ログ管理のデータセキュリティ

このページでは、Datadog に送信されるデータのセキュリティについて説明します。クラウドやアプリケーションのセキュリティ製品や機能をお探しの場合は、セキュリティのセクションをご覧ください。

ログ管理は、複数の環境と形式をサポートし、ほぼどのようなデータでも選択して Datadog に送信することができます。ここでは、Datadog にログを送信する際に利用できる主なセキュリティ保護とフィルタリング制御について説明します。

: ログは、様々な Datadog 製品で閲覧することができます。APM トレースページで表示されるログを含め、Datadog UI で表示されるすべてのログは、ログ管理製品に含まれるものです。

情報セキュリティ

Datadog Agent は、HTTPS または TLS で暗号化された TCP 接続(ポート 10516、要アウトバウンド通信)を介して、ログを Datadog に送信します([Agent によるログの転送]を参照3)。

Datadog は、インデックス化されたログに対して対称暗号化保存 (AES-256) を使用します。インデックス化されたログは、ユーザー定義の保存期間が過ぎると、Datadog プラットフォームから削除されます。

ログのフィルタリング

バージョン 6 以降の場合は、Agent から Datadog アプリケーションに送信されるログをフィルターするように Agent を設定できます。特定のログが送信されないようにするには、typeexclude_at_match または include_at_match を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、指定された包含/除外規則に基づいて一部のログを除外するように Agent に指示できます。

ログの難読化

バージョン 6 の場合は、Agent から Datadog アプリケーションに送信されるログに含まれる特定のパターンを難読化するように Agent を設定できます。ログに含まれる機密要素をマスクするには、typemask_sequences を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、ログ内の機密データを編集するように Agent に指示できます。

あるいは、クラウドまたは Agent で Sensitive Data Scanner を使用して、機密データの識別、タグ付け、およびマスキングを行うことができます。Sensitive Data Scanner では、スキャン対象のデータを定義するスキャングループを設定し、次にデータ内で照合する機密情報を特定するためのスキャンルールを設定します。一致した場合にデータをマスキングするかどうかを選択することも可能です。Datadog は、クレジットカード番号、メールアドレス、IP アドレス、API キーなどの機密情報を検出するための事前定義済みルールライブラリを提供しています。また、正規表現に基づくスキャンルールを独自に定義して、特定の機密情報を検出することもできます。

Sensitive Data Scanner は、プロセッサーとして Observability Pipelines でも利用可能です。Observability Pipelines を使用すると、独自のインフラストラクチャー内でログを収集および処理し、それらを下流のインテグレーションへ転送することができます。

HIPAA 対応ユーザー

Datadog will sign a Business Associate Agreement (BAA) with customers that transmit protected health information (ePHI) through Datadog’s HIPAA-eligible services.

These restrictions are imposed on customers who have signed Datadog’s BAA:

  • Users cannot request support through Zendesk Live Chat.
  • Users cannot share logs or security signals from the Datadog explorer.
  • Users cannot use third-party powered generative AI services.

If you have any questions about how the Log Management Service satisfies the applicable requirements under HIPAA, contact your account manager. HIPAA-enabled customers do not need to use specific endpoints to submit logs to enforce specific encryptions. The encryptions are enabled on all log submission endpoints.

ログ管理における PCI DSS 準拠

ログ管理における PCI DSS 準拠は、US1 サイトの Datadog 組織でのみ利用可能です。

Datadog では、リクエストに応じて、お客様が PCI DSS 準拠の Datadog 組織にログを送信することができます。PCI 準拠の Datadog 組織を設定するには、以下の手順に従います。

To set up PCI-compliant Log Management, you must meet the following requirements:

  • Audit Trail must be enabled and remain enabled for PCI DSS compliance. If you haven’t already enabled Audit Trail, it is automatically enabled once the org is configured as PCI-compliant (after following the steps below).
  • Your Datadog organization is in the US1 site.
  • All logs sent to the PCI endpoints using HTTPS only. If you are using the Agent to send logs, you should enforce HTTPS transport.
  • All your logs endpoints need to be changed to the PCI endpoints for logs.
  • You may request access to the PCI Attestation of Compliance and Customer Responsibility Matrix on Datadog’s Trust Center - note that these documents are only applicable once you have finished all the onboarding steps and have been manually configured to be compliant by Datadog support.

To begin onboarding:

  1. Contact Datadog support or your Customer Success Manager to request to being the PCI onboarding process while ensuring the necessary PCI requirements are met.
  2. After Datadog support or Customer Success confirms that the org is ready to onboard, configure the respective configuration file to send all your logs to the dedicated PCI compliant endpoint(s):
  • agent-http-intake-pci.logs.datadoghq.com:443 for Agent traffic
  • http-intake-pci.logs.datadoghq.com:443 for non-Agent traffic
  • pci.browser-intake-datadoghq.com:443 for browser logs
  1. For example, add the following lines to the Agent configuration file:
    logs_config:
  logs_dd_url: agent-http-intake-pci.logs.datadoghq.com:443
  2. All logs that are sent to the PCI compliant endpoint(s) automatically have a set of Sensitive Data Scanner PCI rules that are applied to scrub any cardholder data. These dedicated PCI rules must be enabled for PCI DSS compliance and are included with no additional charge. Note that Sensitive Data Scanner for PCI customers does not include the Summary page or estimated usage metric capabilities.

To finish onboarding and be moved to compliant:

  1. Inform your Datadog support or your Customer Success Manager that you have moved over all your endpoints to the PCI compliant endpoint(s).
  2. Once confirmed by Datadog, your Logs and Log Management is considered to be PCI-compliant.

If you have any questions about how your now PCI-compliant Log Management satisfies the applicable requirements under PCI DSS, contact your account manager. See information on setting up PCI-compliant Application Performance Monitoring.

詳しくは PCI DSS 準拠を参照してください。APM で PCI 準拠を実現するためには、APM の PCI DSS 準拠を参照してください。

ログ管理の PCI DSS 準拠は、 サイトではご利用いただけません。

エンドポイントの暗号化

すべてのログ送信エンドポイントは暗号化されています。以下のレガシーエンドポイントはまだサポートされています。

  • tcp-encrypted-intake.logs.datadoghq.com
  • lambda-tcp-encrypted-intake.logs.datadoghq.com
  • gcp-encrypted-intake.logs.datadoghq.com
  • http-encrypted-intake.logs.datadoghq.com

その他の参考資料

お役に立つドキュメント、リンクや記事:

Datadog に送信されるデータの主要カテゴリを確認するドキュメント more more PCI 準拠の Datadog 組織をセットアップするドキュメント more more Datadog から PCI に準拠したログ管理と APM を発表ブログ more more