ログ管理のデータセキュリティ

このページでは、Datadog に送信されるデータのセキュリティについて説明します。クラウドやアプリケーションのセキュリティ製品や機能をお探しの場合は、セキュリティのセクションをご覧ください。

ログ管理は、複数の環境と形式をサポートし、ほぼどのようなデータでも選択して Datadog に送信することができます。ここでは、Datadog にログを送信する際に利用できる主なセキュリティ保護とフィルタリング制御について説明します。

: ログは、様々な Datadog 製品で閲覧することができます。APM トレースページで表示されるログを含め、Datadog UI で表示されるすべてのログは、ログ管理製品に含まれるものです。

情報セキュリティ

Datadog Agent は、HTTPS または TLS で暗号化された TCP 接続(ポート 10516、要アウトバウンド通信)を介して、ログを Datadog に送信します([Agent によるログの転送]を参照3)。

Datadog は、インデックス化されたログに対して対称暗号化保存 (AES-256) を使用します。インデックス化されたログは、ユーザー定義の保存期間が過ぎると、Datadog プラットフォームから削除されます。

ログのフィルタリング

バージョン 6 以降の場合は、Agent から Datadog アプリケーションに送信されるログをフィルターするように Agent を設定できます。特定のログが送信されないようにするには、typeexclude_at_match または include_at_match を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、指定された包含/除外規則に基づいて一部のログを除外するように Agent に指示できます。

ログの難読化

バージョン 6 の場合は、Agent から Datadog アプリケーションに送信されるログに含まれる特定のパターンを難読化するように Agent を設定できます。ログに含まれる機密要素をマスクするには、typemask_sequences を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、ログ内の機密データを編集するように Agent に指示できます。

HIPAA 対応ユーザー

Datadog は、Datadog のログ管理サービスを介して保護対象医療情報 (ePHI) を送信するお客様と業務提携契約 (BAA) を締結します。

Datadog と BAA を締結されたお客様は、この機能をご利用いただけません。

  • チャットからサポートを求めることはできません。
  • Datadog エクスプローラーからログ、セキュリティシグナル、またはトレースを共有することはできません。
  • セキュリティルールでは、通知タイトルにトリガーとなるグループ化の値を含めることができません。
  • セキュリティルールにメッセージテンプレート変数を含めることはできません。
  • セキュリティルールは Webhook を通じて通知することができません。

ログ管理サービスが HIPAA の適用要件をどのように満たしているかについての質問がある場合は、アカウントマネージャーにお問い合わせください。HIPAA 対応のお客様は、特定の暗号化を実施するために、特定のエンドポイントを使用してログを送信する必要はありません。暗号化は、すべてのログ提出用エンドポイントで有効です。

ログ管理における PCI DSS 準拠

ログ管理の PCI DSS 準拠は、US1 サイトの Datadog 組織でのみ利用可能です。

Datadog では、リクエストに応じて、お客様が PCI DSS 準拠の Datadog 組織にログを送信することができます。PCI 準拠の Datadog 組織を設定するには、以下の手順に従います。

  1. Contact Datadog support or your Customer Success Manager to request that the org be configured as a PCI-compliant org and discuss the necessary paperwork to complete the PCI requirements.
  2. If not already enabled, Audit Trail is automatically enabled when the org is configured as PCI-compliant. Audit Trail must be enabled and remain enabled for PCI DSS compliance.
  3. After Datadog support or Customer Success confirms that the org is PCI DSS compliant, configure the respective configuration file to send logs to the dedicated PCI-compliant endpoint:
  • agent-http-intake-pci.logs.datadoghq.com:443 for Agent traffic
  • http-intake-pci.logs.datadoghq.com:443 for non-Agent traffic
  • pci.browser-intake-datadoghq.com:443 for browser logs

For example, add the following lines to the Agent configuration file:

logs_config:
  logs_dd_url: <agent-http-intake-pci.logs.datadoghq.com:443>

Note: The port must be included in the configuration. PCI compliance uses HTTPS log forwarding only. If you are using the Agent, you should enforce HTTPS transport.

If you have any questions about how the Log Management service satisfies the applicable requirements under PCI DSS, contact your account manager.

詳しくは PCI DSS 準拠を参照してください。APM で PCI 準拠を実現するためには、APM の PCI DSS 準拠を参照してください。

ログ管理の PCI DSS 準拠は、 サイトではご利用いただけません。

エンドポイントの暗号化

すべてのログ送信エンドポイントは暗号化されています。以下のレガシーエンドポイントもまだサポートされています。

  • tcp-encrypted-intake.logs.datadoghq.com
  • lambda-tcp-encrypted-intake.logs.datadoghq.com
  • gcp-encrypted-intake.logs.datadoghq.com
  • http-encrypted-intake.logs.datadoghq.com

その他の参考資料

お役に立つドキュメント、リンクや記事:

Datadog に送信されるデータの主要カテゴリを確認するドキュメント more more PCI 準拠の Datadog 組織をセットアップするドキュメント more more Datadog から PCI に準拠したログ管理と APM を発表ブログ more more