1章監視のアンチパターン

優れた監視を実装する旅を始める前に、これまであなたが選んだり、見てきたであろう良くない慣習を特定し、直す必要があります。

多くの慣習がそうであるように、慣習は善意から始まるものです。不適切なツールの使用、レガシーなアプリケーションを動かし続けなければならない現実、モダンなやり方に対するそもそもの知識不足といった問題をそのままにし続けると、これらのよくない慣習は「いつもやってることだから」で済まされるようになり、担当者が辞める時に他の人に引き継がれます。このような慣習は、表面上は問題には見えません。しかし、これらは堅牢な監視プラットフォームにとって弊害なのは間違いありません。このような慣習をアンチパターンとして考えます。

アンチパターンとは、一見よいアイディアだが実装すると手痛いしっぺ返しを食らうものをいう。

――Jim Coplien

凝り固まったやり方や文化、レガシーなインフラ、あるいは単なる古典的なFUD（恐れ［fear］、不安［uncertainty］、不信［doubt］の頭文字）といったさまざまな理由から、これらのアンチパターンを修正するのは難しいことが多いでしょう。これらの理由についてももちろん見ていきます。

1.1　アンチパターン1：ツール依存

Richard Bejtlichの本、『The Practice of Network Security Monitoring』（No Starch Press）に、「何をやるか」よりもツールに焦点を当てすぎることの問題点を表した素晴らしい記述があります。

業務の前にツールを考えてしまうセキュリティ組織が多すぎる。彼らは「我々はログ管理システムを買う必要がある」、「アンチウィルスの業務にアナリストを1人割り当て、データ漏洩防止の業務にもう1人割り当てる」といった考え方をする。ツール駆動なチームは、ミッション駆動なチームより効率的になることはない。動かしているソフトウェアによってミッションが決まってしまうと、アナリストたちはそのツールの機能や制限事項にとらわれてしまう。ミッションを遂行するために何が必要かという観点で考えるアナリストは、要求に見合うツールを探し、要求を満たすものがあるまで探し続ける。自分でツールを作ってしまおうと考えることもある。 ...