Datadog の Cloud Security Management を使ってみた

#Datadog

Shiina

2025.04.04

こんにちは。テクニカルサポートチームのShiinaです。
 はじめに複数のクラウド環境におけるセキュリティを一元的に管理したいといった課題はないでしょうか？

Datadog の Cloud Security Management は、AWS、Azure、Google Cloud などの主要クラウドサービスにおける設定ミスや脅威をリアルタイムで検知する優れたソリューションです。

AWS 環境で Cloud Security Management を使ってみましたので、本記事では包括的なセキュリティ管理ツールの主要機能と設定手順について紹介します。
 Cloud Security Management とはクラウド環境のセキュリティを監視・管理するための Datadog のセキュリティプラットフォームです。

クラウドインフラ、ホスト、コンテナ、アプリケーションのセキュリティリスクを可視化し、脆弱性や設定ミスを検出・修正することができます。

インフラストラクチャ全体にわたってリアルタイムの脅威検出と継続的な構成監査を行えるため、システムの状態を包括的に把握できます。

脅威のトレースや影響範囲を把握することができるため、脅威検出と調査にとても役立ちます。
 Cloud Security Management のメリットマルチクラウド・マルチアカウントを一元管理できる

AWS、Azure、GCPなど、異なるクラウド環境をひとつで管理することができます。

複数のアカウントも一括管理できるため、セキュリティの抜け漏れを防げます。
リアルタイムで脅威検知できる

最新の脅威インテリジェンスを活用し、不審なアクセス、振る舞いを検知できます。

また、IAM の権限変更や S3 の公開設定ミスも瞬時にキャッチできます。
コンプライアンスチェックの自動化

CIS ベンチマーク、PCI DSS、ISO 27001 などの主要なセキュリティ基準に準拠しています。

クラウド環境の健全性を常にチェックし、監査対応もスムーズに行えます。
 主な機能 脆弱性管理クラウド環境のホスト・コンテナの脆弱性検出
OS・パッケージのセキュリティリスク特定
CVEデータベースとの連携による最新脅威への対応
エージェントスキャンとエージェントレススキャンの2種類の検出方法
 クラウドセキュリティポスチャー管理主要クラウドプロバイダー(AWS、Azure、GCP)の設定ミス検出
 アイデンティティリスク管理残存する管理権限、権限昇格、権限ギャップ、広範囲にわたる影響範囲、アカウント間アクセスなどの IAM 設定の監査とセキュリティリスク評価
 ランタイムセキュリティ実行中システムの異常動作検出
不審なプロセス・ネットワークアクティビティのリアルタイム監視
 コンプライアンス管理CIS ベンチマーク、各業界フレームワークに基づく監査
セキュリティポリシー適用状況の可視化
サポートしているフレームワーク[1]
 検出方法クラウド環境の脆弱性やセキュリティリスクを検出するためにエージェントスキャンとエージェントレススキャンの２つの方法を提供しています。

それぞれの違いは次の通りです。


項目
エージェントスキャン
エージェントレススキャン


スキャン方法
Datadog Agent がスキャン
API を使用してスキャン

スキャン対象
OS、パッケージ、ランタイム環境、コンテナイメージなど
クラウドリソース(EBS、Lambdaなど)

スキャン頻度
リアルタイム
12時間間隔

運用負荷
各ホストにエージェントを導入・管理する必要あり
API 経由でスキャンするため、管理が容易

導入までのリードタイム
数時間〜数週間
数分~数時間

 どちらを選ぶべきかリアルタイムで詳細な脆弱性検出を行いたい →　エージェントスキャン
すぐに導入し、クラウドリソースのセキュリティを手軽にチェックしたい → エージェントレススキャン
セキュリティリスクを包括的に管理したい場合、両方を併用することができます。

併用した場合、エージェントレススキャンの対象からは自動的に除外されます。

エージェントスキャンによるリスクや脆弱性に対する深い洞察が得られるメリットは損なわれません。
 エージェントレススキャンの設定 概要エージェントレススキャンでは、1台の EC2（Agentless スキャナ）が Datadog Agent を用いてスキャンを行います。

Remote Configuration の仕組みを通じて Agentless スキャナとコミュニケーションを行います。

スキャン対象リソースを指定し、スキャンをスケジューリングします。

EC2 に対するスキャンはスナップショットを作成して実行し、完了後に自動削除されます。
 作成リソースとコストエージェントレススキャンのセットアップを行うと、次のリソースが作成されます。
ネットワークリソース
VPC
サブネット
ルートテーブル
セキュリティグループ

NAT ゲートウェイ
VPC エンドポイント
S3 Gateway
Lambda Interface
EBS Interface

コンピューティングリソース
EC2
インスタンス: 1台
インスタンスタイプ: t4g.large
EBS ストレージ: 30GiB

AutoScalingGroup
セキュリティリソース
Secret Manager シークレット
IAM ロール
東京リージョンで使用した場合、１ヶ月あたり約170 USD のコストが発生する点には注意が必要です。
 セットアップの前提AWS インテグレーションが設定済みであること
Remote Configuration 機能を有効になっている Datadog API キーが発行されていること
AdministratorAccess 相当の AWS 認証情報を用意していること
Terraform がインストールされていること
 セットアップ手順Security より Cloud Security Management の Settings を選択します。

Cloud Integrations で AWS を選択します。
AWS インテグレーションが設定されている AWS アカウントが表示されます。
SCANNING の＋（プラスマーク）を選択します。

Enable Resource Scanning にチェックを入れ、Terraform を選び、Done を選択します。

下記 URL の手順に従い、terraform コードを記述した .tf ファイルを用意します。

https://github.com/DataDog/terraform-module-datadog-agentless-scanner/blob/main/README.md
AWS 認証情報を設定します。

設定方法については下記 URL をご参考ください。

https://registry.terraform.io/providers/hashicorp/aws/latest/docs
API キーを環境変数に設定し、terraform init と terraform apply を実行します。
export DD_API_KEY=xxxxxxxxxxxxxxx

terraform init
terraform apply -var="datadog-api-key=$DD_API_KEY"
Apply complete! のメッセージが出力されたらセットアップ完了です。
 エージェントスキャンの設定 概要エージェントスキャンでは、Datadog Agent を用いてスキャンを行います。
Linux

誤った構成、脅威、脆弱性を検出することができます。

脆弱性はパッケージマネージャの更新を識別します。
Windows

脅威、脆弱性を検出することができます。

脆弱性はセキュリティ ナレッジ ベース (KB) の更新を識別します。
 セットアップの前提Datadog Agent がインストールされていること
 セットアップ手順（Linux）下記の3つの yaml ファイルに設定パラメータを追記します。

/etc/datadog-agent/system-probe.yaml

/etc/datadog-agent/security-agent.yaml

/etc/datadog-agent/datadog.yaml
echo -e "runtime_security_config:\n  enabled: true\n\n  remote_configuration:\n    enabled: true" | sudo tee /etc/datadog-agent/system-probe.yaml
echo -e "runtime_security_config:\n  enabled: true\n\ncompliance_config:\n  enabled: true\n  host_benchmarks:\n    enabled: true" | sudo tee /etc/datadog-agent/security-agent.yaml
echo -e "\nremote_configuration:\n  enabled: true\n\nruntime_security_config:\n  enabled: true\n\ncompliance_config:\n  enabled: true\n  host_benchmarks:\n    enabled: true\n\nsbom:\n  enabled: true\n\n  container_image:\n    enabled: true\n\n  host:\n    enabled: true" | sudo tee -a /etc/datadog-agent/datadog.yaml
パラメータの詳細内容は下記 URL をご参考ください。

https://docs.datadoghq.com/ja/security/cloud_security_management/setup/agent/linux/#installation
Datadog Agent の再起動を行います。
systemctl restart datadog-agent
 セットアップ手順（Windows）下記の3つの yaml ファイルに設定パラメータを追記します。

C:\ProgramData\Datadog\system-probe.yaml

C:\ProgramData\Datadog\security-agent.yaml

C:\ProgramData\Datadog\datadog.yaml
"runtime_security_config:`n  enabled: true`n  fim_enabled: true" | Add-Content -Path "C:\ProgramData\Datadog\system-probe.yaml" -Encoding UTF8
"runtime_security_config:`n  enabled: true`n  fim_enabled: true" | Add-Content -Path "C:\ProgramData\Datadog\security-agent.yaml" -Encoding UTF8
"`r`nsbom:`r`n  enabled: true`r`n  host:`r`n    enabled: true" | Add-Content -Path "C:\ProgramData\Datadog\datadog.yaml" -Encoding UTF8
パラメータの詳細内容は下記 URL をご参考ください。

https://docs.datadoghq.com/ja/security/cloud_security_management/setup/agent/windows#configuration
Datadog Agent の再起動を行います。
& "$env:ProgramFiles\Datadog\Datadog Agent\bin\agent.exe" restart-service
 CloudTrail ログ設定 概要CloudTrail ログを分析することにより、アイデンティティリスク評価を最大限に活用することができます。

アクセス許可と利用されたアクセス許可の間に大きなギャップがある IAM ユーザーとロールを特定することができます。
 セットアップの前提Datadog Forwarder Lambda 関数が作成されていること

作成方法については下記 URL をご参考ください。

https://docs.datadoghq.com/ja/logs/guide/forwarder/?tab=cloudformation
CloudTrail ログ記録を有効化されていること
CloudTrail ログが S3 バケットに保存する証跡が作成されていること
 セットアップ手順Lambda サービスを選択し、関数一覧より作成済みの Datadog Forwarder Lambda 関数を選択します。

トリガーの追加を選択し、S3 を選択します。
次のように設定項目を入力し、追加を選択します。

バケット：CloudTrail 証跡の保存先となっている S3 バケット名

イベントタイプ：すべてのオブジェクト作成イベント

 セキュリティ検出結果の確認方法 誤った構成の確認Security から Misconfigurations を選択します。

誤った構成の一覧結果が表示されます。
検出された構成項目を選択すると詳細を確認することができます。

詳細では主に次の情報を確認することができます。
リスク説明
影響リソース
対処方法

 脆弱性の確認Security から Vulnerabilities を選択します。

脆弱性の一覧結果が表示されます。
検出された脆弱性を選択すると詳細を確認することができます。

詳細では主に次の情報を確認することができます。
検出されたホスト名
CVE番号
コンポーネントパッケージバージョン
重大度スコア
修復アクション
脆弱性に対する参考文献

 アイデンティティリスクの確認Security から Identity Risks を選択します。

検知されたリスク一覧が表示されます。
検出されたリスクを選択すると詳細を確認することができます。

詳細では主に次の情報を確認することができます。
リスク説明
推奨設定
修復アクション
アクセス状況の分析
タイムライン
 コンプライアンスレポートの確認Security から Compliance を選択します。

各フレームワークごとのスコアレポート一覧が表示されます。
スコアレポートを選択すると詳細を確認することができます。

詳細では主に次の情報を確認することができます。
スコア
重大度の高いルール違反トップ３
重要度別の準拠率
ルール一覧

 まとめCloud Security Management を利用することで、マルチクラウド環境のセキュリティを一元的に管理できます。

リアルタイムでの脅威検知やコンプライアンスチェックを自動化し、セキュリティリスクを最小限に抑えます。

クラウドの安全性を強化したい方におすすめのソリューションです。
本記事が参考になれば幸いです。
 参考https://docs.datadoghq.com/ja/security/cloud_security_management

https://docs.datadoghq.com/ja/security/cloud_security_management/vulnerabilities

https://docs.datadoghq.com/ja/security/cloud_security_management/identity_risks/

https://docs.datadoghq.com/ja/security/cloud_security_management/setup

https://docs.datadoghq.com/ja/security/cloud_security_management/agentless_scanning

脚注
https://docs.datadoghq.com/ja/security/cloud_security_management/misconfigurations/frameworks_and_benchmarks/supported_frameworks/ ↩︎

項目	エージェントスキャン	エージェントレススキャン
スキャン方法	Datadog Agent がスキャン	API を使用してスキャン
スキャン対象	OS、パッケージ、ランタイム環境、コンテナイメージなど	クラウドリソース(EBS、Lambdaなど)
スキャン頻度	リアルタイム	12時間間隔
運用負荷	各ホストにエージェントを導入・管理する必要あり	API 経由でスキャンするため、管理が容易
導入までのリードタイム	数時間〜数週間	数分~数時間

はじめに

Cloud Security Management とは

Cloud Security Management のメリット

主な機能

脆弱性管理

クラウドセキュリティポスチャー管理

アイデンティティリスク管理

ランタイムセキュリティ

コンプライアンス管理

検出方法

どちらを選ぶべきか

エージェントレススキャンの設定

概要

作成リソースとコスト

セットアップの前提

セットアップ手順

エージェントスキャンの設定

概要

セットアップの前提

セットアップ手順（Linux）

セットアップ手順（Windows）

CloudTrail ログ設定

概要

セットアップの前提

セットアップ手順

セキュリティ検出結果の確認方法

誤った構成の確認

脆弱性の確認

アイデンティティリスクの確認

コンプライアンスレポートの確認

まとめ

参考

関連記事

主なカテゴリ

AWS

おすすめ

プロダクト

コンテンツ

お問い合わせ

運営会社