Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを一緒にやると何がいいのか~

Datadog で実現するセキュリティ対策資料公開日 2026 年 3 月 27 日オブザーバビリティとセキュリティを
一緒にやると何がいいのか

• 世の中のセキュリティ運用における課題 • Datadog セキュリティの強み • Datadog Code Security の活用例
アジェンダ

関連情報: NIST SP 800-61 一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する
2. 検知/分析異常を捕捉し、影響範囲や攻撃の正体を特定する 3. 対応被害の拡⼤を即座に阻⽌し、正常な状態へ戻す 4. 評価対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する現場で実施する主なセキュリティ対応の 4 手順（簡略版）

対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する 2. 検知/分析
異常を捕捉し、影響範囲や攻撃の正体を特定する 3. 対応被害の拡⼤を即座に阻⽌し、正常な状態へ戻す 4. 評価「対応プロセスの妥当性検証」においては、アプリケーションやシステム自体の性能なども評価する必要がある脆弱性を含むパッケージをアップデートしたインフラの設定ミスを修正したレイテンシーが 50% 増加したアクセス不可エラーの発生やリソース使用量が高騰したセキュリティ対応を実施した結果... システムに悪影響が生じるようになった

対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する 2. 検知/分析
異常を捕捉し、影響範囲や攻撃の正体を特定する 3. 対応被害の拡⼤を即座に阻⽌し、正常な状態へ戻す 4. 評価セキュリティツールの責任範囲とオブザーバビリティツールの責任範囲セキュリティツールの責任範囲オブザーバビリティツールの責任範囲

世の中では、セキュリティ項目ごとに異なるツールが複数存在し、オブザーバビリティツールとの連携・関連性もない現状対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する
2. 検知/分析異常を捕捉し、影響範囲や攻撃の正体を特定する 3. 対応被害の拡⼤を即座に阻⽌し、正常な状態へ戻す 4. 評価セキュリティツールの責任範囲オブザーバビリティツールの責任範囲 Code Security を実現するツール Cloud Security を実現するツール Threat Management（脅威管理）を実現するツール評価軸ごとに異なるツール連携無し

アジェンダ

強力な連携性あり対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する 2.
検知/分析異常を捕捉し、影響範囲や攻撃の正体を特定する 3. 対応被害の拡⼤を即座に阻⽌し、正常な状態へ戻す 4. 評価 Datadog では、セキュリティからオブザーバビリティまで 1 プラットフォームで実現可能 Code Security, Cloud Security, Threat Management（脅威管理）を実現する機能あり APM, Log, Infrastructure, RUM など Datadog セキュリティ機能オブザーバビリティ機能

Datadog セキュリティのカバレッジ以降のスライドでは、主に Code Security についてご紹介

アジェンダ

Application ライブラリ独自コード APM トレーサー Datadog では、ソースコードの静的解析や動的解析
を提供 Datadog Code Security のカバレッジ静的解析 (Static) 動的解析 (Runtime) Repository ライブラリ（3rd コード）独自コード（1st コード） SCA (static) SAST IAST SCA (runtime) ※ SCA や SAST, IAST という名称は、Datadog に依らない一般的なセキュリティ用語

機能説明サマリ SQLインジェクションの検知例 SCA (Static) アプリケーションが依存するライブラリに、既知の脆弱性が存在しないかをコード実行前に静的に分析
3rd パーティーライブラリに SQL インジェクションの実行が容易になる脆弱性が含まれていることを警告 SCA (Runtime) 実行中のアプリケーションが実際に使用しているライブラリに脆弱性がないかを動的に診断実行中のサービスで、脆弱なライブラリ xxx のコードパスが呼び出された際に通知 SAST アプリケーションのソースコードを実行前に静的に分析し、脆弱なコーディングパターンを検出 "SELECT * FROM users WHERE username = '"+username+"'"のように、ユーザー入力を直接クエリに結合するコードを指摘 IAST アプリケーションの実行中に通常のテストや操作を利用し、脆弱なコードパスが実際に作動するかを診断通常の入力が、サニタイズされずにデータベースクエリに到達した場合に警告を生成参考: 各機能と検知例静的分析静的分析動的分析動的分析

デプロイフローと Datadog Code Security Runtime: AWS Static: GitHub Repository CD
Job Code Push Project Build docker Image イメージ Ship Deploy CI Job Static SCA SAST コンテナ Runtime SCA IAST 動的分析では、実際の実行パスにおいてサニタイズ（無害化）されずに脆弱な処理へ到達したことを検知可能静的分析では、実行されない条件分岐の奥深くに眠る理論上の脆弱性を “早期”検知可能どちらも重要

参考: セキュリティ機能を有効化する際の設定 Datadog agent をインストール 1 APM トレーサーライブラリをインストール
2 アプリ起動時にトレーサーも一緒に起動する 3 環境変数などでインフラの脆弱性検知を有効にする環境変数などでコードセキュリティや WAF 機能を有効にする Datadog エージェントやトレーサーがセキュリティ機能を有しているため、 APM の導入と合わせて簡単にセキュリティ機能が有効化できる

新規脆弱性の検出の速さセキュリティ専門の Datadog リサーチチームの存在 Datadog Code Security の活用例 1. 脆弱性出現
2. 検知/分析 3. 対応 4. 評価 Datadog はセキュリティ専⾨のリサーチチームを擁しており、最新の脆弱性発⾒など専⾨家コミュニティに貢献している https://securitylabs.datadoghq.com/ 例えば SCA (Static) の場合、新しい脆弱性が公開されてから最⼤でも 2 時間以内に Datadog に表⽰されることが期待されている https://docs.datadoghq.com/security/code_security/software_composition_analysis/ ※機械翻訳にてドキュメント内容を日本語表示

「脆弱性（ CVE ID など）」や「リポジトリ」単位など、多角的な検索検知された脆弱性のサマリー情報や関連リンクから内容分析・影響範囲の特定 Datadog Code Security の活用例 1.
脆弱性出現 2. 検知/分析 3. 対応 4. 評価脆弱性の検索脆弱性の内容や影響範囲確認オブザーバビリティの情報があるからこそ「脆弱性がどのアプリで展開されているか」まで特定可能

Next Action の確認、IDE 連携、決定的な修正の提案 AI による強力な修正方針の提案（ preview） Datadog Code Security
の活用例 1. 脆弱性出現 2. 検知/分析 3. 対応 4. 評価 Next の提示

APM やインフラメトリクスの参照セキュリティダッシュボード、自社サービスの各種ダッシュボード確認 Datadog Code Security の活用例 1. 脆弱性出現 2.
検知/分析 3. 対応 4. 評価アプリのパフォーマンスダッシュボード可視化脆弱性対応後にレイテンシーやエラーが増えていないか、同じプラットフォームで確認可能

Thank you

Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを一緒にやる...

Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを一緒にやると何がいいのか~

Shuntaro Azuma

More Decks by Shuntaro Azuma

Other Decks in Technology

Featured

Transcript

Datadog で実現するセキュリティ対策資料公開日 2026 年 3 月 27 日オブザーバビリティとセキュリティを

• 世の中のセキュリティ運用における課題 • Datadog セキュリティの強み • Datadog Code Security の活用例

関連情報: NIST SP 800-61 一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する

対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する 2. 検知/分析

対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する 2. 検知/分析

• 世の中のセキュリティ運用における課題 • Datadog セキュリティの強み • Datadog Code Security の活用例

強力な連携性あり対応プロセスの妥当性を検証し、⼿順や防⽌策などを組織に反映する一般的なセキュリティ対応のライフサイクル 1. 脆弱性出現脆弱性が公表される、または攻撃の予兆や潜在的リスクが顕在化する 2.

Datadog セキュリティのカバレッジ以降のスライドでは、主に Code Security についてご紹介

• 世の中のセキュリティ運用における課題 • Datadog セキュリティの強み • Datadog Code Security の活用例

Application ライブラリ独自コード APM トレーサー Datadog では、ソースコードの静的解析や動的解析

機能説明サマリ SQLインジェクションの検知例 SCA (Static) アプリケーションが依存するライブラリに、既知の脆弱性が存在しないかをコード実行前に静的に分析

デプロイフローと Datadog Code Security Runtime: AWS Static: GitHub Repository CD

参考: セキュリティ機能を有効化する際の設定 Datadog agent をインストール 1 APM トレーサーライブラリをインストール

新規脆弱性の検出の速さセキュリティ専門の Datadog リサーチチームの存在 Datadog Code Security の活用例 1. 脆弱性出現

「脆弱性（ CVE ID など）」や「リポジトリ」単位など、多角的な検索検知された脆弱性のサマリー情報や関連リンクから内容分析・影響範囲の特定 Datadog Code Security の活用例 1.

Next Action の確認、IDE 連携、決定的な修正の提案 AI による強力な修正方針の提案（ preview） Datadog Code Security

APM やインフラメトリクスの参照セキュリティダッシュボード、自社サービスの各種ダッシュボード確認 Datadog Code Security の活用例 1. 脆弱性出現 2.

Thank you

Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを 一緒にやる...

Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを 一緒にやると何がいいのか~

More Decks by Shuntaro Azuma

Other Decks in Technology

Featured

Transcript

Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを一緒にやる...

Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを一緒にやると何がいいのか~