リアルユーザーモニタリングのデータセキュリティ

このページでは、Datadog に送信されるデータのセキュリティについて説明します。クラウドやアプリケーションのセキュリティ製品や機能をお探しの場合は、セキュリティのセクションをご覧ください。

概要

リアルユーザーモニタリング (RUM) は、プライバシー要件を実装し、あらゆる規模の組織が機密情報や個人情報を公開しないようにするためのコントロールを提供します。データは Datadog が管理するクラウドインスタンスに保存され、静止時は暗号化されます。このページで説明されているデフォルトの動作と構成可能なオプションは、エンドユーザーのプライバシーを保護し、組織の機密情報が収集されないように設計されています。Datadog のプライバシーの詳細についてはこちらをご覧ください。

責任の共有

The responsibility of keeping user data secure is shared between Datadog and developers who leverage the RUM SDKs.

Datadog の責任は以下の通りです。

  • Datadog プラットフォームにデータが転送され、保存される際、それを安全に取り扱う信頼性の高い製品を提供します。
  • 社内ポリシーに基づき、セキュリティ上の問題を確実に特定します。

開発者の責任は以下の通りです。

  • Datadog が提供する構成値とデータプライバシーオプションを活用します。
  • 自社の環境内のコードの整合性を確実に保ちます。

コンプライアンスフレームワーク

RUM は、多くの規格や規制の枠組みに準拠するように構成することができます。以下が含まれますが、これらに限定されるものではありません。

  • GDPR
  • HIPAA
  • ISO
  • CCPA/CPRA

プライバシーに関する制限

デフォルトでは、規制や規格の枠組みへの準拠を支援するために、ユーザーデータを保護するいくつかのプライバシー制限が設けられています。

ブラウザ RUM のクッキーの使用について

Browser RUM requires first party cookies to be enabled on an end user’s browser to collect data. If required by the jurisdictions in which you operate, you are responsible for configuring your pages to comply with the laws of those jurisdictions, including receiving consent to collect cookies before RUM is initialized.

モバイル RUM の同意管理

モバイル RUM の追跡は、ユーザーの同意がある場合のみ実行されます。エンドユーザーが RUM の追跡を承諾した場合、当社はそのユーザーのアクティビティとセッションの経験を追跡します。ユーザーが RUM の追跡を拒否した場合、当社はそのユーザーのアクティビティとセッションの経験を追跡しません。

プライバシーのオプション

RUM でキャプチャしたデータの収集と編集に関しては、いくつかのオプションとツールがあります。

Client token

The browser RUM client token is used to match data from the end user’s browser to a specific RUM application in Datadog. It is unencrypted and visible from the client side of an application.

Because the client token is only used to send data to Datadog, there is no risk of data loss due to this token; however, Datadog recommends good client token management to avoid other kinds of misuse, including:

Authenticated proxy

One method of using the client token to filter out bots is an authenticated proxy. In this method, a placeholder string is substituted for the clientToken when initializing the Datadog RUM Browser SDK. The proxy knows the real client token, but the end user does not.

The proxy is configured to check for valid user information before passing the session data to Datadog, thereby confirming that a real user is signed in and transmitting traffic to be monitored. When receiving traffic, the proxy verifies that the data includes the placeholder string and replaces it with the real clientToken before forwarding the data to Datadog.

イベント追跡

イベントとは、サイトやアプリの特定の要素に対するユーザーのインタラクションのことです。イベントは、SDK を介して自動的にキャプチャされるか、カスタムアクションを介して送信されます。ユーザーインタラクションやページビューの自動追跡をオフにして、希望するインタラクションのみをキャプチャすることができます。デフォルトでは、RUM は SDK によって自動的に収集されたアクションからアクション名を生成するためにターゲットコンテンツを使用します。この動作は、任意の名前で明示的にオーバーライドすることができます。

当社が自動的に追跡するデータには、主に技術的な情報が含まれており、その多くには個人を特定する情報は含まれていません。RUM によってキャプチャされたデータは、以下の方法の高度な構成オプションによって、Datadog に送信・保存される前にさらに編集を行うことができます。

プロキシサーバーを経由して RUM イベントを送信する

すべての RUM イベントを独自のプロキシサーバーを介して送信することで、エンドユーザーのデバイスが Datadog と直接通信することがないようにすることができます。

ユーザーの身元の追跡

デフォルトでは、ユーザーの身元を追跡することはありません。各セッションには一意の session.id が紐付けられ、データは匿名化されますが、傾向を把握することは可能です。名前やメールアドレスなどのユーザーデータをキャプチャするコードを書き、そのデータを使って RUM セッションを充実させたり変更したりするオプションもありますが、これは必須ではありません。

データ保持

イベントキャプチャを構成した後、イベントは Datadog に保存されます。キャプチャしたイベントやプロパティが Datadog に保存される期間を決めることができます。

デフォルトでは、本番環境でのデータ保持は、

  • セッション、ビュー、アクション、エラー、セッションの記録の場合は 30 日間です。
  • リソースやロングタスクの場合は 15 日間です。

Retention can be extended to a maximum of 90 days at no additional cost by opening a support ticket. Note that this retention extension does not apply to Session Replays, Resources, or Long Tasks.

ロールベースのアクセス制御

Datadog は、キャプチャした RUM データの閲覧者を管理するために、ロールベースのアクセス制御 (RBAC) を提供します。データアクセスのデフォルト設定は、ユーザーが追加されたロールに依存します。Datadog のロールには、3 つのタイプがあります。Administrator ロール、Standard ロール、Read Only ロールです。より詳細な RUM 固有の権限は、Datadog ロールの権限で定義されています。例えば、セッションリプレイを閲覧するためのアクセス権を付与したり、取り消したりすることができます。

データの削除

If you need to delete data stored by Datadog, for example, if potentially sensitive data has been leaked into RUM events, you can hard-delete data from within a given timeframe. With a hard delete, all data is deleted; it cannot be targeted to a specific application. If you need any data deleted, reach out to the Datadog support team.

個人情報・機密情報の削除

個人を特定できる情報 (PII) や、IP アドレスやジオロケーションなどの機密データを削除するためのオプションがいくつか用意されています。RUM に PII が表示される可能性のあるシナリオをいくつか紹介します。

  • ボタンのアクション名 (例: “View full credit card number”)
  • URL に表示される名前
  • アプリの開発者によってインスツルメンテーションされたカスタム追跡イベント

非構造化データ

PII inadvertently included in unstructured data, such as an individual’s name in a text box, can only be removed through a data deletion requisition for a specified timeframe.

With respect to URLs, you have the option to track page views manually in order to remove any PII or use beforeSend to change the URL text.

また、すべての RUM イベントを独自の (プロキシ) サーバーを介して送信することで、エンドユーザーのデバイスが Datadog と直接通信することがないようにすることができます。

IP アドレス

RUM アプリケーションのセットアップ時に、IP またはジオロケーションデータを含めるかどうかを選択することができます。

RUM アプリケーションのセットアップページで、ジオロケーションとクライアント IP データを含めるかどうかを選択できます

IP データの収集を無効にすると、その変更はすぐに適用されます。無効にする前に収集されたイベントは、IP データが削除されることはありません。これはバックエンドで実行されるため、Browser SDK は引き続きデータを送信しますが、IP アドレスは Datadog バックエンドパイプラインによって省略され、処理時にドロップされます。

位置情報

クライアント IP の削除に加えて、今後収集するすべてのデータから、ジオロケーション (国、都市、郡)、または GeoIP の収集を無効にすることも選択可能です。Collect geolocation data ボックスのチェックを外すと、その変更はすぐに適用されます。無効にする前に収集されたイベントは、ジオロケーションデータが削除されることはありません。データの省略はバックエンドレベルで行われます。つまり、Browser SDK は引き続きデータを送信しますが、ジオロケーションデータはバックエンドパイプラインによって省略され、処理時にドロップされます。

機密データスキャナーで機密データをプロアクティブに検索する

Sensitive Data Scanner allows you to proactively search and scrub sensitive data upon ingestion by Datadog. RUM events are scanned on the stream before any data is stored within Datadog. The tool has the power to scrub, hash, or partially redact PII data before it is stored. It works by applying out-of-the-box or customer-developed pattern matching rules. If you’ve enabled this feature, you can find it on the Manage Sensitive Data page.

セッションリプレイ固有のプライバシーオプション

セッションリプレイに固有のプライバシーオプションを参照してください。

その他の参考資料