Datadog様事例
- 従業員数
- 400人以上
- 事業内容
- テクノロジー
- 所在地
- ニューヨーク州ニューヨーク市
- 取引期間
- 2016年以来
- 101〜500名
- DevOpsの実現
- インシデントへの迅速な対応
- テクノロジー
- MTTA・MTTR
- PagerDuty導入前の課題
- 先進的なDevSecOpsの実現
- PagerDuty導入効果
- セキュリティ脆弱性の解決時間短縮化
- 開発者・エンジニアへのセキュリティインシデント可視性向上
目次
Datadog社は、クラウドアプリケーションによって最高のユーザーエクスペリエンスを提供する監視プラットフォームを提供しています。また、これを実現するため同社はDevOpsを採用し、機敏に、絶えず革新し、新たな機能や拡張機能を顧客に迅速に提供しています。
このDevOpsアプローチは、Datadog社のエンジニアたちがインフラを頻繁に更新することを意味します。これはセキュリティチームにとっては、不安の原因になりかねません。そこで必要になるのが、エンジニアたちとの緊密な連携です。誤った情報伝達を防ぎ、リリースにセキュリティ対策を組み込むため、同社は開発過程でセキュリティチームを関与させます。同社は実際、DevSecOpsという有望なトレンドの最先端を走っています。Datadog社は2016年8月、デジタル運用管理の中核的要素としてPagerDutyを採用しました。同社は現在、PagerDutyを活用して事業継続性・災害復旧(BC/DR)の面でエンジニアリングチームをサポートすることのみならず、即時対応を要するイベントを情報セキュリティチームに通知するためにもPagerDutyを活用しています。
新アプローチの採用でセキュリティを拡張
Datadog社は運用を重視する機動的な組織であり、エンジニア数百人を世界中に配置しています。多くの組織では通常、情報セキュリティチームと他の開発チームとの連携が乏しいため、セキュリティコードレビューでの検証プロセスが原因で製品リリースが遅れがちになります。しかし、こうしたやり方は通用しないことを同社は認識していました。「開発組織の関与もなければ、セキュリティは機能するはずがありませんでした。思い通りにいかない状況に突然飛び込むようなものですから」とDatadog社の最高セキュリティ責任者、Andrew Becherer氏は振り返ります。
Datadog社はセキュリティも品質の一側面という考えから、セキュリティオペレーションと開発機能を組織全体に組み込んでいます。「開発組織内の他の部署が直面する問題を解決しようとする際、セキュリティは同じツールを使用し、同じ手法を採用し、同じタイプの技術を持ち込むのが当然のことです」とBecherer氏は指摘します。
さらに、脆弱性管理についていえば、同社のセキュリティチームは、開発者チームが問題を追跡するのとほぼ同じ方法で問題を追跡し、セキュリティの警告や対応は、社内の他のチームと類似するワークフローになっています。「企業のセキュリティチームで、当社ほどPagerDutyを活用しているところは珍しいでしょう」とBecherer氏は話します。
Amazon Webサービス(AWS)上でコード変更を検証
Datadog社は100%クラウドベースであり、さまざまなAWSサービスを利用してコードを実行します。15以上のAWSアカウントでもってステージングからプロダクションまですべてを管理するため、許可されたコード変更を追跡することは非常に複雑化する可能性があります。同社は変更の検証に、ChatOps、統合Slack、DuoSecurity、PagerDutyを活用しています。開発者がAWSにリスクのある変更を加えると、セキュリティチームはSlackメッセージをその開発者に送信し、そのアクションを検証します。開発者は、SlackとDuoからの2要素認証を通じてそのコードプッシュを確認します。開発者がタイムリーに返信しない場合や、コード変更を確認しない場合、PagerDutyはセキュリティチームにアラートを送信し、その応答をエスカレートします。変更が一定のリスク基準値を超えると、PagerDutyを介してセキュリティチームに直ちに通知されるか、自動AWS構成管理ロジックがその変更を、信頼された状態に戻します。
要するに、開発者たちは各AWSインスタンスに常に変更を加えていますが、年間数百億件にも及ぶAPIコールすべてについてAWS上で変更を承認するか否かは、セキュリティチームの判断にかかっています。
「開発組織内の他の部署が直面する問題を解決しようとする際、セキュリティは同じツールを使用し、同じ手法を採用し、同じタイプの技術を持ち込むのが当然のことです」
- Andrew Becherer氏 Datadog社最高セキュリティ責任者
PagerDutyで柔軟なセキュリティと開発を実現
他企業でも同様ですが、Datadog社のセキュリティ組織は、セキュリティの脆弱性を修正するのに要する時間をとても気にしています。同社では、発生した事象を把握するために監査ログを解析する手間はかけず、開発者チームをセキュリティにできるだけ早くつなげます。同社はPagerDutyを活用することで、こうした問題の解決に要する時間を全体的に短縮しています。
PagerDutyはまた、開発者やエンジニアたちのためにセキュリティインシデントの可視性を高めます。セキュリティチームが危険と判断した場合、彼らが自らのアクションについてフィードバックを即座に得られるようにするためです。Becherer氏は次のように説明します。「開発者は問題を解決しようとして、その目的のために変更を加えます。その瞬間にフィードバックをできるだけ早く提供したいのです。なぜなら、彼らは(その変更を行った直後に)それとは全く違うことに取り掛かろうとするからです」
例えば、最近あったセキュリティイベントでのことですが、PagerDutyは、Datadog社の営業担当者がデモを行う準備をしていたときに発生したセキュリティ上の問題を瞬時にエスカレートしました。Becherer氏は次のように話しています。「PagerDutyのお陰で、私たちはセキュリティエンジニアを当社のエンジニアたちと数分以内につなげることができました。素晴らしいではありませんか。これこそ、私たちが求めていることなのです」