オブザーバビリティプラットフォームを提供するDatadog Japanは2025年7月25日、「2025年度版 DevSecOps調査レポート」を発表した。

クラウド環境におけるセキュリティと開発の融合を目指す「DevSecOps」は、国内においても存在感を高めている。Datadog Japan社長の正井拓己氏は、日本企業におけるDevSecOps導入の現状について、「緊急性の高いサイバー脅威が増すなかで、セキュリティを開発や運用の現場にどう根づかせるかが問われている」と強調。セキュリティ部門とIT部門のサイロ化が依然として障壁となる中、「文化としてのDevSecOps」をいかに育てるかがカギになると指摘した。

ランタイムコンテキストの活用によりリスクを正確に把握

レポートは、Datadogが観測する数千のクラウド環境、数万のアプリケーションおよびコンテナイメージを対象に分析したもの。Datadog Head of Security Advocacyのアンドリュー・クルーグ氏は、このレポートから注目すべきポイントを4点紹介した。

特に強調されたのは、「緊急」と分類された脆弱性のうち、実際に優先対応すべきものはわずか18%に過ぎないという点だ。

ランタイムコンテキストを活用することで緊急の脆弱性は8割減

従来、脆弱性の重大性はCVSS（共通脆弱性評価システム）スコアに基づき一律に判断されがちだったが、Datadogはランタイムコンテキスト、つまり「脆弱性が検出されたアプリが本番環境で稼働しているか」「外部公開されているか」といった実行時の状況を踏まえた分析アルゴリズムを構築。これにより、優先順位の妥当性を大幅に高めたという。

クルーグ氏は「ランタイムコンテキストを活用することで、テレメトリ情報をもとに正確にリスクを把握できる」とし、セキュリティ担当者が本当に対応すべき脆弱性に集中できるようになるとした。またこの手法は、「生成AIを活用する組織にとっても有用」という。