ログ管理のセキュリティ
Dash が新機能を発表!インシデントマネジメント、Continuous Profiler など多数の機能が追加されました! Dash イベントで発表された新機能!

ログ管理のセキュリティ

このページは Datadog のセキュリティに関するものです。セキュリティ監視製品をお探しの場合は、セキュリティ監視セクションをご覧ください。

この記事は、データセキュリティに関するドキュメントシリーズの一部です。

ログ管理は、複数の環境と形式をサポートし、ほぼどのようなデータでも選択して Datadog に送信することができる柔軟性を提供しています。ここでは、Datadog にログを送信する際に利用できる主なセキュリティ保護とフィルタリング制御について説明します。

情報セキュリティ

Datadog Agent は、HTTPS または TLS で暗号化された TCP 接続(ポート 10516、要アウトバウンド通信)を介して、ログを Datadog に送信します([Agent によるログの転送]を参照3)。

Datadog は、インデックス化されたログに対して対称暗号化保存 (AES-256) を使用します。インデックス化されたログは、ユーザー定義の保存期間が過ぎると、Datadog プラットフォームから削除されます。

ログのフィルタリング

バージョン 6 以降を使用している場合は、Agent から Datadog アプリケーションに送信されるログをフィルターするように Agent を設定できます。特定のログが送信されないようにするには、typeexclude_at_match または include_at_match を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、指定された包含/除外規則に基づいて一部のログを除外するように Agent に指示できます。

ログの難読化

バージョン 6 を使用している場合は、Agent から Datadog アプリケーションに送信されるログに含まれる特定のパターンを難読化するように Agent を設定できます。ログに含まれる機密要素をマスクするには、typemask_sequences を指定して log_processing_rules 設定を使用します。これで、1 つ以上の正規表現からなるリストを作成することで、ログ内の機密データを編集するように Agent に指示できます。

HIPAA 対応ユーザー

Datadog は、Datadog のログ管理サービスを介して保護対象医療情報 (ePHI) を送信するお客様と業務提携契約 (BAA) を締結します。

Datadog と BAA を締結されたお客様は、この機能をご利用いただけません。

  • チャットからサポートを求めることはできません。
  • グループ別ディメンションは、ログベースのメトリクスのホストタグ、ソース、サービス、およびステータスに制限されています。
  • ログモニターからの通知にログサンプルを含めることはできません。
  • group-by 節を使用してログモニターを構成することはできません。
  • Web インテグレーションを使用して、エクスプローラーからログを共有(またはトレース)することはできません。

ログ管理サービスが HIPAA の要件を適切に満たしているかどうかについてのご質問は、アカウントマネージャーまでお問い合わせください。

注:

これまで、HIPAA 対応のお客様は、特定の暗号化を強制する際に特定のエンドポイントを使用してログを送信する必要がありました。今後は、すべてのログ送信エンドポイントにおいて暗号化が有効になります。

以下のレガシーエンドポイントは、引き続きサポートされます。

  • tcp-encrypted-intake.logs.datadoghq.com
  • lambda-tcp-encrypted-intake.logs.datadoghq.com
  • gcp-encrypted-intake.logs.datadoghq.com
  • http-encrypted-intake.logs.datadoghq.com

その他の参考資料