Datadog コンプライアンスモニタリングのご紹介 | Datadog

Datadog コンプライアンスモニタリングのご紹介

Author Michael Yamnitsky
Author Jonathan Epstein

Published: August 11, 2020

ガバナンス、リスク、コンプライアンス (GRC) は、クラウド移行を実践している組織にとっては非常に頭の痛い存在です。クラウド環境は複雑で、セキュリティグループのコンフィギュレーションを一つ間違っただけでも深刻なデータ漏洩を招いてしまう恐れがあります。実際に、アセットのコンフィギュレーションミスは 2019年に発生したクラウド上のセキュリティ侵害の中でもトップの原因となっています。開発者、そして運用チームには、サービスの適切な安全性の確保、そして法規制に対するコンプライアンス遵守の面で多大なプレッシャーがかかっていることでしょう。さらに、この火に油を注ぐかのごとく、彼らのタスクは日に日に難しさが増しているのも事実。安全かつコンプライアンスに即したコンフィギュレーションを維持するためには、複数のクラウドプラットフォーム、コンソール、クラウドセキュリティツールを併用する必要があるからです。サイトの信頼性確保に奔走するエンジニアたちが、アセットインベントリのデータをカタログ化し、第三者監査用に関連するログを収集するために何百時間も費やしてしまう…というのも決して珍しいことではありません。

ここでご紹介したいのが、Datadog セキュリティプラットフォームの新機能としてベータ版リリースされた「コンプライアンスモニタリング」です。本番環境におけるコンプライアンス遵守状況の追跡、監査エビデンスの収集、攻撃に対する脆弱性を伴うコンフィギュレーションミスの検知などを簡単に実施することができます。コンプライアンスモニタリングは PCI DSSSOC 2CIS など業界水準のコンプライアンスフレームワークに対応しており、開発者やセキュリティエンジニアが潜在的な脅威やアプリケーションのパフォーマンス面に関連するコンフィギュレーションミスを検知し、セキュリティ上の問題を回避できるよう万全のサポートを提供します。日々ご利用いただいている Datadog プラットフォームからすべての機能へのアクセスが可能です。

コンプライアンスモニタリングはお使いのクラウド環境からデータを収集し、クラウドアセットの状況をくまなく可視化します。

クラウドリソースとワークロードの構成を継続的にチェック

クラウドの本番環境では、監査エビデンスとコンプライアンス結果が、システム/アプリケーションログやネットワークトラフィック、ライブプロセスのテレメトリー、コンフィギュレーション、脆弱性評価など、極めて膨大なデータの中に散らばってしまうというケースが多々存在します。

Datadog なら一元化された可観測性プラットフォームを通じて、お使いの環境のすべての層をまたぐテレメトリーへの包括的なアクセスを実現するという独自の手法でこの問題を解決することができます。 400 以上のテクノロジーとのインテグレーションに加えて、Datadog コンプライアンスモニタリングは以下の 2 つの方法でセキュリティの可視性向上に貢献します。

  1. セキュリティグループ、ストレージバケツ、ロードバランサー、データベース、よく利用するその他のクラウドサービスなど、お使いのクラウド環境の状態を継続的に評価。
  2. Datadog Agent を拡張し、サーバー、コンテナ、Kubernetes クラスターなどローカルのコンフィギュレーション情報のレビュー、およびファイルとフォルダ整合性の監視機能を付加。
Compliance Monitoring analyzes the posturing of all of your AWS assets.
コンプライアンスモニタリングですべての AWS アセットの状況を分析。

クラウドリソースのコンフィギュレーション監視

「パブリックネットワークからアセットに無制限でアクセスが可能」といったクラウド環境でのコンフィギュレーションミスは、対処しなければ重大なセキュリティ侵害を招く恐れがあります。クラウドサービスの安全管理を担当するチームでそれらのミスを特定し、適切に対処しなければなりません。Datadog コンプライアンスモニタリングはクラウドサービスのコンフィギュレーションを継続的に評価し、お使いのクラウドアカウントにおけるコンプライアンス違反を即座に可視化できるようサポートします。

コンテナと Kubernetes コンフィギュレーションの監視

コンテナ化環境への移行が進むにつれて、コンプライアンスチームにはコンテナランタイム (例: Docker) とオーケストレーター (例: Kubernetes) が安全に管理されていることを示すコンフィギュレーション指標を提示することが期待されます。一般的なソリューションとしては、継続的なビルドとインテグレーションのパイプラインでコンフィギュレーションチェックを行うことが挙げられます。しかし、このアプローチはその時点での防御策としては有効ですが、本番環境は手つかずのままになってしまいます。これに対する総合的なソリューションとして、弊社では Datadog Agent を拡張し、Docker コンテナと Kubernetes コントロールプレーンに対して Center for Internet Security (CIS) のベストプラクティスに則ったコンフィギュレーションチェックを継続的に実施できるような環境を整えました。

セキュリティエクスプローラーでコンテナと Kubernetes のコンフィギュレーションミスを追跡できます。

実稼働準備が整ったファイルの整合性モニタリング

ファイル整合性モニタリング (FIM) は、SOC 2 や PCI など日常的なファイルアクセス監査を必要とする規制フレームワークに準拠する上で欠かせないツールで、コンプライアンスチームにとって極めて有用です。従来型のランタイムセキュリティソリューションはリソースの集中度が非常に高く、コンテナ化環境への対応もままならない反面、モダンな eBPF 実装をベースとする Datadog の FIM ソリューションは、お使いのクラウドネイティブインフラで本番環境における大規模運用が可能です。

Compliance Monitoring creates real-time compliance violation alerts when a sensitive file is accessed or modified.
コンプライアンスモニタリングは、機密ファイルが開かれたまたは修正された場合にリアルタイムのコンプライアンス違反アラートを作成します。

重大なコンプライアンス規則からの逸脱を検知

コンプライアンスモニタリングにはすぐに使える 200 以上のデフォルト規則が搭載されており、サーバー、コンテナ、Kubernetes クラスター、AWS アセットにおける PCI および CIS コンプライアンスの準拠状況をチェックします。GCP や Azure にも対応しているほか、これらの規則セットはカスタマイズ可能で、それぞれの規則を特定のニーズに応じてわずか数クリックで拡張することができます。

専用のクエリ言語の知識なしで独自のコンプライアンスルールを作成できます。

カスタマイズ可能なクラウドコンフィギュレーションの規則タイプを新規追加したことで、社内および標準化された CIS 規則に基づいてクラウドリソース (セキュリティグループの規則設定、ストレージバケツのアクセス許可など)でコンプライアンスに準拠していない、または完全でないコンフィギュレーションを特定できるようになりました。

Datadog に定義済みの規則に加えて、コンプライアンスモニタリングの規則エディターでは組織独自のコンフィギュレーションポリシーを作成することもできます。記述に際してクエリ言語を覚える必要はありません。たとえば、タグ付けのコンプライアンス遵守を強化したい場合は、CloudOps のチームで「タグ値が空にならないようチェックする」規則を作成するのも良いでしょう。こうしておけば、誰かが不適切にタグ付けされたリソースを起動した場合、カスタム規則による警告がトリガーされ、すべての関係者 (コンプライアンスチーム、エンジニアなど) に通知が送信されます。

潜在的なコンフィギュレーションミスを優先的に修復

お使いのクラウドリソース内部、またはホストやコンテナなどで Datadog がコンプライアンス違反を検知した場合は、以下の内容が記録されます。

  • コンフィギュレーションミスが検知されたアセットの状態
  • 問題があったコンフィギュレーション規則
  • 問題の相対的な重大度

これによって、潜在的なコンプライアンス違反のスコープを、影響を受けるチーム、サービス、環境といった観点からすばやく評価することができます。またそれぞれの違反による潜在的なリスクを評価し、正確に優先順位をつけた上で修復に取り掛かることが可能となります。

コンプライアンス結果とセキュリティ上の問題との関連付け

コンプライアンス違反の一覧、およびコンフィギュレーションミスに起因すると考えられるその他のセキュリティ問題はセキュリティエクスプローラーで確認することができます。たとえば、セキュリティシグナルは Datadog が外部 IP アドレスから内部サービスへのトラフィックを検知した場合に発動しますが、コンプライアンス違反アラートは公共インターネットからアクセス可能なAWS セキュリティグループのうち、直近でコンフィギュレーションミスがあったものについて通知します。このアラートをもとに AWS CloudTrail ログで問題の発生経緯を確認し、Datadog と Slack、PagerDuty などのコラボレーションツールとのインテグレーションを利用して適切なメンバーに通知し、問題の解決を試みます。

エキスパート仕様のコンプライアンスダッシュボード

すぐに使えるコンプライアンスダッシュボードで、チーム全員に問題の追跡状況を共有できます。

Datadog のコンプライアンスモニタリングは、業界水準のコンプライアンスフレームワークを搭載した便利なダッシュボードを搭載しています。GRC、情報セキュリティチームはもちろん、社内のすべてのメンバーがコンプライアンスの準拠状況を一目で確認できます。ダッシュボードにはクラウド環境での追跡対象のリソース数、検知されたコンプライアンス違反の種類 (重大度、制御、リソースタイプによりグループ化)、これまで検知されたコンプライアンス結果のパターン、それぞれの結果のコンテキストを含むコンフィギュレーションの変更に関連するログなどが表示されます。

Datadog は現在 PCI および CIS などのコンプライアンスフレームワークをサポートしており、数か月中にさらに対応範囲を広げていく予定です。

コンプライアンスモニタリングの機能を今すぐお試し

Datadog コンプライアンスモニタリングは、現行のセキュリティ運用のスコープを広げ、急速に進化するコンプライアンス事情に遅れを取らないようにするために不可欠なツールです。Datadog を既にご利用のお客様は、 こちらからコンプライアンスモニタリングのベータ版利用をお申し込みください。新規のお客様は をお試しください。