ログ管理のデータセキュリティ

このドキュメントは最新ではありません。最新版はこちらをクリックして英語版をご覧ください。
このページでは、Datadog に送信されるデータのセキュリティについて説明します。クラウドやアプリケーションのセキュリティ製品や機能をお探しの場合は、セキュリティのセクションをご覧ください。

ログ管理は、複数の環境と形式をサポートし、ほぼどのようなデータでも選択して Datadog に送信することができます。ここでは、Datadog にログを送信する際に利用できる主なセキュリティ保護とフィルタリング制御について説明します。

: ログは、様々な Datadog 製品で閲覧することができます。APM トレースページで表示されるログを含め、Datadog UI で表示されるすべてのログは、ログ管理製品に含まれるものです。

情報セキュリティ

Datadog Agent は、HTTPS または TLS で暗号化された TCP 接続(ポート 10516、要アウトバウンド通信)を介して、ログを Datadog に送信します([Agent によるログの転送]を参照3)。

Datadog は、インデックス化されたログに対して対称暗号化保存 (AES-256) を使用します。インデックス化されたログは、ユーザー定義の保存期間が過ぎると、Datadog プラットフォームから削除されます。

ログのフィルタリング

バージョン 6 以降の場合は、Agent から Datadog アプリケーションに送信されるログをフィルターするように Agent を設定できます。特定のログが送信されないようにするには、typeexclude_at_match または include_at_match を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、指定された包含/除外規則に基づいて一部のログを除外するように Agent に指示できます。

ログの難読化

バージョン 6 の場合は、Agent から Datadog アプリケーションに送信されるログに含まれる特定のパターンを難読化するように Agent を設定できます。ログに含まれる機密要素をマスクするには、typemask_sequences を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、ログ内の機密データを編集するように Agent に指示できます。

HIPAA 対応ユーザー

Datadog は、Datadog のログ管理サービスを介して保護対象医療情報 (ePHI) を送信するお客様と業務提携契約 (BAA) を締結します。

Datadog と BAA を締結されたお客様は、この機能をご利用いただけません。

  • チャットからサポートを求めることはできません。
  • ログモニターからの通知にログサンプルを含めることはできません。
  • Web インテグレーションを使用して、エクスプローラーからログ、セキュリティシグナル、またはトレースを共有することはできません。
  • セキュリティルールでは、通知タイトルにトリガーとなるグループ化の値を含めることができません。
  • セキュリティルールにメッセージテンプレート変数を含めることはできません。
  • セキュリティルールは Webhook で通知することができません。

ログ管理サービスが HIPAA の適用要件をどのように満たすかについて質問がある場合は、アカウントマネージャーにお問い合わせください。HIPAA 対応のお客様は、特定の暗号化を実施するために、特定のエンドポイントを使用してログを送信する必要はありません。暗号化は、すべてのログ提出用エンドポイントで有効です。

ログ管理における PCI DSS 準拠

ログ管理の PCI DSS 準拠は、US1 サイトで作成された新しい Datadog 組織でのみ利用可能です。

Datadog では、リクエストに応じて、お客様が PCI DSS 準拠の Datadog 組織にログを送信することができます。PCI 準拠の Datadog 組織を設定するには、以下の手順に従います。

  1. US1 サイトに新しい Datadog 組織をセットアップします。PCI DSS 準拠は、US1 で作成された新しい組織にのみサポートされています。
  2. Datadog サポートまたはカスタマーサクセスマネージャーに連絡し、新しい組織を PCI 準拠の組織として構成するようリクエストします。
  3. 新しい組織で監査証跡を有効にします。PCI DSS 準拠のため、監査証跡を有効にし、有効なままにする必要があります。
  4. Datadog サポートまたはカスタマーサクセスが新しい組織が PCI DSS に準拠していることを確認した後、PCI 準拠の専用エンドポイント (agent-http-intake-pci.logs.datadoghq.com) にログを送信するように Agent コンフィギュレーションファイルを構成します。
    logs_config:
  logs_dd_url: <http://agent-http-intake-pci.logs.datadoghq.com:443|agent-http-intake-pci.logs.datadoghq.com:443>
    : ポートが構成に含まれている必要があります。

ログ管理サービスが PCI DSS の要件を適切に満たしているかどうかについてのご質問は、アカウントマネージャーまでお問い合わせください。

APM で PCI 準拠を実現するためには、APM の PCI DSS 準拠を参照してください。

ログ管理の PCI DSS 準拠は、 サイトではご利用いただけません。

エンドポイント暗号化

すべてのログ送信エンドポイントは暗号化されています。これらのレガシーエンドポイントはまだサポートされています。

  • tcp-encrypted-intake.logs.datadoghq.com
  • lambda-tcp-encrypted-intake.logs.datadoghq.com
  • gcp-encrypted-intake.logs.datadoghq.com
  • http-encrypted-intake.logs.datadoghq.com

その他の参考資料

お役に立つドキュメント、リンクや記事:

Datadog に送信されるデータの主要カテゴリを確認するドキュメント more more Datadog から PCI に準拠したログ管理と APM を発表GITHUB more more