Datadog On-Call と Cloud SIEM で作る SOC 基盤

Transcript

1. Datadog On-Call と Cloud SIEM で作る SOC 基盤 エンジニア 栗原

   佳輝 2025年11月7日

2. 自己紹介・会社紹介 Self Introduce

3. 自己紹介 山 栗原 佳輝 エンジニア 経歴 現職の担当領域 興味関心 2025/07 〜

   株式会社 Next Finance Tech エンジニア 2021/06 〜 株式会社 Yuimedi ソフトウェアエンジニア 2019/04 〜 Amazon Web Service サポートエンジニア ブロックチェーンバリデータ構築運用、クラウドインフラ設計、 Web 開発、コーポレートIT ブロックチェーン、クラウドインフラ、Web 開発 @kuriyosh @kuriyosh

4. Next Finance Tech 会社情報 会社名 株式会社 Next Finance Tech 株主

   設立 2021 年 5 月 代表取締役 徳力創一朗、土田真也 事業内容 バリデータ事業 所在地 東京都港区赤坂 1-12-32 アーク森ビル 24 F 所属団体 暗号資産ビジネス協会 (JCBA)、日本ブロックチェーン協会 (JBA) Next Finance Tech 会社情報 会社名 株式会社 Next Finance Tech 株主 設立 2021 年 5 月 代表取締役 徳力創一朗、土田真也 事業内容 バリデータ事業 所在地 東京都港区赤坂 1-12-32 アーク森ビル 24 F 所属団体 暗号資産ビジネス協会 (JCBA)、日本ブロックチェーン協会 (JBA)

5. バリデータ・ステーキングについて バリデーターとは ステーキングとは ブロックの生成と提案：ブロック（取引記録）を生成 取引の検証：チェーンに新しく追加されるブロックが正しいか検証 報酬の獲得：正しく役割を果たしたバリデータは報酬を受け取る 担保を預ける仕組み：バリデータになるために、自分の暗号資産（例：ETH）をロック 信頼の証：多くの資産を預けることで不正な取引を行わない証明とする

6. バリデータ事業の概要 バリデータ事業社の必要性 高いパフォーマンスを提供 セキュリティを担保 高可用性を担保 個人・法人 暗号資産取引所・カストディ ステーキング委託 (ノンカストディアル) ステーキング

   Blockchain、Protocol ステーキング委託 (カストディアル) Validation Validation バリデータ委託

7. アジェンダ 1 自己紹介・会社紹介 2 Datadog 導入まで 3 コーポレート IT 整備で感じた課題

   4 Datadog Cloud SIEM での監視体制強化 5 Datadog On-Call でのアラート体制強化 6 導入後とまとめ

8. Datadog 導入まで Our Journey to Datadog

9. Next Finance Tech の IT インフラ基盤 プロダクト基盤 コーポレートIT基盤 VPS
 Servers

   Validator 
 Software バリデータ基盤 独自
 アラート 監視基盤

10. 課題 1 ダッシュボードの分散 インフラ・アプリケーションの調査に複数のツールを横断して調査する必要があるため、 問題発生時の調査タスクが難航 2 監視基盤そのもののメンテナンスコスト OSS のツールが多く、監視基盤を自前で構築する必要があり、アップデートにも自分たちで 追従する必要がある。

    3 初期セットアップの複雑化 利用しているモニタリング・アラートツールが多いため、新規メンバー追加時、また、新規 サーバー構築時にセットアップの手順が複雑

11. Datadog への集約 インフラ監視 メトリクス、ログ Prometheus CloudWatch Metrics/Logs Grafana アプリ監視 APM、エラー検知

    Sentry アラート 通知、オンコール PagerDuty Slack アラート

12. コーポレート IT 強化で感じた課題 Challenges in Corporate IT

13. 暗号資産ビジネスにおけるセキュリティの重要性 1 暗号資産の高い経済価値 直接的な金銭被害のリスク → 2024 年の暗号資産盗難被害は約 22 ~ 29

    億ドル 2 顧客信頼の喪失と事業継続への影響 一度盗まれたら回復が信頼の回復は困難
 純粋な経済的損失以上に潜在的な損失が発生するあ可能性 3 グローバルな攻撃者 暗号資産は国境を超えた価値を持つため、世界中の攻撃者から 24 時間 365 日標的

14. Next Finance Tech の IT セキュリティ デバイス管理 Microsoft Intune 認証基盤

    Okta Endpoint セキュリティ Microsoft Defender、Netskope 監視体制 外部 SOC チームと連携

15. 導入後の所感 よかったこと 課題点 セキュリティ体制の強化 運用効率化 コンプライアンス対応 スケーラビリティ 導入したは良いものの、、、 監視する基盤が整ってないので問題の検出は後からになる 検出後に誰がどう対応するか曖昧

16. Datadog Cloud SIEM での監視体制強化 Enhancing Security Monitoring with Datadog Cloud

    SIEM

17. そもそも SIEM とは SIEM: Security Information and Event Management セキュリティイベントの収集・分析・監視

    異常や脅威の早期検知 クラウドサービス 社用 PC 各種 SaaS データ収集 リアルタイム検索 イベント管理 行動分析 レポート生成 セキュリティ担当者 SIEM

18. Datadog Cloud SIEM 機能と特徴 1 ダッシュボード 事前構成されたダッシュボードによりアクティビティをリアルタイムで可視化
 検出ルールのカバレッジ、セキュリティオペレーションメトリクスを一目で把握か可能 2 豊富な連携

    豊富な既製統合により、クラウド監査ログ、認証ログ、ネットワークログなどを一元化 Content Pack で特定の統合向けに事前構成されたコンテンツをすぐに活用可能 3 充実した事前ルール・柔軟なカスタムルール Datadog セキュリティ研究チームによって厳選された 400 以上の検出ルールを即座に活用。
 柔軟なクエリで組織固有のカスタムルールを柔軟に作成可能

19. Datadog Cloud SIEM における監視の仕組み 連携サービスからログを収集 定義したルールに一致するかを判定 一致した場合シグナルとして送信 Datadog Logs Detection

    Rules Security Signal 連携サービスからログを収集 定義したルールに一致するかを判定 一致した場合シグナルとして送信

20. Content Pack による事前ルール この SaaS で検出されたシグナルや
 検出対象になっているログ この SaaS で検出されたシグナルや


    検出対象になっているログ 例) 1Password の Content pack

21. Detection Rules Detection Rule に該当するイベント発生品頻度、
 シグナルがどれだけきているか等のレポート ルールの定義
 Monitor 機能と同様にログに対するクエリを書く 例)

    1Password の Detection Rule
 Attempt to exfiltrate a 1Password item by user ユーザーの 1Password アイテムのエクスポート

22. Security Signal 例) 実際のセキュリティシグナル 実際に発生したイベントの詳細
 IP アドレスや実行ユーザーが確認可能 ルールに予め設定された Playbook があり、


    対応方法が確認できる

23. MITRE ATT&CK Map グローバルな攻撃者 グローバルな攻撃者 MITRE ATT&CK とは 攻撃者がシステムを侵害するために利用する戦術や技術をまとめた知識ベース 攻撃手法に対して既存の

    Detection rule がどれだけ
 カバーできているかをヒートマップで表現

24. Datadog On-Call でのアラート体制強化 Enhancing Alert Response with Datadog On-Call

25. Datadog On-Call 機能と特徴 1 基本的な通知チャンネルをカバー Email、Slack、SMS、電話、プッシュ通知など複数の通知チャネルに対応 2 ページルーティング・エスカレーションポリシー オンコール担当者が応答しない場合、自動的に次のチームメンバーに通知 通知順序と時間間隔を定義でき、重大度に基づいた段階的な通知が可能

    3 スケジュール 公平な当番配分とチームメンバーの負担軽減を実現し、休暇やカバー依頼にも対応 4 各種 Datadog サービスからの通知 モニター、セキュリティシグナル、エラーなど Datadog 全体からのアラートを受信

26. スケジュールの設定 オンコール担当者をカレンダーで定義 ページされた時にどのようなルールで
 エスカレーションするのかを定義

27. Cloud SIEM との連携 Cloud SIEM でシグナルを検知した場合に SOC チームのオンコールに通知

28. 導入後とまとめ Our Journey to Datadog

29. まとめ 監視・アラートが点在し、運用コストが増大 Datadog にツールを統一化することで導入・運 用の工数を削減 ツールの統一化 ログ収集のみで具体的なアラート・対応フロー が確立されておらず対応が遅れる危険性 Cloud SIEM

    でリアルタイム検出 → On-Call で
 自動ページングで対応 セキュリティアラートから対応まで オンコール体制が不十分で、営業時間外の脅威 検出が遅れる On-Call のスケジュール管理で 24/365 カバレッ ジを確保。Cloud SIEM が常時監視し、いつでも 最適な対応者に通知 24/365セキュリティ監視の実現

30. https://nxt-fintech.notion.site/recruit WE ARE HIRING! Next Finance Tech では一緒に を 創って行く仲間を募集しています。

    未来の金融

31. Next Finance Tech の魅力 1 優秀なエンジニアたちが在籍 ゴールマンサックス、AWS など経験豊富なエンジニアが在籍 「 」に関する卓越した知見が得られる

    強い責任感と高い専門性で最高水準の価値を顧客に提供 金融・インフラ 日本から世界へ グローバルで活用される大規模ブロックチェーンインフラを構築 金融機関グレードのセキュリティを意識した実務的な経験 2 最先端のブロックチェーンx金融技術

32. ご清聴ありがとうございました nxt-fintech.com @nxt_fintech ご質問やフィードバックをお待ちしております