PR

 ビッグデータを業務でどう活用するか。一つめのシナリオは「異変を察知する」である。

図1●ビッグデータを使って察知できる主な異変
図1●ビッグデータを使って察知できる主な異変
「異変を察知する」シナリオが、業務に最も適用しやすい
[画像のクリックで拡大表示]

 業務で発生する様々なイベントの記録を取得し、そこから「正常な状態」や「異常な状態」を示すパターンを見つけ出す。これらのパターンを使って、新たなイベントが発生した際に、異常がないかを判断する(図1)。

 クレジットカード会社は、カード不正利用を検知する精度の向上にビッグデータを活用している。

 米ビザは2009年、不正検知モデルの計算処理にHadoopを使い始めた。ビザをはじめとするカード会社は以前から、不正利用のパターンを使って不正を検出している。最近では、カード会員ごとに利用パターンを作って、より正確な不正の検知を目指している。

 問題は、会員ごとにパターンを作成・維持しようとすると、膨大な計算量が必要になることだ。大手カード会社の場合、会員数は数千万~数億人に上る。

 ビザはHadoopを導入した結果、数週間かかっていた全会員の利用モデル作成時間を13分に短縮できた。従来は1カ月に1回だった不正検知用パターンの更新を、1日に複数回できるようになり、精度も向上できたとする。

システムログから異変を察知

 システムのログも重要な情報源だ。ログを解析したパターンから内部犯行といった不正を検出したり、サーバーの故障につながる不具合を検知したりできる。

図2●HPが買収したセキュリティツール「ArcSight」の特徴
図2●HPが買収したセキュリティツール「ArcSight」の特徴
入退館システムやネットワーク、業務アプリケーション、データベースのログなどを統合的に分析して、コンプライアンス違反などの不正を発見する
[画像のクリックで拡大表示]

 米HPが昨年買収したセキュリティツール「ArcSight」を使うと、「ビルの入退館システム」「ネットワーク」「業務DB」といった複数のシステムログを分析して、「退社間近の社員が顧客DBにアクセスした」といったパターンを見つけ出せる。これを利用して内部犯罪の発見などに役立てる(図2)。ArcSightを採用する米国のある政府系機関は、20ペタバイトのログを分析しているという。

 NECの「WebSAM Invariant Analyzer」は、監視項目や閾値をコンピュータが決めるシステム監視ツールだ。同ツールはサーバー使用率や通信トラフィック量といった、異なるサーバー間で連動して変化する数値を探し出し、数値間の関係をパターン化する。この関係に何らかの変化が生じた時に、ハードやソフトに異変が発生したと判断する。

 「人間だと、監視の閾値を設定し忘れるケースがある。このツールなら、システム管理者が気付きにくい『サイレント障害』を確実に検出できる」(NEC OMCS事業本部の東健二事業本部長)。