本文の内容は、2025年3月18日に Eric Carter が投稿したブログ(https://sysdig.com/blog/automating-devsecops-with-sysdig-and-pagerduty/)を元に日本語に翻訳・再構成した内容となっております。
クラウド セキュリティインシデントに効果的に対応することは、クラウドで急速に拡大している組織にとって困難な場合があります。ポリシー違反やアクティブな脅威に直面した場合、クラウド サービスを安全かつ利用可能な状態に保つには、迅速かつ信頼性の高いアラートと対応が不可欠です。多くの組織にとって、Sysdig と PagerDuty はそれぞれ、DevSecOps を自動化し、最新の IT 運用およびセキュリティ チームが効果的に対応できるように支援する上で重要な役割を果たしています。
統合クラウドセキュリティとインシデント管理の力
クラウドセキュリティは、人的な側面でもツールの側面でも、チーム全体で取り組むべきものです。お客様は、Sysdigプラットフォームを使用して、クラウドおよびコンテナ環境に対する包括的なセキュリティカバレッジと深い可視性を得ています。一方、PagerDutyは、インシデントの管理、エスカレーションの自動化、チーム間のコラボレーションを促進するための中枢的なハブを提供します。
SysdigをPagerDutyのインシデント管理システムと統合することで、DevSecOpsを自動化し、クラウドの問題を適切に振り分け、遅延なく対応するためのスムーズなレスポンスワークフローを実現できます。
Sysdig + PagerDuty統合の仕組み
SysdigとPagerDutyの連携を設定すると、Sysdigがランタイムの脅威、異常なコンテナアクティビティ、脆弱性などのクラウドセキュリティの問題を検出した際に、アラートと重要な詳細情報がSysdigからPagerDutyへ送信されます。
ここからPagerDutyが対応を引き継ぎ、インシデントを適切なオンコールエンジニアやチームに自動で割り当て・エスカレーションし、リアルタイムのコラボレーションを実現するプラットフォームを提供します。また、PagerDutyは事前に定義されたワークフローを実行して課題に対応し、レスポンスの効率化を図る自動化も可能にします。
SysdigとPagerDutyの両方は、インシデントの検出から解決までのライフサイクル全体を可視化する機能を提供しており、イベントタイムラインやログを活用して、インシデントの振り返りや継続的な改善に役立てることができます。
Sysdig + PagerDutyによるDevSecOps自動化の主な利点
- 対応時間の短縮: Sysdig のアラートは PagerDuty に自動的にルーティングされるため、重大なインシデントは発生した瞬間に処理されます。PagerDuty はインシデントを割り当て、必要に応じてエスカレーションし、適切なチームが自動的に対応するので、貴重な時間が節約されます。
- 一元化されたインシデント管理: Sysdig アラートが PagerDuty に流れ込むため、すべてが 1 か所で管理されます。監視、アラート、インシデント管理など、プラットフォーム間を行き来する必要はもうありません。PagerDuty は、操作を一元化して、より迅速な解決を実現します。
- アラート疲労の軽減: Sysdig の豊富な検知機能と PagerDuty のインテリジェントなルーティングおよびエスカレーション機能を組み合わせることで、適切な人に適切なタイミングで通知が届きます。これにより、ノイズとアラート疲労が最小限に抑えられ、チームは最も重要なことに集中できるようになります。
- インシデント追跡の改善: PagerDuty のインシデント管理では、タイムライン、重大度レベル、解決メトリクスなど、各インシデントの処理方法に関する詳細な情報が得られます。この可視性は、インシデント後の分析や継続的なプロセス改善に非常に役立ちます。PagerDuty は、Sysdig が提供する詳細なコンテキストをすべて活用して、クラウド セキュリティ インシデントの修復を効率的かつ簡単に行うことができます。
- シームレスなコラボレーション: Sysdig と PagerDuty を併用すると、クラウド セキュリティ機能とインシデント対応者間のサイロを解消するのに役立ちます。チームが分散しているか、異なるタイム ゾーンで作業しているかに関係なく、PagerDuty はチーム間のコラボレーションを簡素化します。リアルタイムのコメント、イベント追跡、および他のツールとの統合により、インシデントをより効率的に解決できます。
クラウドネイティブ セキュリティインシデント対応: なぜそれが違うのか (そして Sysdig + PagerDuty がどのように役立つのか)
クラウドとコンテナのセキュリティインシデントは独特です。リスクが高く、インフラストラクチャー関連の問題とは異なるワークフローが必要になることがよくあります。コンテナ化された環境でのセキュリティ侵害、ポリシー違反、または異常な振る舞いには、リスクと損害を最小限に抑えるために、迅速かつ協調的な対応が必要です。
Sysdig と PagerDuty がセキュリティ インシデント対応 (IR)に特に効果的な理由は次のとおりです。
- より迅速な対応のためのコンテキスト豊富なアラート: Sysdig は、コンテナの侵害や疑わしいネットワークアクティビティなど、セキュリティアラートで詳細なセキュリティコンテキストを提供します。これにより、チームは問題の範囲をすぐに理解できます。PagerDuty は、これらのアラートが遅滞なく適切な セキュリティエキスパートにエスカレーションされるようにし、対応時間を短縮します。
- セキュリティ ワークフローのエスカレーションと自動化:セキュリティインシデントには、多くの場合、インシデントコマンダー、セキュリティアナリスト、コンプライアンス担当者など、複数の対応者が必要です。PagerDuty は、セキュリティ インシデントのカスタム エスカレーション ポリシーと自動化されたワークフローをサポートし、適切な担当者に即座に通知し、定義済みのアクションを自動的に実行します。
- DevSecOps コラボレーションの自動化:セキュリティインシデントには迅速なコラボレーションが必要です。PagerDuty のイベントタイムライン、リアルタイムのコメント、および複数の利害関係者のサポートにより、チームは効率的に対応できます。Sysdig の詳細な監査ログとフォレンジックにより、チームは根本原因を調査し、影響を受けるシステムを追跡し、インシデント後の予防管理を強化できます。
セキュリティ運用のための Sysdig + PagerDuty の設定
セキュリティ オペレーション センター (SOC)向けに Sysdig と PagerDuty の統合を設定するのは、迅速かつ簡単です。概要は次のとおりです。
- PagerDuty アカウントを作成する:まだアカウントをお持ちでない場合は、アカウントを作成し、セキュリティ インシデントのオンコール スケジュールとエスカレーション ポリシーのサービスを設定します。integrationキーを生成するには、サービスに Sysdig 統合が含まれている必要があります。
- Sysdig で PagerDuty を通知チャネルとして追加します。
- Sysdig にログインします。
- [Settings] > [Notification Channels]に移動します。
- PagerDuty を通知チャネルとして追加し、PagerDuty integrationキーを入力します。
- 次に、「Policies」>「Runtime Policies」に移動して編集し、新しい通知チャネルを特定のポリシーに追加します。
- 統合をテストする: セットアップが完了したら、Sysdig で[Settings] > [Notification Channels] > [Test Channel]に移動して統合をテストし、接続が正しく機能していることを確認します。
- 監視と対応: 統合が稼働すると、Sysdig セキュリティ アラートが PagerDuty に直接流れ込みます。チームは PagerDuty の集中プラットフォームでインシデントを管理および解決できます。
Sysdig と PagerDuty による DevSecOps 対応の自動化
SysdigとPagerDutyの統合により、強力な検知機能、セキュリティインサイト、自動化されたインシデント管理が一つのシームレスなワークフローに集約されます。セキュリティ侵害、ポリシー違反、行動の振る舞いなど、あらゆるインシデントに対して、より迅速な検知、迅速な対応、そして効率的な連携が可能になります。
インシデント対応プロセスを自動化することで、問題解決までの時間を短縮し、サービスへの影響リスクを最小限に抑えることができます。
クラウド環境での対応力を強化する方法については、「クラウド検知と対応のためのチェックリスト」をご覧ください。