はじめに
こんにちは、Datadog Japan で Sales Engineer をしている AoTo です。
みなさん、Datadog の公式年次イベントである DASH はご存知でしょうか?DASH は「Observe・Secure・Act」というキーワード、Datadog の本社が置かれるニューヨークで開催されるイベントです。2024年は6月25-26日に開催され、2025年は6月10-11日のでの開催が決定しています。
ロードマップや最新機能を発表する他に、各テーマに沿ったワークショップや事例を聞けるブレイクアウトセッション、パートナーソリューションを知れるエキスポや日本人向けの Japan Track など様々なコンテンツがあります🐶
今回は、「DASH 2024」で紹介された新機能をこれまでの Datadog の機能と比較しながら解説します。Datadog 内部の視点から、公式ドキュメントには記載のない、以前までの機能と変化も解説するため Datadog/Observability 好きの方は是非最後までご覧ください!
こちらの内容は Secure のキーワードに沿った新機能に焦点を当てた中編となります。Obseve・Act は以下の記事をご覧ください。
2024年12月 時点での情報を元に記載しています。
最新の情報は Datadog の公式ドキュメントをご参照ください。
Agentless Scanning/Data Security
概要
Agentless Scanning/Data Security は Datadog Agent をインストールしていない・できない AWS リソースを対象に、脆弱性と機密データのスキャンを行う機能です。発表時から GA(一般公開) し、その一部である Data Security は発表から現在までPreview(Private beta) で提供されています。
本機能では、スキャン対象のリソースを特定するために Datadog Resource Catalog のメタデータを参照し Agentless Scan インスタンス(EC2) に Remote Configuration でリソース情報を送信します。スキャンは12時間ごとに行われ、リージョンごとに Agentless Scanning 用のインスタンスを用意する必要があります。
機能は大きく分けて EC2, Lambda, コンテナ を対象とする脆弱性スキャンと S3, RDS のデータを対象とするクラウドストレージスキャン(Data Security)があります。前者は Trivy Vulnerability Database で、後者は Datadog Sensitive Data Scanner によってデータが検証されます。
以前までの機能
Agentless Scanner の提供前から、Datadog Cloud Security Management には各リソースの脆弱性を確認する Vulnerabilities がありました。このデータソースは AWS integration により取得される構成情報か、Datadog Agent がインストールされているホストやコンテナが対象となっていました。
しかし、Datdog Agent をインストールできないホスト・コンテナ・関数は AWS integration によって取得される構成情報による構成ミスの監視しかできず、内部で利用されている OS・ファイルシステム・パッケージマネージャー・コンテナランタイム・アプリケーション言語などの脆弱性まで確認することはできませんでした。
Agentless Scanning は Datadog Agent を必要としとしない方式で内部の脆弱性をスキャンすることで、Datadog CSM の管理できる脆弱性の範囲を広げています。
IaC Remediation
概要
IaC Scanning/Remediation は GitHub で管理されている Terraform のコードの構成ミスを検出そ改善するための機能です。発表時から現在まで Preview(Private beta) で提供されています。
IaC Remidiation を利用することで、IaC のコードから脆弱性を検出し、Datadog から直接 Pull Request を発行し素早い修正を行えます。
以前までの機能
Datadog CSM はデプロイされた環境に対する脆弱性・構成ミス検知が中心の機能であり、その対処としてユーザーは手動での修正を入れるか IaC で定義された内容を見返し該当箇所を修正する必要がありました。IaC Scanning/Remediation を利用することで、IaC コード自体のセキュリティを監視できるだけでなく、その修正を直接 Datadog から始めることができるため、脆弱性対策の Shift Left が実現できます。
Code Security/Software Composition
概要
Datadog Code Security は、実働環境で利用されているシステムに対して、コードレベルの脆弱性を特定し実用的な洞察と推奨される修正を提供する IAST(Interacive Application Security Testing) 機能です。発表時は Preview(Private beta) でしたが、現在は GA(一般公開) として提供されています。
Datadog Code Security は、一般的な脆弱性タイプを評価するOWASP ベンチマークに対して 100% のカバレッジを提供します。このカバレッジ範囲により、脆弱性がどれほど複雑、深刻、または広範囲に及んでいるかに関係なく、チームは脆弱性を完全に正確に検出できます。
Datadog Software Composition Analysis はソフトウェアに利用されているオープンソースライブラリの脆弱性検知を行う機能です。発表時は Preview(Private beta) でしたが、現在は GA(一般公開) として提供されています。
Datadog SCA の特徴的な点は、開発者がコミットするコードから Datadog 上で実行中の本番アプリケーションに至るまで、ソフトウェア開発ライフサイクル全体をでカバーできる点です。
脆弱性情報は、Open Source Vulnerabilities(OSV), National Vulnerability Database(NVD), GitHub Advisory, その他の言語エコシステムアドバイザリなどから情報を収集した独自のデータベースを使用しています。これらは Datadog の Guarddog プロジェクトとして公開されています。
以前までの機能
Datadog ASM はアプリケーションに対する脅威となる攻撃の検知とブロックである Threats(DAST) からその機能を拡大していました。
一方で、一般的なアプリケーションセキュリティで語られる IAST, SAST, SCA の領域は実現できず、新しい機能の追加が望まれました。現状は Code Security(IAST), SCA に加えて Static Analysis(SAST) も Preview として追加されました。
おわりに
本来は6月に公開を予定していた本記事ですが、執筆に時間を取れず公開が12月に遅れてしまいました。
Datadog は製品開発に積極的に投資しており、新機能の追加だけではなくプロダクト間の連携や UI/UX・実装方法の改善などさまざまな変更が日々行われています。Datadog の年次イベントである DASH では、Datadog が自信を持ってユーザーに提供できる目玉機能の発表が行われ、業界にも大きなインパクトをもたらします。
皆様も是非来年 DASH 2025 に参加いただき、オブザーバビリティの最前線を体感してみてください🐶