
 

DEMはSASEによる変革の一部

DEMツールには、リアルユーザモニタリング、合成トランザクションモニタリング、ネットワークパスモニタリング、エンドポイントデバイスモニタリングなどがあり、これらを組み合わせてエンドユーザエクスペリエンスを把握します。測定には、エンドユーザのデバイス上に計測用の軽量エージェントを置きます。DEMソリューションを評価する際には、既存のツールに潜む可視性のギャップを埋めるために、これらの手法の組み合わせを検討することが重要です。

しかし、優れたDEMソリューションは、単に可視性の「ギャップ」を埋めるだけではありません。企業のCIOやCISOは、機能をチェックするのではなく、戦略的な背景を考慮し、DEMが企業の包括的な変革の推進でどのように統合できるのかを評価しなければなりません。企業は、DEMソリューションの次の点を評価する必要があります。

• エンドユーザのアイデンティティとコンテキストを詳細に把握できるか： ほとんどのDEMソリューションは、IPアドレスに基づいたエンドユーザの基本情報を把握することにとどまります。エンドユーザのオフィスの所在地、実際の住所、部署、その他のコンテキスト情報を把握できるDEMソリューションは、ワークフロー監視においてより有用なコンテキストを提供できます。また、OktaやAzure ADといったアイデンティティプロバイダとツールを統合することで、コンテキストに基づいたユーザーアイデンティティのデータを取得することができます。
• 統合された多目的エージェントを備えているか： DEMツールは、単に監視機能だけでは不十分です。エージェント管理による疲弊」に悩む企業は、DEMソリューションが、SASEベンダーのネットワークセキュリティアーキテクチャの一部として統合されていることを確認してください。「軽量エージェントによって、監視、高度な脅威対策、ゼロトラストネットワークアクセスが可能になります。
• ネットワークチームとセキュリティチームの両方に可視化を提供できるか：ユーザエクスペリエンスの向上は、ネットワークチームとセキュリティチームの共通の目標ですが、一般に対策は別々に立てられています。DEMソリューションによって双方に共通のダッシュボードを提供できれば、パフォーマンス問題のトリアージや診断の効率を高められます。
• SASEの延長上にあるか：DEMツールは、ライトブランチ、ヘビークラウドモデルを活用できる必要があります。エンドポイントで軽量エージェントを使用してデータを収集し、クラウドベースで拡張性の高い取り込み/分析エンジンを使用することで、パフォーマンスとセキュリティの両面についての洞察をデータから得られなければなりません。

SASEとDEMが生み出す優れたユーザエクスペリエンス

企業は、分散ネットワーク内のすべてのアセットに接続するすべてのトラフィックを可視化する必要があります。従来の監視手法は、境界ベースのセキュリティを用いた支社とデータセンタ間のモデルを対象としており、インターネットベースのネットワーク、クラウドベースのアプリケーション、WFAユーザなど、新しい変化にはうまく適応できません。新しいSASEモデルは、新しいネットワークとセキュリティのパラダイムに対応する設計になっています。同様に、DEMは、新しいワークスタイルに適応し、より優れた可視化モデルを提供できます。

DEMソリューションは、従来のモニタリングツールが見落としていた可視性のギャップを埋め、ネットワークチームとセキュリティチームの両方が同じデータを活用してエンドユーザエクスペリエンスを最適化できるようにします。

SASEネットワークセキュリティのリーディングベンダーであるゼットスケーラーは、クラウドセキュリティプラットフォームと密接に連携した独自のDEMソリューションであるZscaler Digital Experience（ZDX）を発表しました。詳しくはこちらの ウェブサイトをご覧ください。