色控传媒

MTTD（ 平均検出时间）は、DevOps チームが組織内のソフトウェアのバグやハードウェア障害などの問題を検出するのに要する平均時間です。

MTTD は、インシデント管理における重要なパフォーマンス指標の 1 つです。明らかに、組織が問題を発見する時間が早ければ早いほど、より良くなります。ガートナー社によると、多くの場合、インシデントはシステムのダウンタイムにつながる可能性があり、平均でかかる可能性があります。

MTTD は、DevOps チームが利用できる唯一の指標ではありませんが、追跡と測定が最も簡単な指標の 1 つであり、システム停止などの問題を回避したい組織にとって不可欠な指標です。

MTTD の計算方法：ステップバイステップ

MTTD を計算するには：

1. ログ、ヘルプデスク、侵入検知システムなどのツールを使用して、全てのインシデントを追跡します（以下のツールについて详しく説明します）。
2. MTTD 計算の目的と計算対象を決定します。MTTD は通常、夜間、週次、月次、年次など、特定の期間における特定の施設またはシステムに対して計算されます。また、特定の技術者やチームに対して計算することもできます。
3. 前述のツールを使用して、选択した时间枠内の各インシデントの开始时间と検出时间を计算します。
4. インシデント検出の合计时间をインシデント数で割ります。

例えば、大規模な自動車部品メーカーの 24 時間 365 日のオペレーション?サポート?チームが、施設全体の毎週の MTTD を追跡しているとします。2022 年 2月7日～11日の週に、4 件のインシデントが発生しました。システムログを使用して、各インシデントの开始时间と検出时间を決定し、次のように表に記録しました。

平均検出时间は次のように計算されます。

（118 + 53 + 148 + 85）/4

MTTD = 101分

自動車部品メーカーは、この番号を使用して、この特定の週から他の週、または前年の同じ週までの MTTD を比較できます。特定のチームの MTTD を計算した場合、この結果を使用してチームの経時的なパフォーマンスを測ることができます。外れ値をテーブルから削除することを選択する企業もあれば、重大性によってインシデントを階層化し、問題の重大性によって MTTD が変化するかどうかを確認する企業もあります。

MTTD の監視に必要なツール

MTTD の監視には、主にイベントや問題に該当するものを追跡することが含まれます。これは組織によって大きく異なります。

MTTD の監視に必要な主なツールは次のとおりです。

ログ：ログは自動的に生成され、特定のコンピュータ?システムまたはソフトウェア?アプリケーションに関連するイベントのタイムスタンプ付きドキュメントが作成されます。例えば、Web サーバーのアクセス?ログには、HTML ファイルやその他転送される関連ファイルなど、Web サイトから要求する個々のファイルが全てリストされます。別の例として、データベース?ログがあります。データベース内の全てのアクティビティが記録されます。これには、レコードに対する全ての変更が含まれます。

ヘルプデスク：保留デスクは、製品に関連するサポート、特に IT 問題のサポートを必要とする製品ユーザーのための集中型ヘルプセンターです。SaaS アプリケーションを介して動作する物理またはオンラインのコールセンターやチケット?システムなどです。ヘルプデスクには、問題の内容、特定時期、解決方法など、顧客の問題の記録を保持するナレッジベースがあります。

侵入検知システム：侵入検知システム（IDS）は、疑わしい活動がないかネットワーク?トラフィックを監視し、そのような活動が発見されたときにアラートを生成するシステムです。IDS の主な機能は、レポートと異常検知ですが、一部の侵入検知システムは、疑わしい IP アドレスから送信されるトラフィックのブロックなど、悪意のあるアクティビティを検出した場合にアクションを実行できます。

優れた MTTD とは

MTTD を構成するものは、会社、製品、業界、および会社が防止または傍受したい特定の脅威や侵入によって大きく異なります。明らかに、最良の MTTD はゼロです。つまり、被害が発生する前に攻撃者を捕まえることになります。

もちろん、ゼロ MTTD を達成することは非常に困難です。MTTD の業界標準ベンチマークを提供する によると、データ侵害を特定して封じ込める平均期間は、2020 年には 280 日、2019 年には 279 日でした。

特定の企業にとって優れた MTTD とはどのようなものかを理解するには、全ての企業の平均だけでなく、あなたのセクターの他の企業が MTTD とどのように関係しているかについての情報を得る必要があります。また、平均的なデータ侵害のコストと、会社に深刻な財政的困難をもたらすことなく、侵害1件あたりの損失額を計算する必要があります。

MTTD を下げるには、さまざまなステップがあります。

• 最高のサイバーセキュリティ人材とソリューションに投资します。
• 全ての社内チームが连携し、潜在的なサイバー胁威についてコミュニケーションを取っていることを确认します。
• インシデントを正确かつ一贯して记録し、信頼性が高く彻底したイベントログを维持します。
• あらゆるインシデントについて、その原因と、それを防ぐ方法、またはより迅速に検知する方法を常に検讨してください。

MTTD の削減に役立つその他の要因には、セキュリティオーケストレーション、自動化と応答（SOAR）技術、インシデント対応計画などがあります。

MTTD は誰がいつ使用するべきですか？

システムやネットワークが稼働状態を維持し、安全に保つ必要がある企業は、MTTD を定期的に測定することでメリットを得ることができます。

MTTD は、インシデントの発生によって損害が発生するときに常に測定する必要があります。例えば、夜間のみ稼働する製造施設では、夜間のみインシデントをチェックしたいと考えています。昼間のデータを含めることは意味がありません。

検出后の次の指标

MTTD は、潜在的なセキュリティ?インシデントの発見に要する時間を反映しています。しかし、検出後の次のステップは応答です。

平均応答時間、すなわち MTTR とは、脅威が発見された時点で、その脅威を制御、修正、および/または排除するのにかかる時間のことです。

MTTR について詳しく見る