コードやライブラリから脆弱性を排除し
全社のDevSecOps推進を後押しする

　2024年6月に発覚したPHPの脆弱性CVE-2024-4577は、世界中の企業に大きな被害をもたらした。PHP CGIを使用するWindowsサーバー上で任意のコードを遠隔から実行すれば、サーバーの乗っ取りやデータ漏えい、サービス停止を引き起こすことが可能になる。

　このようなリスクが次々登場する中、セキュリティーインシデントの対応に費やされるコストは上昇の一途をたどっている。特に情報漏えい事故対策の平均コストは、1件あたり数億円規模になるともいわれるほどだ。

　「ただ見方を変えれば、アプリケーションのセキュリティーを向上し、リスクを軽減できれば、コストの大幅な削減につながるということです」とDatadog Japanのブライアント オウ氏は語る。

　もっとも、これはそう簡単なことではない。同社によれば、セキュアなアプリケーション開発には多くの課題があるという。

　「リリース後の不具合修正」はその1つだ。アプリケーションはコード開発、テストを経てリリースされるが、この段階で脆弱性や問題が発見された場合、大きな手戻りが発生することになる。「早い段階で脆弱性を見つけられなければ、その分修正コストが増加してしまいます」とオウ氏は言う。

　また「OSSライブラリで必要になる定期的なアップデート」も難しい問題だ。アプリケーション開発には大量のOSSライブラリが利用されているが、そのコードベースの多くに、高度またはクリティカルな脆弱性が含まれているといわれる。そのため、OSSライブラリは常に最新の状態に保つことが不可欠で、そこに多くの工数が必要になる。

　「複数のコーディング手法の存在」も悩ましい。同じ挙動をさせるためのコードでも、書き方は複数存在し、それぞれ攻撃を受けるリスクが異なるのだ。とはいえ、アプリケーション開発の現場で、すべてのコードに対して脆弱性のない書き方を徹底することは現実的ではない。どう対処するかが難しい問題になっている。

　そこで、これらの課題を解決し、セキュアなアプリケーション開発を実現するために同社が提供しているのが「Datadog Code Security」（以下、Code Security）である。

　「各システムからメトリクス、トレース、監査ログなどの情報を収集して関連付けを行い、統合的なオブザーバビリティとセキュリティーを実現します。ソフトウエア開発のライフサイクル全体をカバーした脆弱性対策を施すことで、全社のDevSecOpsをより容易に推進できるようにします」とオウ氏は説明する（図1）。 　Code Securityの特徴は大きく3つある。1つ目は、「継続的な脆弱性のスキャン」だ。Code Securityは、リポジトリに格納されたコードならびにライブラリの脆弱性を検知するが、このスキャンは開発担当エンジニアがコミットをプッシュするたびに自動的に実行される。これにより、特別意識しなくても、脆弱性の状態を継続的に把握することが可能だ。「さらにDatadogのセキュリティーチームは脆弱性情報のアップデートに注力しています。未対策の脆弱性もいち早く検知できるよう、日々取り組みを続けています」とオウ氏は付け加える。

　2つ目は「リポジトリの横断管理」。多様なCIツールをサポートしており、複数のリポジトリにおけるセキュリティーリスクを1つの画面で横断的に管理できる。リポジトリ情報や共通脆弱性識別子（CVE）情報、さらにそれらの重要度を加味しながら、脆弱性の柔軟な検索とグルーピングが可能だ。

　そして3つ目は「脆弱性修復の高速化」である。脆弱性を検知するだけでなく、その修復ガイドもあわせて提供するのだ。「画面をクリックするだけで脆弱性の修復方法を即座に確認できます。対策の工数を大幅に削減できるでしょう」とオウ氏は紹介する。

　Code Securityのオーバービュー画面の最上段には、Static Code Analysis（SAST）やSoftware Composition Analysis（SCA）といった機能が用意されており、リポジトリ内のコードの脆弱性またはライブラリの脆弱性を確認できる（図2）。その下段がランタイムの領域であり、インフラやアプリケーション、各種クラウドサービスなどのレイヤーごとに脆弱性検知・対策の機能を提供している。 　「インフラのレイヤーの中では、クラウド上のリソースに対する設定ミスがあるかどうかチェックするMisconfigurations（Cloud Security Posture Management - CSPM）、クラウドの認証情報に潜在するリスクの分析を行うIdentity Risks（Cloud Infrastructure Entitlement Management - CIEM）機能などを提供します。また、OSに内在している脆弱性の検知・管理や、OS上で行われた改ざんなどの脅威を検知する機能も有しています」とオウ氏は話す。

　またアプリケーションのレイヤーでは、実行中のアプリケーションのコードの脆弱性やOSSライブラリの脆弱性を検知する機能を備えている。さらにThreat Management機能を用いれば、アプリケーションに対する攻撃行為を検知してブロックすることも可能だ。

　加えてDatadogでは、監査ログをはじめとする様々なログ情報やセキュリティーイベントなどを一元的に収集し、脅威の検知および原因分析を行うCloud SIEMの機能も提供している。いずれもマウスのみを使った簡単な操作で扱えるため、直感的に脆弱性のチェックおよび修復を進めていくことができるだろう。

　「複数のリポジトリを横断して継続的にセキュリティーリスクの状況を把握し、同じ画面から適切な修復を行うことで、効率的なセキュリティー対策を実現できます。結果として、アプリケーションの開発コードや利用するライブラリに潜むリスクを大幅に低減できます」とオウ氏は強調する。

　また、ソフトウエア開発ライフサイクルの早い段階でリスクをつぶしていくことができれば、リリース後に問題が発覚した際に比べて手戻り作業を大きく削減できる。これによりコスト面で大きなメリットが期待できるほか、開発エンジニアが本来の開発業務に集中できるようになり、生産性向上の効果も狙えるはずだ。

　Datadog Code Securityは、システム開発現場、ひいては企業全体に多くの価値をもたらすソリューションといえるだろう。