データ関連リスクの低減

このページでは、Datadog に送信されるデータを保護するためのツールやセキュリティについて説明します。クラウドやアプリケーションのセキュリティ製品や機能をお探しの場合は、セキュリティプラットフォームのセクションをご覧ください。

Datadog を意図したとおりに使用する通常の過程で、お客様は Datadog にデータを送信します。Datadog は、お客様とともに、送信するデータを適切に制限するツールを提供し、送信中および送信後のデータを保護することで、データリスクを低減します。

また、Datadog セキュリティで公開されている情報、および当社のプライバシーポリシーの条件もご確認ください。

お客様から Datadog へのデータの流れ

Datadog では、Agent、DogStatsD、公開 API、インテグレーションなど、複数の方法で Datadog にデータを送信することができます。また、Real User Monitoring SDK やトレーシングライブラリは、お客様のアプリケーションやサービスのコードに基づいてデータを生成し、Datadog に送信します。

Datadog が提供するツールを介して移動するデータは、TLS と HSTS で保護されます。Datadog が保存するデータは、暗号化、アクセス制御、認証によって保護されます。詳細については、Datadog セキュリティをご覧ください。

Datadog Agent

Agent は、お客様のシステムから Datadog にデータを取得するための主要なチャンネルです。Agent のデータセキュリティ対策についてはこちらをご覧ください

Agent のコンフィギュレーションファイルに平文でシークレットを保存しない方法については、シークレット管理を参照してください。

サードパーティサービスとのインテグレーション

一部のサードパーティサービスとのインテグレーションは、Datadog で直接構成され、Datadog がお客様に代わってサービスに接続するための資格情報を提供する必要がある場合があります。提供された資格情報は暗号化され、Datadog によって安全な資格情報データストアに保存されます。

これらのインテグレーションを通じたすべてのデータは、Datadog のシステムで静止しているときは暗号化され、移動中も暗号化されます。セキュアな資格情報データストアへのアクセスは制御および監査され、サードパーティサービス内の特定のサービスやアクションは必要なものだけに制限されます。異常行動検出ツールが、不正なアクセスを継続的に監視します。また、Datadog の従業員によるメンテナンス目的のアクセスは、一部のエンジニアに限定されています。

クラウドインテグレーション

機密性を考慮して、クラウドプロバイダーとのインテグレーションには、アクセス許可を限定した Datadog 専用の資格情報を利用するなど、可能であれば追加的なセキュリティ対策が施されます。たとえば、以下のとおりです。

  • Amazon Web Services とのインテグレーションでは、AWS の IAM ベストプラクティスガイドに従い、AWS IAM を使用してロール委任を設定し、AWS ポリシーを使用して特定のアクセス許可を付与する必要があります。
  • Microsoft Azure とのインテグレーションでは Datadog のテナントを定義し、特定のアプリケーションへのアクセスには監視するサブスクリプションに対する “閲覧者” ロールのみを付与します。
  • Google Cloud Platform とのインテグレーションでは、Datadog のサービスアカウントを定義し、“Compute Viewer” または “Monitoring Viewer” ロールのみを付与します。

データリスクを低減するために実施可能な対策

Datadog の目的は、お客様のインフラストラクチャーやサービスに関する多くのソースから観測可能性情報を収集し、お客様が分析・調査できるように 1 つの場所にまとめることです。このため、お客様は様々な種類のデータコンテンツを Datadog のサーバーに送信することになります。Datadog 製品の使用目的のために収集されたデータのほとんどは、個人情報を含む可能性はほとんどありません。不要な個人情報を含む可能性のあるデータについては、お客様が Datadog と共有するデータに含まれる個人情報を削除、難読化、その他の方法で削減できるよう、指示、ツール、推奨事項を提供します。

センシティブ データ スキャナー

機密データスキャナーは、ストリームベースのパターンマッチングサービスであり、機密データを識別、タグ付け、およびオプションで編集またはハッシュするために使用できます。導入することで、セキュリティチームとコンプライアンスチームは、機密データが組織の外部に漏洩するのを防ぐための防衛線を導入できます。スキャナーの詳細と設定については、機密データスキャナーをお読みください。

ログ管理

ログは、システムやサービス、およびその内部で発生した活動によって生成される記録です。ログデータのセキュリティに関する考察については、ログ管理データのセキュリティで、ログデータのフィルタリングや難読化の方法についての情報を含めてお読みください。

ログデータの制御については、機密ログデータの制御ログのための Agent の高度な構成を参照してください。

ログデータのセキュリティに関するリスクを低減するための重要なアプローチは、アクセス制御です。Datadog でこれを行う方法については、ログに RBAC を設定する方法ログの RBAC 権限をお読みください。

ライブプロセスとコンテナ

ライブプロセスやライブコンテナを監視しているときに機密データが漏れるのを防ぐために、Datadog はプロセスの引数や Helm チャートで、いくつかのデフォルトの機密キーワードスクラビングを提供します。custom_sensitive_words 設定を使用してプロセスコマンドまたは引数内の追加の機密シーケンスを難読化し、DD_ORCHESTRATOR_EXPLORER_CUSTOM_SENSITIVE_WORDS 環境変数を使用してコンテナスクラビングワードリストに追加できます。

APM などのトレーシングライブラリ系製品

Datadog のトレーシングライブラリは、アプリケーション、サービス、テスト、パイプラインをインスツルメントし、Agent を通じて Datadog にパフォーマンスデータを送信するために使用されます。トレースとスパンのデータ (およびその他多数) は、以下の製品で使用するために生成されます。

  • アプリケーションパフォーマンスモニタリング (APM)
  • Continuous Profiler
  • CI Visibility
  • アプリケーションセキュリティモニタリング

トレーシングライブラリのソースデータの管理方法、デフォルトの基本的なセキュリティ設定、トレース関連要素のカスタム難読化、スクラビング、除外、および変更についての詳細情報は、トレースデータのセキュリティのための Agent とトレーサーの構成を参照してください。

サーバーレス分散型トレーシング

Datadog を使用すると、AWS Lambda 関数の JSON リクエストおよびレスポンスのペイロードを収集し、視覚化することができます。リクエストまたはレスポンスの JSON オブジェクト内の機密データ (アカウント ID やアドレスなど) が Datadog に送信されないようにするには、特定のパラメーターが Datadog に送信されないようにスクラブすることができます。詳しくは、AWS Lambda のペイロードコンテンツの難読化をお読みください。

Synthetic モニタリング

Synthetic テストは、世界中のテスト拠点からのリクエストとビジネストランザクションをシミュレートします。構成、アセット、結果、資格情報の暗号化に関する考慮事項や、テストのプライバシーオプションの使用方法については、Synthetic モニタリングのデータセキュリティをお読みください。

RUM & セッションリプレイ

個人を特定できる情報を保護し、収集する RUM データをサンプリングするために、ブラウザで Real User Monitoring が収集するデータを変更することができます。詳しくは、RUM データとコンテキストの変更をお読みください。

セッションリプレイのプライバシー オプションのデフォルトは、エンドユーザーのプライバシーを保護し、組織の機密情報が収集されないようにすることです。セッションリプレイの要素のマスク、オーバーライド、非表示については、セッションリプレイのプライバシー オプションを参照してください。

データベース モニタリング

データベースモニタリング Agent は、Datadog インテークに送信されたすべてのクエリのバインドパラメータを難読化します。このため、データベースに保存されているパスワード、PII (個人を特定できる情報) などの機密情報は、クエリのメトリクス、クエリサンプル、または説明プランで表示不可能になります。データベースのパフォーマンスモニタリングに関わる他の種類のデータに対するリスク軽減については、データベースモニタリングデータの収集をお読みください。

その他の潜在的な機密データのソース

自動的にスクラブ、難読化、その他の方法で収集を避けることができる機密データに加え、Datadog が収集するデータの多くは、物の名前や説明です。送信するテキストには、個人情報を含めないことをお勧めします。製品の意図的な使用において、Datadog に送信するテキストデータについては、以下のリスト (非網羅的) を参照してください。

メタデータとタグ
メタデータは主に、key:value 形式のタグから構成されており、例えば、env:prod のような形式があります。メタデータは、Datadog がデータのフィルタリングやグループ化に使用し、意味のある情報を導き出すのに役立ちます。
ダッシュボード、ノートブック、アラート、モニター、アラート、インシデント、SLO
Datadog で作成したものにつけるテキストの説明、タイトル、名前はデータです。
メトリクス
メトリクスには、インフラストラクチャーメトリクス、インテグレーションから生成されたメトリクス、およびログ、トレース、RUM、Synthetic テストなどのその他の取り込みデータが含まれ、グラフに入力するために使用される時系列データです。通常、関連するタグが付いています。
APM データ
APM データには、サービス、リソース、プロファイル、トレース、スパン、および関連するタグが含まれます。それぞれの説明は、APM 用語集をお読みください。
データベースクエリのシグネチャ
データベースモニタリングデータは、Agent が収集したメトリクスとサンプル、および関連するタグで構成され、正規化されたクエリの履歴パフォーマンスを追跡するために使用されます。このデータの粒度は、正規化されたクエリシグネチャと一意のホスト識別子によって定義されます。すべてのクエリパラメーターは難読化され、Datadog に送信される前に収集されたサンプルから削除されます。
プロセス情報
プロセスは、proc ファイルシステムのメトリクスとデータで構成されています。このファイルシステムは、カーネルの内部データ構造へのインターフェイスとして動作します。プロセスデータには、プロセスコマンド (パスと引数を含む)、関連ユーザー名、プロセスの ID とその親、プロセスの状態、および作業ディレクトリを含めることができます。また、プロセスデータには通常、タグのメタデータも付随しています。
イベントとコメント
イベントデータは、トリガーされたモニター、インテグレーションによって送信されたイベント、アプリケーション自体によって送信されたイベント、ユーザーによってまたは API を通して送信されたコメントなど、複数のソースから統合ビューに集約されます。イベントとコメントには、通常、関連するタグのメタデータがあります。
Continuous Integration のパイプラインとテスト
ブランチ、パイプライン、テスト、テストスイートの名前は、すべて Datadog に送信されるデータです。

その他の参考資料