Datadog Japanは、増大するサイバー脅威とAI活用の進展に対応するため、「2025年版 DevSecOps調査レポート」に関する記者説明会を7月25日に開催した。本レポートは、数千ものクラウド環境で稼働する数万のアプリケーションやコンテナイメージから収集された膨大なテレメトリーデータを分析した結果に基づいている。
Datadog Japan プレジデント&カントリーゼネラルマネージャー 日本法人社長の正井拓己氏は、日本企業の32%がサイバー攻撃を経験し、「その緊急性、優先度はこれまでに無く高まっている」と指摘した。AI活用による新たなリスクも顕在化する中、DevSecOpsは「開発、運用、セキュリティを一体化」させる「企業文化そのものを変革する取り組みである」と強調した。
「2025年版 DevSecOps調査レポート」が示す現実とベストプラクティス
DatadogのHead of Security Advocacyであるアンドリュー・クルーグ氏は、本レポートの調査結果について、全7つのセクションのうち4つのポイントを解説した。
ソフトウェアサプライチェーンへの攻撃の深刻化
国家支援型および一般的なサイバー攻撃者双方によるソフトウェアサプライチェーンへの攻撃が増加している。Datadogのセキュリティリサーチチームは、2024年だけでもPyPIやnpmに対する「悪意のあるパッケージの数が何千も超えている」ことを発見しており、パッケージ名のタイプミスを狙った攻撃手法であるタイポスクワッティングのような手法も確認されている。
ランタイムコンテキストによる脆弱性評価の重要性
ランタイムコンテキストを活用することで、「実際全ての環境において、対応が必要なクリティカルな脆弱性の数が約45%削減」された。これにより、「本当に重要なもの」に注力し、「リスクベースの優先順位付け」が可能となる。
ライブラリ更新の遅延がもたらすリスク
ライブラリの更新が中央値で215日遅れていることが判明した。特にJavaのライブラリでは約13ヶ月の更新遅延が見られ、組織のセキュリティリスクを高めている。
デプロイ頻度とセキュリティリスクの相関
サービスのデプロイ頻度が低い組織は、デプロイ頻度が高い組織に比べてセキュリティのリスクが47%高いことが明らかになった。毎日デプロイする組織は、古いコードやパッケージに起因する脆弱性のリスクを70日分減らせるという。
クルーグ氏は、DevSecOps成功のためのベストプラクティスとして以下の3点を挙げた。
- DevSecOpsは社内文化の改革から始まる
- KPIで『見える化』し、小さく始める
- 継続的な改善と学びの文化を育てる
AI時代を支えるDatadogのセキュリティ新機能
最後にDatadogは、AI活用が進む中でのDevSecOps強化のため、以下のAIセキュリティ関連新機能を発表した。
- Code Security:ランタイムコンテキストを活用した動的な重要度評価により、最もクリティカルなリスクを優先順位付けし、実行可能な解決策を提案する
- Workload Protection:ホストやコンテナ全体において、カーネル内のワークロードを深く分析し、脅威を発見する
- Sensitive Data Scanner(SDS):従来のパターンベーススキャンでは見逃されがちな顧客名や社内チャットログに含まれる機密データを特定できる
- Bits AI Security Analyst:Cloud SIEMからのセキュリティシグナルを大規模言語モデル(LLM)で自律的にトリアージし、インシデントの調査や自動での解決策提示が可能
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
近藤 佑子(編集部)(コンドウ ユウコ)
株式会社翔泳社 CodeZine編集部 編集長、Developers Summit オーガナイザー。1986年岡山県生まれ。京都大学工学部建築学科、東京大学工学系研究科建築学専攻修士課程修了。フリーランスを経て2014年株式会社翔泳社に入社。ソフトウェア開発者向けWebメディア「CodeZine」の編集・企画・運営に携わる。2018年、副編集長に就任。2017年より、ソフトウェア開発者向けカンファレンス「Developers...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
