可観測性と可制御性について
皆さんこんにちは
若者に色々役に立つ情報をたまに呟いているおじさんです。
最近、サイバーセキュリティの世界でオブザーバビリティという単語が使われ始めているので、少し掘り下げて調べてみたら、次の未来が見えてきたので、noteにまとめてみました。
オブザーバビリティ(Observability a.k.a o11y)は、日本語では可観測性(かかんそくせい)に相当する単語です。ChatGPTに聞いてみたところ、「可観測性(observability)とは、システムの内部状態を外部から観測できるかどうかを表す用語です。つまり、ある状態がどのように変化しているかを測定することができるかどうかを示します。」とのことで、直接ターゲットを観測するのではなく、ターゲットからもたらされる情報(セキュリティの世界ならログとかイベントが該当します)から、ターゲットの現在の状況を把握するシステム(ツール)をオブザーバビリティと呼んでいるようです。
という疑問が湧いてきます。セキュリティマネージメントの世界では、監視とオブザーバビリティは分けて考えています。
監視は、出力されたログやイベント自体を把握します。
例えば、マルウェアにAというPCが感染したという事実を認識するのが監視です。
一方、オブザーバビリティは、出力されたログやイベントから対象の状態を把握します。
例えば、マルウェアにAというPCが感染した事実があり、そのPCはネットワークから切断され隔離されており、現在業務では使えない状態になっているということを認識するのがオブザーバビリティになります。
イベントとインシデントのような関係で、単体のイベント情報と複数の情報を相関することによって対象がどのような状態にあるかを表すインシデントの関係に似ています。ただ、オブザーバビリティ(可観測性)というワードを使ったのは、それと対になるコントローラビリティ(可制御性)の将来があるからなのではないかというところに気が付きました。(あくまで、僕がひらめいただけないので事実かどうかは分かりません)
コントローラビリティ(Controllability)は、可制御性(かせいぎょせい)に相当する単語です。o11yのように、c13yという略称ではまだ使われていないようです。可制御性をChatGPTに聞いてみました。「システムの内部状態を外部から制御できるかどうかを表す用語です。つまり、ある状態を望む状態に変更することができるかどうかを示します。」つまり、可制御性のあるシステムは、可観測性により状態が把握され、管理者の望む形に制御することができます。これは、航空機の制御の場合などで使われる概念ですが、サイバーの世界でも可制御性が確立されるならば、システムから得られるテレメトリーデータを可観測性を用いることで、システムの状態を把握し、目的とする状態へ制御を行うことで、複雑なシステムがあったとしても、きちんと制御して目的の結果を導き出すことができるようになるのではないか?
つまり、コントローラビリティとオブザーバビリティが実現できると、あるべきシステムの姿を定義することで、そこから逸脱する状況を自動修復できる世界が来るのかもしれません。マルウェアに感染したシステムが、ネットワークから隔離され、システム内のファイルをチェックした後、破壊されたファイルやシステム権限が修復され、問題のあるファイルやマルウェア本体は隔離され、感染原因となったルートを遮断し、必要な設定変更を行った後、システムに復旧するというような完全自動復旧システムがオブザーバビリティとコントローラビリティの世界には存在するのではないか。
これは、AIによる制御された世界でも同様のことがいえるので、いずれオブザーバビリティとコントローラビリティは、普通の概念として一般化していくのかもしれない。
ワードを調べていて何となく自動化される未来が見えてしまったので、noteにまとめてみました。でも可観測性は物事の状態を一意に決めるのですが、皆さん大好きな量子の世界では一つには定まらず、シュレーディンガーの猫のように箱の中に入っている猫は、箱のふたを開けなければ猫は生きているかもしれないし死んでいるかもしれないという二つの状態を示しているため、量子世界での可観測性とはどうなんだろうという疑問が湧いてきてしまいました。(その前に量子をちゃんと説明できるようになりましょう→僕)
今回のサムネもAdobeのFireflyで作成しました「In the world of cyber security, a world where systems are automatically controlled will soon come.」