Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
セキュリティのオブザーバビリティとは、セキュリティチームが、豊富でカーディナリティの高いテレメトリデータから、任意の予期せぬ質問に答えられるよう、システムに計測機能を組み込む手法のことです。これにより、あらかじめ定義されたルールでは予測できなかった「未知の未知」を明らかにすることができます。モニタリングが既知のシグナルを監視するのに対し、オブザーバビリティでは「なぜ」という問いを立てたり、従来のダッシュボードでは回答できないような質問を投げかけたりすることが可能になります。
この区別が重要なのは、攻撃者があらかじめ定義された検知ルールが想定する通りの行動をとることはめったにないからです。攻撃者は、正当な認証情報、斬新なツール、そして単一の閾値では検知できない多段階の移動を組み合わせています。既存のテレメトリを精査する能力――つまり、アラート発生後に初めて思い付いた質問を投げかける能力――こそが、「アラートが発生した」という状況を、「攻撃者が行ったことを正確に再現できる」という状況へと変えるのです。 本ガイドでは、セキュリティ・オブザーバビリティとは何か、モニタリング、可視性、SIEMとの違い、その基盤となるテレメトリの柱、背後にある最新のデータアーキテクチャ、そして「検出アズコード(Detection-as-Code)」やAIエージェントによるオブザーバビリティを通じてこの分野がどこへ向かっているのかについて解説します。これは、ほとんどのSOCがすでに運用している、より広範なセキュリティモニタリングの枠組みを基盤としています。
セキュリティの可観測性とは、システムに計測機能を組み込むことで、既知の未知(known-unknowns)に対応するモニタリングの事前定義されたシグナル、ダッシュボード、アラートだけに依存するのではなく、豊富で高カーディナリティのテレメトリデータから、セキュリティに関連する、任意の、予期せぬ質問に答えられるようにする手法であり、未知の未知(unknown-unknowns)を明らかにすることを目的としています。
この用語には、学術的な背景と運用上の背景の両方があります。研究者たちは、オブザーバビリティを複雑なデジタルエコシステムのセキュリティアーキテクチャを強化する手段として位置づけ、システムに対して投げかけることができる質問を、そのシステムの防御力の尺度として捉えています(arXiv)。実務においては、この分野はサイト信頼性エンジニアリング(SRE)の概念を取り入れており、オブザーバビリティとは、システムが発信するデータからその内部状態をどの程度理解できるかを指します。 サイバーセキュリティにおけるオブザーバビリティは、この同じ特性をセキュリティ上の問いに応用するものです。つまり、「攻撃者が何を行ったかを理解するために、テレメトリデータをどれほど網羅的かつ柔軟に分析できるか」ということです。
モニタリングとの違いこそが、まさに核心なのです。モニタリングは「既知の未知」――つまり、事前に予測し、アラートを設定しておいた質問――に答えます。一方、オブザーバビリティは「未知の未知」――つまり、インシデントが発生するまで問うことさえ思いつかなかった質問――に答えます。モニタリングシステムの有用性は、昨日誰かが作成したルールに左右されますが、オブザーバブルなシステムは、明日あなたが思いつく質問に対しても有用であり続けます。
モニタリングは、すでに把握している監視項目を基に構築されています。ユーザーは閾値(1分あたりのログイン失敗回数、ホストごとの送信バイト数、既知malware )を定義し、その閾値を超えた際にシステムがアラートを発します。これは「既知の未知」――つまり、事前に予測し、監視体制を整えていた問題――に対しては有効です。ただし、アラートが伝えるのは「何かが起こった」という事実だけであり、なぜそれが起こったのか、あるいは同じ攻撃者が他に何にアクセスしたのかまでは分かりません。
問題は、高度な攻撃とは、その定義上、ほぼ必然的に予期していなかったものであるという点です。斬新な「リビング・オフ・ザ・ランド」手法、個々のホップでは無害に見える多段階の経路、あるいは単一のシグナルでは検知できない認証情報の悪用パターンなど、これらはすべて、あらかじめ定義されたルールでは見逃されてしまうものです。 これこそが、セキュリティの可観測性を支持する核心的な論拠です。テレメトリが十分に豊富でクエリ可能な状態であれば、アナリストは、あらかじめルールを構築していなくても、「このディレクトリに書き込みを行い、その後、新しいリージョンへのアウトバウンド接続を行ったすべてのプロセスを表示してください」といった、まったく新しい質問を投げかけることができます。未知の事象を問い詰めるこの能力こそが、広大な攻撃対象領域全体にわたる斬新で多段階の攻撃を可観測性が浮き彫りにする仕組みなのです。
さらに、もう1つのメリットがあります。それは、調査におけるスピードと確実性です。関連するすべてのシグナルを1か所で照会できるため、アナリストは1つの指標から数日でなく数分という短時間で全体像を把握し、調査範囲の確認、誤った手掛かりの排除、タイムラインの再構築を行うことができます。これは、単にアラートが発生したことを知るのと、攻撃者が具体的に何を行ったかを正確に把握することとの違いであり、まさにこの点が、オブザーバビリティが現代のセキュリティオペレーションセンター(SOC)において不可欠な機能となっている理由です。
重要なのは、セキュリティの可観測性は汎用的な分野であり、特定のベンダーの機能ではないということです。上記の定義は意図的にベンダー中立に保たれています。これは、製品カテゴリーではなく、システムの特性やチームが採用する実践方法に関するものだからです。
モニタリングは「何かが異常である」ことを知らせてくれますが、オブザーバビリティは「なぜそうなのか」を問い、ルールでは予測できなかったような質問を投げかけることを可能にします。これらの用語はしばしば曖昧に使われるため、それぞれの違いを厳密に区別することが重要です。なぜなら、その区別こそが、アーキテクチャや人員配置に関する実際の意思決定を左右するからです。オブザーバビリティはセキュリティモニタリングと競合するものではなく、それを拡張するものです。
医学から有用な例えが挙げられます。モニタリングは、数値が安全範囲を外れるとビープ音が鳴るバイタルサインモニターのようなもので、患者が危険な状態にあることを知らせてくれます。一方、オブザーバビリティとは、臨床医が症状の行方を追って、たとえ誰も予想しなかった道筋であっても、その原因を究明するための診断プロセスです。どちらも重要であり、互いに置き換えられるものではありません。
その違いは、範囲(事前定義されたシグナル対任意の質問)、分析(閾値対探索)、問題認識(既知の未知対未知の未知)、および機能の深度(アラート対調査)の4つの領域に分類されます。以下の表は、モニタリング、オブザーバビリティ、および可視性の関係性をまとめたものです。
表:モニタリング、オブザーバビリティ、可視性の違い — モニタリングは既知のシグナルを監視し、オブザーバビリティはあらゆるものを調査し、可視性はその基礎となるデータを提供する。
より明確な捉え方としては、一方が他方の厳密な部分集合であるというよりは、両者が互いに補完し合う特性であると言えます。モニタリングとは、あらかじめ定義されたシグナルの層、つまり特定のメトリクスを監視する行為です。オブザーバビリティとは、任意の質問に答えられるようにするシステムの特性です。成熟したプログラムでは、この両方が実行されます。モニタリングは既知の問題を迅速に捕捉し、オブザーバビリティはモニタリングでは予測できないあらゆる事象に対処します。 オブザーバビリティはモニタリングに取って代わるものではなく、チームが投げかけることができる質問の幅を広げるものです。したがって、適切な問いは「どちらを選ぶか」ではなく、「両者がどのように互いを補強し合うか」であることが多いのです。
可視性とはデータソース層のことであり、ネットワークなどの特定のドメインから実際に確認・収集できるデータを指します。例えば、ネットワークの可視性はデータソースの一つであり、オブザーバビリティとは、他のあらゆるテレメトリストリームと併せてそのデータをクエリする分析分野です。簡単に言えば、可視性がインプットを提供し、オブザーバビリティはそのインプットをどのように活用するかを指します。 ネットワークデータを生成するパケット、TAP、SPAN、およびイースト・ウェスト収集の仕組みは、ネットワーク可視性の範囲内にあります。一方、オブザーバビリティは、ログ、メトリクス、トレース、アイデンティティ、クラウドテレメトリなど、さまざまな入力情報の一つとして、その出力を活用します。基盤となるデータに対する可視性なしに、有意義なオブザーバビリティを実現することはできません。しかし、データを横断的にクエリする能力を伴わない可視性だけでは、難しい疑問に対する答えは得られないままとなります。
セキュリティ情報およびイベント管理(SIEM)システムは、セキュリティデータを一元化し、あらかじめ定義された検知ルールに基づいて相関分析を行います。 オブザーバビリティとは、高カーディナリティのテレメトリに対して任意の質問を投げかけるという、より広範な分野です。この2つの関係は、「勝者総取り」という二者択一の結論ではなく、スペクトルとして捉えるのが最適です。つまり、オブザーバビリティはSIEMを補完したり、低コストのストレージをSIEMの分析層から切り離したり、あるいは一部のクラウドネイティブなケースでは、レガシーなSIEMを完全に置き換えたりすることも可能です。 セキュリティ・オブザーバビリティがSIEMの有効な代替手段となるかどうかは、組織のクラウド利用状況、データ保持要件、コストモデルによって異なり、画一的な答えがあるわけではありません。多くのチームは中間のアプローチを採用しています。つまり、SIEMをクエリおよび相関分析層として維持しつつ、大容量ストレージをより安価で分離された階層に移行することで、データ取り込み量に応じた課金制のインデックス作成では不可能なほど、はるかに多くのテレメトリデータを保持・分析できるようにしているのです。
「ログ」「メトリクス」「トレース」という3つの柱は、セキュリティの分野においては、「イベント」「検知」「ネットワークフロー」、そして「アイデンティティ」および「クラウドテレメトリ」へと広がっています。より広範なオブザーバビリティの世界における標準的なモデルは、まさにこの3つです。すなわち、ログは何が起こったかを記録し、メトリクスはその量や頻度を定量化し、トレースはリクエストが分散システム内をどのように移動したかを示します。
セキュリティの観点から、このモデルは一般的にMELT(メトリクス、イベント、ログ、トレース)へと拡張されており、ここではイベントが第一級の要素として扱われます。3つの柱は依然として標準的な枠組みとして残っていますが、MELTはセキュリティに配慮した拡張モデルです。なぜなら、検知のトリガー、ポリシーの変更、権限の付与といった個別のセキュリティイベントは、一般的なログの中に埋もれてしまうのではなく、第一級の地位に値するからです。 より新しい「ワイド・イベント」論は、豊富でカーディナリティの高いイベントレコードの方が、厳格な3本柱の区分よりも重要である可能性があると主張しています。これは注目すべき議論ですが、この分野に不慣れなチームにとっては、3本柱の枠組みが依然として有用な入り口となっています。
セキュリティチームにとっての真の価値は、各汎用的な柱をセキュリティの文脈へと拡張し、セキュリティシグナルが後付けの要素ではなく、第一級の可観測性の入力情報となるようにすることです。ログは単なるアプリケーションメッセージではなく監査証跡であり、メトリクスは単なるレイテンシの数値ではなくログイン失敗率であり、トレースは単なるパフォーマンスマップではなく、攻撃者が悪用する可能性のあるイースト・ウェスト通信の記録です。以下の表では、各柱とそのセキュリティ拡張を、シグナルの例とともに示しています。
表:セキュリティ分野に拡張された観測可能性の3つの柱と、それぞれ1つの例となるシグナル。
実際には、入力データは多岐にわたります。アプリケーションおよびシステムのログはアクティビティの生の記録を提供し、セキュリティイベントや検知情報は最も重要な個別の事象を追加します。ネットワークおよびフローのテレメトリは、ホストとサービス間の通信状況を把握し、IDおよび監査ログは誰が何を行ったかを示します。さらに、エンドポイントおよびクラウドのテレメトリが、ワークロード全体にわたる全体像を補完します。ネットワーク異常検知の基盤となる「行動シグナル」は、既知の悪意あるリストとの照合ではなく、エンティティが実際にどのように振る舞っているかを記述するため、特に価値が高く、これが新たな攻撃手法に対しても有効である理由です。これらすべてのフィードに共通する特徴は、サイロ化されたアラートストリームではなく、クエリ可能なテレメトリとして扱われるという点です。これにより、アナリストは、互いに連携していないコンソールの間を行き来することなく、必要に応じてこれらを相互に関連付けることができます。 目標は、データがもともとどのツールによって生成されたかに関係なく、あらゆる質問に対応できる単一の論理的なテレメトリ体系を構築することです。
現代のセキュリティ可観測性では、OpenTelemetryでデータを収集し、OCSFで正規化し、分離されたデータレイクに保存した上で、必要に応じてクエリを実行します。このパイプラインを理解することこそが、単なる流行語と実用的な機能とを区別する鍵であり、可観測性を、それを取り巻くモニタリングや可視化といった分野から最も明確に区別する層なのです。
各段階は次のように機能します:
ai_operation AIワークロードを第一級のセキュリティテレメトリとしてモデル化するプロファイル(OCSF リリースログ)。また、この規格は2025年12月に国際電気通信連合(ITU)の加盟国からも支持を得て、2026年6月までに国際規格として承認される見通しとなった(AWS オープンソースブログ).これを実現する鍵となるのが「スキーマ・オン・リード」です。従来のSIEMは「スキーマ・オン・ライト」を採用しており、データ取り込み時に構造化とインデックス作成を行うため、柔軟性に欠け、コストもかかります。一方、「スキーマ・オン・リード」ではクエリ実行時に構造化を行うため、チームは生データや高カーディナリティのテレメトリデータを低コストで保存し、後で柔軟に解釈することができます。 ここで検討するコストの視点はこれだけです。サイバーセキュリティ監視の提供モデルで扱われる「自社開発か外部調達か」という提供形態の経済性とは異なり、オブザーバビリティにおけるコストの問題は、「ストレージか分析か」というトレードオフと、データ保持期間のバランスにあります。セキュリティデータパイプラインプラットフォームは、収集と保存の間に位置し、テレメトリデータが保存先に到達する前に、そのルーティング、エンリッチメント、およびデータ量の削減を行います。
クラウドネイティブ環境――一時的なコンテナ、Kubernetes ワークロード、短命なIDなど――は、しきい値ベースの監視では対応が困難な、高カーディナリティで急速に変化するテレメトリデータを生成します。ここでオブザーバビリティの真価が発揮され、それはクラウドセキュリティと直接結びついています。 障壁は確かに存在します。SANSの「2025年検出・対応調査」では、回答者の58%が「クラウドに関する専門知識の不足」、53%が「マルチクラウドの複雑さ」をクラウドにおける最大の課題として挙げています(SANS調査の概要)。クラウドテレメトリは本質的に高カーディナリティかつ一時的なものであるため、オブザーバビリティは、ワークロードが消滅した後もそのデータをクエリ可能に保つことで、死角を削減します。 なお、セキュリティデータパイプラインの動向やOpenTelemetryの生成AIに関する規約は急速に進化しているため、アーキテクチャの決定については定期的に見直す必要があります。
「Detection-as-code」は、検出機能をソフトウェアと同様にバージョン管理します。高カーディナリティのクエリにより、事前定義されたルールでは予測できなかった攻撃が明らかになります。これらを組み合わせることで、可観測性の分野と実務者の日常的なワークフローを結びつけます。
「Detection-as-code」は、インフラストラクチャ・アズ・コードの考え方を検知ルールに適用したものです。チームは、コンソール上でルールをクリックして設定する代わりに、次のようなコードとして検知ルールを記述します:
これは、現代の検知技術の中核をなすものであり、アナリストが探索的クエリを用いて、まだルールで捕捉されていない脅威を発見する「脅威ハンティング」と自然に連携します。これら両方が、より広範な脅威検知成果につながります。
高カーディナリティデータとは、ユーザーID、コンテナID、セッショントークン、送信元IPなど、多くの固有値を含むテレメトリのことです。高カーディナリティがあるからこそ、任意のクエリが可能になります。何千もの固有属性のいずれかでテレメトリを絞り込めるようになれば、その場で思いついた質問を投げかけることができるのです。 「ワイドイベント」――イベントごとに多くの属性を含む豊富なレコード――は、高カーディナリティの質問に答えられるようにするフォーマットです。まさにこれが、オブザーバビリティが未知の脅威の検出に役立つ仕組みです。クエリ機能により、アナリストは事前に定義されたルールには含まれていない質問を投げかけることができるのです。
探索的可観測性の有効性は、確かなデータに基づいています。エンタープライズ向けSIEMは、MITRE ATT&CK 1%をカバーしているに過ぎず、79%をカバーできていません。これは、理論上は90%以上の手法を検出できるインフラを運用しているにもかかわらずです(CardinalOps、2025年6月; Help Net Securityの記事)。同調査によると、検知ルールの平均13%が破られていることが判明しており、これは2024年から5%減少した数値です。ここから得られる教訓は、「監視体制が機能していない」ということではなく、あらかじめ定義された検知ルールには構造的な不備があるため、ルールでは想定もしていなかった質問を投げかけるには、高カーディナリティの可観測性が必要だということです。 ここでの基準MITRE ATT&CK 。可観測性の価値は、「Discovery(発見)」などの手法を横断してクエリを実行することにあります(0007) およびネットワークサービス検出 (T1046) その事前定義された適用範囲の漏れ(MITRE ATT&CK).
Log4Shellの脆弱性(CVE-2021-44228) は、調査情報源としての可観測性データを示す、実証的な事例です。不審な Java 子プロセスを検知したアナリストは、サービスマップに一時的に表示されたバックエンドサービスに関するアプリケーションパフォーマンス監視のトレースと、リクエストヘッダーに Base64 エンコードされたペイロードが含まれていることを示すアプリケーションログを組み合わせて、エクスプロイトの経路を再構築し、脆弱性のあるライブラリを確認しました(CISA AA21-356A)。この事例は2021年の手法を示す例であり、最新の統計データではありませんが、そこから得られる教訓は今も変わりません。つまり、統合されたテレメトリにより、アラートから事象の完全な再構築が可能になるのです。
より最近の傾向として、漏洩した認証情報を利用したクラウドネイティブな横方向の移動が挙げられます。単一のシグナル――ログイン失敗1回やネットワーク接続1回――だけでは、特に目立ったものには見えません。 オブザーバビリティは、ログイン失敗、異常なネットワークトラフィック、ファイルアクセスパターン、および通常とは異なるリージョンからの読み取りを、1つの高カーディナリティクエリに相関させることで、侵害を可視化します。この相関関係こそが、オブザーバビリティがインシデント対応時間を短縮し、予防的な脅威検出を支援する仕組みです。つまり、単一のシグナルに基づく閾値監視では見逃されてしまう多段階の攻撃を検知できるのです。 Unit 42リサーチチームによる2026年の750件以上のインシデント対応分析も同様の点を指摘しています。調査担当者は、関連性のない情報源からのデータを断片的につなぎ合わせなければならず、それが検知の遅れにつながっていました。また、同レポートでは、侵害の90%が設定ミスやセキュリティ上の脆弱性に起因していると指摘されています(PR Newswire)。
AIのオブザーバビリティは、その柱をプロンプト、ツール呼び出し、トレースにまで拡大しています。というのも、AIエージェントの48%が監視なしに稼働しているからです。これはこの分野における最新の拡張であり、急速に進展しています。
AIエージェントの可観測性とは、可観測性の柱をAI固有のシグナル、すなわちプロンプト、ツール呼び出し、情報取得の来歴、トークンおよびターンに関するメトリクス、アクション実行中に有効な権限、そしてエージェントの推論とアクションのエンドツーエンドのトレースにまで拡張することを意味します。AIシステムの可観測性とは、自律型エージェントだけでなく、あらゆる確率的AIコンポーネントに適用される同じ概念です。
新しいテレメトリが必要となる理由は、確率論的なAIシステムが、監視の基盤となっている決定論的な仮定を覆してしまうためです。AIエージェントに対する攻撃は、標準的なエラー指標や遅延の閾値に引っかかることなく、エージェントを操作して有害な行動をとらせるという形で、気づかれることなく成功してしまう可能性があります。AI専用のテレメトリによってのみ、エージェントが何を行ったか、なぜ行ったのか、そしてどのツールや権限が関与していたのかを特定することが可能となり、防御側は事後にインシデントの経緯を再現できるようになります。
このリスクは甚大である。2026年2月時点で、フォーチュン500企業の約80%がアクティブなAIエージェントを稼働させていた。しかし、AIエージェントの監視カバレッジの平均はわずか52%にとどまっており、48%のエージェントがセキュリティ対策なしに稼働していた(Gravitee、2026年)。AIエージェントの可観測性を確保するために、チームは通常、以下の情報を収集する:
基準や規制もそれに追いつきつつある。OCSFの ai_operation profile(v1.8.0、2026年3月)は、AIワークロードに対して最高水準のスキーマ対応を提供します(OCSF リリースログ). NISTは2026年2月17日、「AIエージェント標準化イニシアチブ」を立ち上げ、これにはAIエージェントのセキュリティおよびアイデンティティに関する研究が含まれている(NIST)、また、これに関連するNISTのCOSAiSプロジェクトでは、シングルエージェントおよびマルチエージェントAIシステムのセキュリティを確保するためのSP 800-53制御オーバーレイの開発が進められている(NIST COSAiS). これらの数値や基準は急速に変化しているため、およそ6か月以内に変更される可能性があることを念頭に置き、再利用する主張には必ず日付を明記してください。
成熟したセキュリティ可観測性は、単なる監視から、相関分析、高カーディナリティ、AIを活用した検知へと進化しています。これは、既存のスタックを置き換えるのではなく、それと統合されるものです。この分野がどこへ向かっているのかを理解することで、チームは現実的な道筋を計画することができます。
導入における一般的な課題は一貫しています。データ取り込みベースの課金体系により大規模なデータ収集のコストが高くなり、クラウドネイティブな環境では死角が生じ、誤検知の過剰発生がアナリストを圧倒しています。SANS 2025調査(SANS調査の概要)では、実務担当者の73%が、検知における最大の課題として誤検知を挙げています。 これらに対処するベンダー中立のベストプラクティスも同様に一貫しています。ツールの導入を急ぐ前に、綿密なデータ収集戦略と明確なベースラインを確立すること。任意の質問にも答えられるよう、高カーディナリティに対応した計測を行うこと。そして、既存のSIEMやエンドポイントスタックを「リプレイス」するのではなく統合し、オブザーバビリティを統一されたテレメトリ上の分析レイヤーとして扱うことです。 読者の次の疑問が導入コストやセキュリティ態勢に関するものである場合、それらは隣接する分野に属します。セキュリティ態勢についてはセキュリティ態勢管理が、構築か購入かの選択については導入モデルがそれぞれ該当します。
コンプライアンスに関しては、包括的なロギングと検知は、広く認知されているフレームワークと明確に整合しています。具体的には、NIST CSF 2.0 の機能(DETECT(DE.CM:継続的モニタリングおよび DE.AE:有害事象分析)、RESPOND、IDENTIFY)や、GDPR、HIPAA、PCI DSS、SOX、NIS2 などが、監査ログの記録および保存要件を規定しています(NIST サイバーセキュリティフレームワーク)。 これは要約であり、カタログではありません。フレームワークの完全な分類体系については、「セキュリティフレームワーク」の項目をご覧ください。
各チームは、シンプルな5段階のランク表に自チームの位置付けを行うことができます。これは、セキュリティの可観測性がどの程度進展しているかを測る指標としても機能します:
Vectra AIは、オブザーバビリティをレジリエンスの基盤と位置づけています。つまり、オブザーバビリティ、シグナル、アクションの組み合わせです。これは、現代の攻撃対象領域全体を網羅し、攻撃者の活動を隠れる隙を与えないこと、ノイズよりも実際の攻撃を優先するAI駆動型のシグナル、そして発見された事象を対応へと結びつける的確なアクションを意味します。重視されるのはツールではなく方法論です。豊富なテレメトリデータは、そこから得られるシグナルが、確信を持って行動に移せるほど明確である場合にのみ、レジリエンスを生み出すのです。
SIEMは、セキュリティデータを一元管理し、あらかじめ定義された検知ルールに基づいて相関分析を行います。一方、セキュリティのオブザーバビリティとは、高カーディナリティのテレメトリデータに対して、任意かつ予期せぬ質問を投げかけるという、より広範な分野です。この2つの関係は、スペクトルとして捉えるのが最も適切です。つまり、オブザーバビリティはSIEMを補完したり、低コストのストレージをSIEMの分析レイヤーから切り離したり、あるいは一部のクラウドネイティブなケースではSIEMに取って代わったりすることも可能です。適切なバランスは、組織のクラウド利用状況、データ保持要件、およびコストモデルによって異なります。
MELTとは、メトリクス、イベント、ログ、トレースの頭文字をとったもので、イベントを第一級の要素として扱うことで、従来の3本柱(ログ、メトリクス、トレース)を拡張した4本柱モデルです。イベントという柱は、検知の作動や権限の変更といった個別の事象が重要視されるセキュリティ分野において、特に重要です。従来の3本柱は依然として標準的な枠組みであり、MELTはセキュリティに配慮した拡張モデルです。
いいえ。モニタリングとオブザーバビリティは競合するものではなく、互いに補完し合うものです。モニタリングは「既知の未知」に対応する事前定義されたシグナル層であり、オブザーバビリティは「未知の未知」を明らかにする任意のクエリ機能です。成熟したプログラムでは、この両方を活用しています。モニタリングを用いて既知の問題を迅速に検出し、オブザーバビリティを用いてモニタリングでは予測できないあらゆる事象を調査するのです。
「Schema-on-read」は、データ取り込み時ではなくクエリ実行時にテレメトリデータに構造を適用するものであり、これは「Schema-on-write」とは対照的です。これにより、チームは生データや高カーディナリティのデータを低コストで保存し、最初から厳格な形式に縛られることなく、後で柔軟に解釈することが可能になります。また、分離型ストレージと組み合わせることで、任意のクエリにも低コストで回答できるようになります。
一般的な課題としては、データ取り込み量に基づく課金によるコスト圧力、クラウドネイティブ環境における死角、そして誤検知の過剰発生が挙げられます。SANS 2025調査では、実務担当者の73%が、検知における最大の課題として誤検知を挙げています。ベストプラクティスとしての対応策は、明確なデータ収集戦略とベースラインを策定することから始め、既存のツールを「リプレース」するのではなく、それらと統合していくことです。 オブザーバビリティを、統合されたテレメトリ上の分析レイヤーとして扱うことで、コストと複雑さを管理可能な範囲に抑えることができます。
高カーディナリティのテレメトリにより、アナリストは事前に定義されたルールでは予測できなかった質問を投げかけることができるため、オブザーバビリティは「未知の未知」――つまり、新規かつ多段階にわたる攻撃――を浮き彫りにします。だからこそ、企業のMITRE ATT&CK わずか21%しかカバーしていないという調査結果(CardinalOps、2025年6月)が重要となるのです。探索的なクエリによって、事前に定義された検知手法ではカバーしきれないギャップを埋めることができるからです。 クエリ機能とは、既存のデータを新たな答えへと変換する能力のことです。
AIエージェントの可観測性は、可観測性の柱をAIネイティブなシグナル(プロンプト、ツール呼び出し、検索の出所、トークンおよびターンメトリクス、エンドツーエンドのトレース)にまで拡張し、チームがエージェントの挙動を特定・再構築できるようにします。これは、AIエージェントの平均モニタリングカバレッジがわずか52%にとどまり、48%のエージェントがモニタリング対象外となっているため、極めて重要です(Gravitee、2026年)。 確率論的なAIシステムは、決定論的な監視の前提を覆すため、検出されないエージェントの侵害を調査するには、AIネイティブなテレメトリが必要となります。