コストとセキュリティに関する Datadog 活用術

Transcript

1. © Techtouch, Inc. コストとセキュリティに関する Datadog 活用術 izzii/市川悠人 テックタッチ株式会社 Datadog セミナー

   2025/09/25

2. 目次 - 自己紹介&会社紹介 - ログのコストを削減事例〜テクニック４選 - Datadog App & API

   Protection 活用事例

3. 3 © Techtouch, Inc. 自己紹介 名前：市川悠人/izzii 所属：テックタッチ株式会社 役職: Head of

   Security & Reliability 最近の話題： SRE Next 2025 登壇 X: ahneahneahne

4. 4 © Techtouch, Inc. テックタッチ株式会社の紹介 ※1 弊社調べ、MAU換算 ※2 出典：株式会社アイ・ティ・アール「ITR Market

   View：コミュニケーション／コラボレーション市場2024」 デジタル・アダプション・プラットフォーム市場動向：ベンダー別売上金額シェア（2022～2024年度予測） ※3 2024年度予測 ※4 出所：株式会社アイ・ティ・アール「ITR Market View：コミュニケーション／コラボレーション市場2024」 デジタル・アダプション・プラットフォーム市場-従業員10,000人以上：ベンダー別売上金額シェア（2022～2024年度予測）

5. 5 © Techtouch, Inc. テックタッチ株式会社の紹介

6. 6 © Techtouch, Inc. B2B SaaS の割にリクエスト量がデカい お客様のユーザーはテックタッチにとってのユーザー リクエスト量に比例するコストが支配的 →

   Datadog の利用量もしかり

7. 7 © Techtouch, Inc. 公共の案件も増加中 セキュリティが未熟だと流れ弾が飛んで来そうな案件の増加 → Datadog を利用したアタックサーフェイスの強化にも取り組む

8. ログのコスト削減事例：４つのテクニック紹介

9. 9 © Techtouch, Inc. プロダクトの性質上、ログが膨大になりがち DAP（Digital Adoption Platform）の特徴 • ユーザーはお客様のお客様

   • 操作ログが大量発生 • API呼び出しが大量発生 Datadogでの課題 • オブザーバビリティ • ログに関するコスト が二律背反

10. 10 © Techtouch, Inc. テクニックその１〜Agent でのフィルタリング〜 - 重要度が低いログを送らない - ログレベルの低いものは送らない

    など Agent でフィルタリングが可能

11. 11 © Techtouch, Inc. テクニックその１〜Agent でのフィルタリング〜 - 重要度が低いログを送らない - ログレベルの低いものは送らない

    など Agent でフィルタリングが可能 「ログに関するコストが一切かからない」 という単純で大きなメリット 「Datadog ではログを見ることができない」 という単純で大きなデメリット があるので、 ログのデュアルシッピングや、 非インデックス化で妥協した方が良い場合も多い。

12. 12 © Techtouch, Inc. 不要なログの例 https://docs.datadoghq.com/ja/serverless/aws_lambda/logs/?tab=serverlessframework#filte r-or-scrub-information-from-logs ***********************Z [INFO] START

    RequestId: abcdef12-3456-7890-abcd-ef1234567890 ************ ***********************Z [INFO] END RequestId: abcdef12-3456-7890-abcd-ef1234567890 Datadog のドキュメントでは、 AWS Lambda の START/END は除外してもいいよねと書いてあったりする。

13. 13 © Techtouch, Inc. テクニックその２〜インデックスの除外およびリテンションの設定〜 検索できるログ（indexed log）は高いので必要最低限に。 これだけでは単にログを使えなくしているだけなので、 取り込み費用がかかる分テクニック１に劣る。

14. 14 © Techtouch, Inc. テクニックその３〜アーカイブ＆リハイドレート〜 インデックスされたログもそうでないログも AWS S3 等にアーカイブできる。 インシデントの際にインデックスログとしてリハイドレートすることができる。

    （割高なので必要な時に必要な量だけ！。）

15. 15 © Techtouch, Inc. テクニックその４〜メトリクスへの移行〜 大量の構造化ログから 数値の時系列テンソルとして圧縮 （※テンソル=行列の多次元版） インデックスからは除外したログに対しても Generate

    Metrics できる。

16. 16 © Techtouch, Inc. マルチテナント SaaS のメトリクス カーディナリティが高くなりすぎないように！ ...のようなプラクティスは存在するが、 「マルチテナントSaaSアーキテクチャの構築」

    には、 マルチテナントSaaSやるなら テナント毎にメトリクスをしっかり取って、 そのコストには腹括りましょう 的なことが書いてある。 https://www.oreilly.co.jp/books/9784814401017/

17. 17 © Techtouch, Inc. まとめると インデックスされた構造化ログ (Indexed Log) として全てのデータを持つことが、 オブザーバビリティを高める一番の手段だが、

    Datadog にはちゃんと妥協できる機能が揃っている。 Index Log Datadog Agent Archive Rehydration Metrics Generate Metrics Index Filter 高オブザーバビリティ/高価 取り込みだけでも課金は走る 割高だけどたまにしか使わない ただ捨てるのではなくグラフにする ※厳密にいうとエージェントだけが 入り口ではないが

18. Datadog App & API Protection 活用事例

19. 19 © Techtouch, Inc. 過去の登壇ネタの改良版です

20. 20 © Techtouch, Inc. セキュリティインシデントのリスクが年々増加 政治的な意図による公共機関、交通機関、 シンクタンクを狙った攻撃が増加傾向にあ る。 https://www.npa.go.jp/bureau/cy ber/pdf/20250108_caution.pdf

    公共のお客様が増えている中で、 弊社として油断はできない。

21. 21 © Techtouch, Inc. Datadog WAF (API & App Protection

    の一機能) について Datadog Agent にエージェント型の WAF が付随している （最近はプロキシ型の WAF が主流なので珍しい？） App ALB Fargate AWS WAF … Datadog Agent (WAF)

22. 22 © Techtouch, Inc. WAF とアプリケーションの関係について 
 メリ
 デメ
 WAF


    正規表現が使える
 プロのルールを利用できる 
 早くない 
 バイパス可能 
 ミドルウェア、プロキシ 
 （Multiplexer）
 早い
 （N分木の探索） 
 ホワイトリスト方式限定 
 脆弱性を含みうる
 アプリケーション
 （Validator）
 正規表現が使える
 ホワイトリスト方式限定 
 作るのはあなた 
 WAFのルールを元に攻撃を特定し、適材適所で攻撃を排除したい

23. 23 © Techtouch, Inc. アプリケーションで最終チェックできるのは嬉しい 403
 400
 不正な入力値
 App Agent

    型の WAF なので、 実際にアプリケーションまで到達している怪しい通信をチェックできるのが強み。 最前面の WAF だけの検知では遮断の要不要判断が難しい。 Proxy/ Middleware 404
 不正なパス
 明らかな攻撃


24. 24 © Techtouch, Inc. ちゃんと見てくれている Datadog 「攻撃っぽい通信で 5xx が多発してるよ」とアラートしてくれる Datadog

    こうした漏れを WAF〜アプリケーションのどこかで封じる

25. 25 © Techtouch, Inc. 宣伝 今週の土日 9月２７日、２８日に Go Conference のスポンサー出展します！

    https://gocon.jp/2025/

26. すべてのユーザーが システムを使いこなせる世界に システム導入だけで終わらせない、利活用のためのDXプラットフォーム