Datadog入門 第7部 - セキュリティ監視とクラウドセキュリティ
Datadogの基本的な監視機能を構築した次のステップは、セキュリティ監視です。本記事では、Security Monitoringによる脅威検出とCloud Security Posture Management(CSPM)によるクラウド設定の監視・管理について解説します。これにより、統合的なセキュリティ監視体制を構築できます。
7.1 Security Monitoring
セキュリティ監視の基本概念
Datadogセキュリティ監視の特徴
Datadog Security Monitoringは、従来の境界防御からゼロトラストアーキテクチャへの移行をサポートします。ログ分析、メトリクス監視、ネットワーク監視を統合し、リアルタイムでの脅威検出と自動化された対応を実現します。
主要機能は以下の通りです:
| 機能領域 | 詳細 | 特徴 |
|---|---|---|
| 脅威検出 | ログベースのセキュリティシグナル | リアルタイム分析 |
| 行動分析 | UEBA(User and Entity Behavior Analytics) | 機械学習活用 |
| 自動対応 | インシデント分類・エスカレーション | ワークフロー統合 |
| コンプライアンス | PCI DSS、HIPAA、SOX対応 | 継続的監視 |
Security Monitoring アーキテクチャ
Datadog Security Monitoringは多層防御の概念に基づいて設計されています。各レイヤーでの監視体制は以下の通りです:
各レイヤーはMITRE ATT&CKフレームワークに準拠した検知パターンを実装し、初期侵入から権限昇格、横方向移動まで包括的に監視します。
脅威検出ルールの設定
高度な脅威検出ロジック
Datadog Security Monitoringは、ルールベース検知と機械学習による異常検知を組み合わせ、高精度な脅威検出を実現します。
主な検出ルール例:
認証関連の脅威検出
# SSH ブルートフォース攻撃
source:sshd @evt.outcome:failure
| group by @usr.name
| count > 10 within 5mネットワーク脅威検出
# DNSトンネリング検出
source:dns @dns.question.size:>100
| group by @network.client.ip
| count > 100 within 10mアプリケーション脅威検出
# SQLインジェクション攻撃
source:nginx @http.url_details.queryString:(*SELECT* OR *UNION*)
@http.status_code:(400 TO 499)これらのルールは、MITRE ATT&CKフレームワークの戦術・技術に対応し、脅威インテリジェンスと組み合わせて精度を向上させています。
機械学習ベース脅威検出
Datadogの機械学習機能を活用し、従来のルールベース検知では困難な複雑な攻撃パターンを検出します。
UEBA(ユーザー・エンティティ行動分析)
- ログイン時間パターンの分析
- アクセス場所の異常検知
- リソースアクセスパターンの監視
- データ転送量の異常検知
適応的しきい値調整
- 学習期間:7日間
- 調整頻度:日次
- 季節性考慮:業務カレンダー連動
- 信頼度しきい値:クリティカル(95%)、高(85%)、中(70%)
セキュリティシグナルの分析
インテリジェントシグナル管理
Security Signalsは、複数のセキュリティイベントを関連付け、コンテキスト情報と脅威インテリジェンスを統合した統一的なセキュリティインシデントです。
Security Signalの構成要素:
| 要素 | 内容 | 詳細 |
|---|---|---|
| メタデータ | シグナル ID、重要度、信頼度 | 基本情報とタイムスタンプ |
| 脅威分類 | MITRE ATT&CK準拠 | 攻撃技術・戦術の分類 |
| コンテキスト | 影響範囲・地理的情報 | 関連アセット・ビジネス影響 |
| 対応アクション | 自動対応・エスカレーション | 調査手順・修復ワークフロー |
セキュリティシグナル分析ワークフロー
Datadogのセキュリティシグナル分析プロセスは以下の4段階で構成されます:
この一連のプロセスでは、脅威インテリジェンス情報と組み合わせた精度の高い分析と、迅速な対応を実現します。
コンプライアンス監視
規制要件への対応
Datadog Security Monitoringは、主要なコンプライアンス規制に対応した監視ルールとレポート機能を提供します。
主要なコンプライアンスフレームワーク対応状況:
| 規制 | 主要要件 | 監視ルール |
|---|---|---|
| PCI DSS 4.0 | パスワードポリシー、アクセス制御、ログ監視 | 認証ログ集中化、MFA強制 |
| HIPAA | 管理的・技術的セーフガード | アクセス監査、データ保護 |
| SOX 404 | ITコントロール評価 | 継続的監視、例外レポーティング |
| CIS Controls | セキュリティベストプラクティス | 資産管理、アクセス制御 |
各規制の特定要件に対応した自動監視ルールを設定し、リアルタイムでのコンプライアンス状況の監視とレポート生成が可能です。
自動コンプライアンス報告
自動コンプライアンス報告システムの主要機能:
データ収集自動化
- 認証システム、アクセス制御システムからのリアルタイムログ収集
- データ整合性チェックと証蹟保存
コントロール評価
- アクセス制御の自動検証
- 暮号化コンプライアンスチェック
- ポリシー違反の異常検知
レポート生成
- エグゼクティブサマリーレポート
- 詳細なコントロールテスト結果
- 監査証蹟と承認ワークフロー
7.2 Cloud Security Posture Management
クラウドセキュリティ設定の監視
CSMP(Cloud Security Posture Management)の概念
Cloud Security Posture Management(CSPM)は、クラウド環境の設定ミスを継続的に監視し、セキュリティベストプラクティスへの準拠状況を可視化・改善するためのアプローチです。Datadog CSPMは、マルチクラウド環境での統一的なセキュリティ監視を実現します。
Datadog CSPMの主要機能:
| 機能分類 | 詳細機能 | 特徴 |
|---|---|---|
| 設定ミス検出 | リアルタイムスキャン、ベストプラクティス比較 | 重要度別リスク分類 |
| コンプライアンス管理 | CIS Benchmarks、NIST、SOC 2対応 | カスタムポリシー定義可能 |
| 継続的監視 | 設定変更の即座検知、ドリフト検出 | 自動記録と警告 |
| 修復自動化 | IaC統合、自動修復スクリプト | 承認フローとロールバック |
マルチクラウドセキュリティ監視
Datadog CSPMは、AWS、Azure、Google Cloud Platform、Kubernetes環境での統一的なセキュリティ監視を提供します。
主要なクラウドセキュリティポリシー例:
AWSセキュリティポリシー
- IAM: 過剰権限ロール、未使用アクセスキー、MFA設定の検証
- S3: バケットの公開設定、暗号化設定の確認
- EC2: セキュリティグループの過度な開放検知
Azureセキュリティポリシー
- 特権アクセス管理(PIM)の設定検知
- 条件付きアクセスポリシーの確認
- ストレージアカウントの暗号化設定
GCPセキュリティポリシー
- プリミティブロール(Owner/Editor)の使用検知
- サービスアカウントキーのローテーション管理
- Compute Engineのセキュリティ設定
Kubernetesセキュリティポリシー
- 特権コンテナの検知
- Podリソース制限の設定確認
- ネットワークポリシーによるトラフィック制御
設定ミスの検出と修復
インテリジェント設定ミス検出
Datadog CSPMは、静的ルールと機械学習アルゴリズムを組み合わせ、複雑な設定ミスを高精度で検出します。
主要な設定ミス検出カテゴリ:
| カテゴリ | 検知対象 | リスク影響 |
|---|---|---|
| アクセス制御 | 過剰権限ポリシー、弱認証 | 権限昇格・不正アクセス |
| ネットワークセキュリティ | パブリックIP、SG設定、暗号化 | ネットワーク露出・データ盗含 |
| データ保護 | 暗号化設定、バックアップ | データ漏洩・損失 |
| 監査ログ | ログ設定、アクセス監査 | コンプライアンス違反 |
各カテゴリにおいて、リスクレベルに応じた自動修復フローが設定され、低リスクは即座修復、高リスクは承認フローを経て修復されます。
自動修復と承認ワークフロー
自動修復フレームワークの主要要素:
修復優先度の決定
- CVSSスコアによる脆弱性評価
- ビジネス影響度によるアセット重要度
- 脅威インテリジェンスとの相関分析
修復戦略の選択
低リスク: 自動実行
・ CloudTrailログ有効化
・ S3バケット暗号化
・ セキュリティグループ更新
中リスク: 承認後実行
・ アクセスポリシー更新
・ ネットワーク設定変更
高リスク: 手動検証
・ 公開アクセス禁止
・ 権限削減
・ リソース削除実行エンジン統合
- Infrastructure as Code(Terraform、CloudFormation)との連携
- クラウドネイティブAPI(AWS CLI、Azure CLI、gcloud)の活用
- 設定変更前のスナップショット作成とロールバック機能
セキュリティスコアリング
包括的セキュリティ評価
Datadog CSMPは、組織全体のセキュリティ態勢を定量的に評価し、改善優先度を明確化します。
スコアリングフレームワークの主要要素:
ドメイン別スコア評価
| ドメイン | 重み | 評価指標 |
|---|---|---|
| ID・アクセス管理 | 25% | MFA率、特権アクセス制御 |
| ネットワークセキュリティ | 20% | FWルール最適化、暗号化率 |
| データ保護 | 25% | 暗号化カバレッジ、バックアップ |
| 設定管理 | 15% | IaC採用率、ドリフト検知 |
| 監視・対応 | 15% | イベントカバレッジ、対応時間 |
成熟度レベル判定
- Level 1 (初期): 0-40点、アドホックプロセス
- Level 2 (管理): 41-60点、ドキュメント化されたポリシー
- Level 3 (定義): 61-80点、標準化されたコントロール
- Level 4 (最適化): 81-100点、継続的改善と予測的検知
エグゼクティブダッシュボード
- 現在のセキュリティスコアと業界ベンチマーク比較
- クリティカルな脆弱性とコンプライアンスギャップ
- ROIランキングに基づく投資優先度と予算要件
継続的コンプライアンス監視
リアルタイムコンプライアンス追跡
継続的コンプライアンス監視の主要機能:
リアルタイム監視
- クラウドAPI呼び出しのリアルタイム分析
- インフラストラクチャドリフト検知
- ポリシー違反の即座評価
- 変更履歴のユーザー関連付け
自動コンプライアンス評価
- ルールエンジンによるポリシー適合性検証
- 監査証蹟の自動生成
- 例外処理と逸脱ドキュメント化
- 自動修復のトリガー発動
継続的レポーティング
- リアルタイムコンプライアンスステータスダッシュボード
- ステークホルダーへの違反アラート配信
- 監査パッケージの自動生成
- コンプライアンス軌跡のトレンド分析
これでDatadog入門シリーズ第7部のセキュリティ監視編が完成しました。Security Monitoringによる脅威検出からCloud Security Posture Managementによるクラウド設定の監視・管理まで、Datadogのセキュリティ機能を実践的に活用できるようになります。
第8部では、200以上のインテグレーション活用、API自動化、Infrastructure as Code統合など、Datadogを組織の運用ワークフローにシームレスに統合する方法を解説予定です。