サイバー攻撃の「後」を⾒据える Datadog で実現する Cyber Resilience/datadog-cyber-resilience

Transcript

1. 1

2. サイバー攻撃の「後」を⾒据える Datadog で実現する Cyber Resilience 2 木原　優太 Datadog Japan 合同会社

   Sales Engineer

3. Agenda 3 01 オープニング 02 サイバーレジリエンスとは 03 サイバーレジリエンスにおける課題 04 Datadogで実現するサイバーレジリエンス

   05 ユースケースのご紹介 06 まとめ

4. 4 サイバー攻撃から 100%対策 できている自信はありますか？

5. 現代のサイバー脅威の実態 5 図表Ⅱ-1-10-3　NICTERにおけるサイバー攻撃関連の通信数の推移 日本では、2023年に実施した調査によれば、過去3年間でのサイバー攻撃の被害を経験した 法人組織の累計被害額の平均が約1億2,528万円になる。 （出典）国立研究開発法人情報通信研究機構「 NICTER観測レポート 2023」を基に作成

6. サイバーレジリエンスとは 6

7. サイバーレジリエンスとは 7 NIST（米国標準技術研究所）の定義：「サイバー資源を用いるシステム上で発生する不利な状況、ストレス、攻撃、 侵害に対して、先読み（予防）し、 耐え抜き、回復し、適応する能力 」 NIST SP 800-160 -

   Developing Cyber-Resilient Systems NIST CyberSecurity Framework は、その力を 5つの機能で定義しています。 『 予防 + 検知 + 特定 + 対応 + 回復』 このライフサイクル全体の体制を整えて 企業や組織が事業を継続し、成長するための総合 的な取り組み・戦略が重要です。 対 応 検知 予防 特 定 回復 統治 NIST CyberSecurity Framework

8. なぜ今、サイバーレジリエンス が求められるのか Gartnerでは「2028年までに、新たなサイバーレジリエンス戦略を持たない組織の 90%以上は、その存続が危うくなる 」 という仮説を立てています *1。さらに、サイバーレジリエンスが求められる３つの理由。 8 *1 2025年の展望：サイバーレジリエンスの未来と生存戦略

   攻撃手法の 高度化・巧妙化 AIリスクへの対応 クラウド環境への対応

9. 『攻撃は起こるもの』と想定しておくこと 9 従来のサイバーセキュリティは、攻撃の「検知・ブロック」に重きを置くのに対し、サイバーレジリエンスは 「攻撃は起こるもの」と想定して被害を最小限に限定し、 ビジネスが継続できるように 、対策を講じることが重要です。 クラウドインフラ Internet Host App

   App脆弱性 Infra脆弱性 Host 攻撃者

10. サイバー攻撃後のビジネスインパクトの理解 10 サイバー攻撃を受けた後、インシデント対応から脅威の除去、復旧までのなかで、 『実際にビジネスに及ぼす影響を理解すること』が重要です。 Internet Host App App脆弱性 Infra脆弱性 Host

    攻撃者 ユーザー

11. 11 サイバーレジリエンス ビジネスを継続する力 ビジネスへの影響を最小限に留め 防御が突破されることも織り込み

12. サイバーレジリエンス における課題 12

13. インシデント対応の流れ CNAPP = Cloud Native Application 　　　　 Protection Platform クラウド環境のアプリケーションを保護す

    るための「予防」と「検知」を 提供することを役割としています。 インシデント発生! 予防 CNAPP カバレッジ 検知・特定 インシデント対応の流れ 13

14. インシデント対応の流れ CNAPP = Cloud Native Application 　　　　 Protection Platform クラウド環境のアプリケーションを保護す

    るための「予防」と「検知」を 提供することを役割としています。 インシデント発生! 予防 CNAPP カバレッジ 検知・特定 インシデント対応の流れ 対応(脅威除去) 回復 SOAR カバレッジ 対応(封じ込め) SOAR = Security Orchestration, 　　　　　　 Automation and Response セキュリティ運用を効率化・自動化し、 インシデントに迅速かつ一貫性を持って対 応できることを役割としています。 14

15. インシデント対応の流れ と 攻撃のシナリオ インシデント発生! 対応(脅威除去) 回復 予防 CNAPP カバレッジ SOAR

    カバレッジ 検知・特定 対応(封じ込め) インシデント対応の流れ AWSアカウントの設定ミスなどを監視する EC2が攻撃者に侵害された 攻撃者の活動を検知 EC2をネットワークから隔離し攻撃経路を遮断、 EC2 にアタッチされているIAMアクセスキーをローテー ションする 侵害されたEC2を停止し、AMIから新しいインスタン スを再作成する サービスの可用性を監視し、回復したことを確認 攻撃と対応のシナリオ例 15 SOAR カバレッジ SOAR カバレッジ

16. インシデント対応の流れ と 攻撃のシナリオ インシデント発生! 対応(脅威除去) 回復 予防 CNAPP カバレッジ SOAR

    カバレッジ 検知・特定 対応(封じ込め) インシデント対応の流れ CNAPP/SOAR が達成できない領域 🤷 エラー率の増加 🤷 SLO/ユーザー満足度 🤷 影響を受けたユーザー数 🤷 ビジネスに関する指標 🤷 対応後の回復判断に関する指標 🤷󰤈 ビジネスインパクト 16 SOAR カバレッジ SOAR カバレッジ

17. 単純にツールを増やしてしまうと危険 インシデント発生! 対応(脅威除去) 回復 予防 CNAPP カバレッジ SOAR カバレッジ 検知・特定

    対応(封じ込め) インシデント対応の流れ 他社 Observability Vendor 対応後の回復判断に関する指標 ビジネスインパクト Error Rate SLO / SLA 影響を受けたユーザー数 ビジネスに関する指標 壁 17 SOAR カバレッジ SOAR カバレッジ

18. 単純にツールを増やしてしまうと危険 インシデント発生! 対応(脅威除 去) 回復 予防 CNAPP カバレッジ SOAR カバレッジ

    検知・特定 対応(封じ込め) インシデント対応の流れ Observability Vendor 󰢏 対応後のPrimary Signals確 認 󰢏 ビジネスインパクト 󰢏 Error Rate 󰢏 SLO / SLA 󰢏 影響を受けたユーザー数 󰢏 ビジネスに関する指標 壁 18 SOAR カバレッジ SOAR カバレッジ ツールの数が増加すると可視性が限定され調査効率が下がる 　　さらに、関係者が多いとコミュニケーションコストが上がる 　　⇨ インシデント後の対応に時間がかかる　 🔥

19. NISTの定義に立ち返る 19 NIST（米国標準技術研究所）の定義：「サイバー資源を用いるシステム上で発生する不利な状況、ストレス、攻撃、 侵害に対して、先読み（予防）し、耐え抜き、回復し、適応する能力」 NIST SP 800-160 - Developing Cyber-Resilient

    Systems 対 応 検知 予防 特 定 回復 統治 NIST CyberSecurity Framework 一体どうすればサイバーレジリエンスを 私たちの会社で実現できるだろう？ Datadogで実現してみませんか？

20. Datadogで実現する サイバーレジリエンス 20

21. Datadogで実現する サイバーレジリエンス インシデント発生! 対応(脅威除去) 回復 予防 検知・特定 対応(封じ込め) インシデント対応の流れ 21

22. Datadogで実現する サイバーレジリエンス インシデント発生! 対応(脅威除去) 回復 予防 検知・特定 対応(封じ込め) インシデント対応の流れ 　　

    Cloud Security Code Security Threat Management Security 22

23. Datadogで実現する サイバーレジリエンス インシデント発生! 対応(脅威除去) 回復 予防 検知・特定 対応(封じ込め) インシデント対応の流れ 　　

    Cloud Security Code Security Threat Management Detection Rules Notification Rules Security 23

24. Datadogで実現する サイバーレジリエンス インシデント発生! 対応(脅威除去) 回復 予防 検知・特定 対応(封じ込め) インシデント対応の流れ 　　

    Cloud Security Code Security Threat Management Detection Rules Notification Rules Security Dashboard Log Trace Metrics SLO Service 850+ Integration Observability 24

25. Datadogで実現する サイバーレジリエンス インシデント発生! 対応(脅威除去) 回復 予防 検知・特定 対応(封じ込め) インシデント対応の流れ 　　

    Cloud Security Code Security Threat Management Detection Rules Notification Rules Security Dashboard Log Trace Metrics Infra Service 850+ Integration Observability Tag 25

26. Datadogで実現する サイバーレジリエンス インシデント発生! 対応(脅威除去) 回復 予防 検知・特定 対応(封じ込め) インシデント対応の流れ Dashboard

    Log Trace Metrics Infra Service 850+ Integration 　　 Cloud Security Code Security Threat Management Detection Rules Notification Rules Observability Security Tag 👍 サービス影響の可視化 👍 対応中の可視化 👍 ワークフローの自動化 👍 ビジネス指標や SLOから 　 回復できているか確認 👍 包括的な セキュリティ機能 26

27. 27 インシデント発生! 対応(脅威除 去) 回復 予防 CNAPP カバレッジ SOAR カバレッジ

    検知・特定 対応(封じ込め) インシデント対応の流れ 他社 Observability Vendor 対応後の回復判断に関する指標 ビジネスインパクト Error Rate SLO / SLA 影響を受けたユーザー数 ビジネスに関する指標 壁 SOAR カバレッジ SOAR カバレッジ Datadogで実現する サイバーレジリエンス インシデント発生! 対応(脅威除去) 回復 予防 検知・特定 対応(封じ込め) Dashboard Log Trace Metrics Infra SLO 850+ Integration CSPM Code Security Observability Security Tag SIEM Workload Security APP & API Protection Workflow Automation (SOAR) Postmortem Real User Session Error Tracking Incident Management CIME 🤝

28. ユースケースのご紹介 28

29. CSPMでAWSアカウントを監視する 29 予防 環境に応じたセキュリティ脅 威の優先順位付け リソース関係図を通じた構成お よび影響度合いの分析

30. 怪しいユーザー操作、影響を受けたリソース検知 /特定 30 検知・特定 どのリソースへアクセスして 何を行ったか影響範囲の可視化

31. インシデント分析、連携、対応の自動化を実現 対応(封じ込め) 対応(脅威除去 ) 分析内容および結果の共有 対応の自動化（例: IPブロック） 31 タイムラインから状況把握

32. SOAR 対応の自動化テンプレートも豊富 SOARの自動化テンプレート 対応(封じ込め) 対応(脅威除去 ) 32

33. 脅威の封じ込め・除去に痛みが伴うケース 対応(封じ込め) 対応(脅威除去 ) Internet Host App App脆弱性 Infra脆弱性 Host

    攻撃者 ユーザー 攻撃者によって侵害されたリソースを隔離するにはどうしても他のユーザーにも影響が出てしまう • 現在のアクティブユーザー数は？ • SLOはどのくらい下がっているか？ • ビジネス指標にどれくらいの影響が出てしまうのか？ 33

34. 攻撃前後の Error率や、SLO、ビジネス指標を確認 対応(封じ込め) 対応(脅威除去 ) SLOへの影響がどのくらいか RUMでユーザーへ の影響を確認 エラー率・ビジネス指標 34

35. Observability によりシステム回復を正確に判断 回復 再構成されたシステムの監視 Postmortem 振り返り・改善へ Over 30 days 99.9%

    Over 7 days 99.5% Alerts 0 Warn 3 Ok 130 10 hits/s 596 0円 1.22s SLOなどで可用性の回復を判断 0.1% Good 35

36. まとめ 36

37. 37 UNIFIED INTEGRATIONS, AGENTS AND LIBRARIES USED FOR OBSERVABILITY Code

    Security Shared Remediation, Investigation and Response Services Collaboration with a Security Observability Platform Correlations • Resource Catalog • Service Catalog • Dashboards Integrations • Threat Intelligence • Notebook • Case Management • Incident Management • Workflows Cloud Security Threat Management Cloud Security Posture Management Cloud Infrastructure Entitlement Management Kubernetes Security Posture Management Container and Host Vulnerabilities Cloud SIEM 850+ Integrations Risk-Prioritized Entity Insights Workload Security Workload Protection File Integrity Monitoring Application & API Protection CWPP FIM CSPM CIEM VM CNAPP SIEM KSPM UEBA SAST IAST SCA Secrets IaC SCA Static (repo and code based) Software Composition Analysis Static Code Analysis IaC and Secrets scanning* Runtime Software Composition Analysis Runtime Code Analysis * coming soon RASP ATO 発見的統制 予防的統制 Datadog Security 機能カバレッジ

38. 38 Action Plan Security土台となるデータの収集・可視化から始める どこに脆弱性があるか、どんなアクセスがあるか、現状の脆弱性を把握する。 影響範囲を見える化する 攻撃された場合にどのシステム・ユーザーに影響が出るかを理解できるように オブザーバービリティの体制を整える（ APM、ユーザー体験の可視化・ SLO）。

    レジリエントな組織を作る Datadogでセキュリティとオブザーバービリティを実現し、 サイバー攻撃の初動対応から回復までビジネスが継続できる組織・体制を作る。 ポイント：まずは小さく、できるところから始める！

39. まとめ：Datadogによるサイバーレジリエンス強化 39 攻撃を「受けても継続する」体 制をいかに築くかが、企業価値 の存続を左右します。 Datadogはサイバーレジリエン スを実現するに相応しい プラットフォームです。 サイバーレジリエンスの重要性 観測する、守る、そして耐える

    を両立するプラットフォーム 現代のサイバー脅威は非常に 巧妙で、どんな企業でも 100% 攻撃を防ぐのは不可能です。 100%攻撃を防ぐことはできない

40. Thank you 40