概要
Sensitive Data Scanner は、ログ、APM イベント、RUM イベント内の機微データを特定、タグ付け、必要に応じてマスクします。すぐに使えるスキャン ルール を使用するか、正規表現 (regex) パターンを使ってカスタム ルールを作成できます。このガイドでは、regex パターンを使ってカスタム ルールを作成する際のベスト プラクティスを説明します。
精度の高い regex パターンを使用する
regex パターンは可能な限り正確に定義します。汎用的なパターンは誤検知の増加につながります。カスタム ルールを作成する際は、sample data tester にテスト データを追加して regex パターンを調整します。詳細は カスタム スキャン ルールを追加する の手順 2 を参照してください。
regex パターン マッチングを絞り込む
keyword dictionary にキーワードのリストを追加して、regex パターン マッチングの精度を高めます。keyword dictionary は、それらのキーワードの所定の近接範囲内に一致パターンがあるかを確認します。たとえばパスワードをスキャンする場合、password、token、secret、credential などのキーワードを追加できます。これらのキーワードが一致箇所から何文字以内にあるべきかも指定できます。既定では、キーワードは一致値の前方 30 文字以内にある必要があります。詳細は カスタム スキャン ルールを追加する の手順 2 を参照してください。
一致の精度をさらに高めるには、次のいずれかを実施できます:
- イベント全体をスキャンしつつ、特定の属性をスキャン対象から除外します。たとえば、名前のような個人を特定できる情報 (PII) をスキャンする場合、
resource_name や namespace といった属性は除外したい場合があります。 - スキャン対象を絞り込むために、特定の属性のみをスキャンします。たとえば、名前をスキャンする場合、
first_name や last_name といった属性を選択できます。
詳細は カスタム スキャン ルールを追加する の手順 3 を参照してください。
すぐに使えるルールを使用する
可能な限り、Datadog のすぐに使える ライブラリ ルール を使用してください。これらは、メール アドレス、クレジット カード番号、API キー、認可トークン、ネットワークやデバイス情報などの一般的なパターンを検出するために事前定義されたルールです。各ルールには、マッチング精度を高めるための keyword dictionary 用の推奨キーワードが含まれています。独自のキーワードを追加 することもできます。
他のユーザーにも有益と思われるルールで、利用したいものがある場合は、サポートに連絡 してください。
参考資料
