• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

ハイセキュリティモード

New Relic のデフォルトの APM エージェント設定は、高いレベルのセキュリティを提供します。しかし、デフォルトのAPMエージェント設定がより寛容なものに上書きされたとしても、機密データがNew Relicに送信されることがないことを保証する必要があるかもしれません。そのような場合は、APMのハイセキュリティモード(エンタープライズセキュリティモードとも呼ばれる)をオンにするとよいでしょう。

当社のセキュリティ対策の詳細については、当社の セキュリティおよびプライバシーに関する文書 をご覧いただくか、 New Relic のセキュリティに関するウェブサイト をご覧ください。

要件

使用量ベースの料金モデルをご利用のお客様は、 Enterpriseエディションが必要です。元の価格モデルのお客様は、サブスクリプションレベルに応じてアクセスできます。

アカウントレベル

ハイセキュリティをオンにする場合、アカウントに報告するすべてのアプリケーションでハイセキュリティを有効にする必要があります。ハイセキュリティの設定は、個々のアカウントで行う必要があります。 親子のアカウント構造 を持つ組織では、親アカウントで有効にしても子アカウントは高セキュリティ設定を自動的に継承しません。

現在、ハイセキュリティモードには2つのバージョンがあります。 バージョン1 は非推奨で、すでにお持ちの方のみご利用いただけます。初めてハイセキュリティモードを有効にする場合は、バージョン2(v2)しかありません。

エージェント

バージョン2対応

C SDK

該当なし

Go

すべてのバージョン

Java

3.7以上(デフォルトで有効)

.NET

3.3以上

Node.js

1.7.0以上

PHP

4.9以上

Python

2.22.0.0以降

Ruby

3.9.1以降

ハイセキュリティモードの有効化(バージョン2)

高いセキュリティを有効にするには、サーバーのローカル構成 と、UIのリモート構成 の両方を更新する必要があります。

注意

アカウントに対してハイセキュリティを有効にすると、 ハイセキュリティは、 New Relic Support からの支援なしに をオフにすることはできません。

設定場所

説明

UIでの設定

  • 元のユーザーモデルのユーザーの場合:アカウント所有者のみがこれを構成できます。one.newrelic.comにアクセスします。アカウントのドロップダウンをクリックして、[アカウント設定]を選択します。そのページで、[高セキュリティモード]を選択します。

  • 新しいユーザーモデルのユーザーの場合:有効にするアカウントのアカウントIDを取得します。次に、それを使用して次のURLに移動します: https://rpm.newrelic.com/accounts/YOUR_ACCOUNT_ID 。そのページで、高セキュリティモードを設定できます。

    エージェントがUI経由で高セキュリティに設定されているが、ローカルでは設定されていない場合、エージェントの接続が拒否され、エージェントがシャットダウンします。しかし、これでアプリケーションがシャットダウンすることはありません。

ローカル、エージェント経由

エージェント設定ファイルでハイセキュリティモードを有効にします。ハイセキュリティモードはデフォルトでは無効になっており、有効にするための正確な手順はエージェントによって異なります。

  • C SDK: n/a

  • Go

  • Java

  • .NET

  • Node.js

  • PHP

  • Python

  • Ruby

    エージェントがUIではなくローカルで高セキュリティに設定されている場合は、エージェントの接続が拒否され、エージェントがシャットダウンします。この場合、アプリケーションはシャットダウンされません。

ハイセキュリティモードを有効にした場合の結果(バージョン2)

ハイセキュリティモード(v2)を有効にすると、お客様のアカウントに以下のことが保証されます。

機能

コメント

エージェントが安全な接続(HTTPS)を使用する必要があります。

高セキュリティモードでは、セキュア(HTTPS)な接続が必要です。セキュアでない接続の試みは拒否されます。すべての New Relic エージェントの最新バージョンは、HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティを上書きして、最新の業界標準に従って転送されるすべてのデータを確保します。

HTTP paramのキャプチャを防ぐ

ハイセキュリティモードでは、機密性の高い顧客データが含まれている可能性のある HTTP パラムを New Relic コレクターに送信することができません。エージェントがローカルまたは サーバーサイドの設定 を通じて HTTP パラメータを送信するように設定されている場合、ハイセキュリティモードはその設定を上書きして HTTP パラメータをキャプチャしないようにします。

メッセージキューのパラメータ取得を防ぐ

高セキュリティモードでは、機密性の高い顧客データを含む可能性のあるメッセージキューパラムをNew Relicコレクターに送信することはできません。エージェントがローカルまたは サーバーサイドの設定 を通じてメッセージキューパラムを送信するように設定されている場合、ハイセキュリティモードはメッセージキューパラムをキャプチャしないように設定を上書きします。

生のクエリ文の取り込みを防ぐ

高セキュリティモードでは、機密性の高い顧客データを含む可能性のある生のデータベースクエリ文をキャプチャすることはできません。エージェントがローカルで、または サーバー側の設定 を通じて生のクエリをキャプチャするように設定されている場合、高セキュリティモードは生のクエリをキャプチャしないように設定された内容を上書きします。

ユーザーの属性取得を防ぐ

高セキュリティモードでは、各エージェントのAPIを使って設定された属性を取得することができません。

たとえば、Javaエージェントでは、次のNewRelicエージェントAPI呼び出しを介して渡された属性がブロックされます。

NewRelic.addCustomParameter(String key, String value)
NewRelic.addCustomParameter(String key, Number value)
NewRelic.setUserName(String name)
NewRelic.setAccountName(String name)
NewRelic.setProductName(String name)

noticeError属性のキャプチャを防止します

高セキュリティモードでは、各エージェントのnoticeError API呼び出しを使用して設定された属性をキャプチャできません。これは、これらの属性に顧客の機密データが含まれている可能性があるためです。

たとえば、Javaエージェントでは、次のNewRelicエージェントAPI呼び出しを介して渡された属性がブロックされます。

NewRelic.noticeError(String message, Map<String, String> params)
NewRelic.noticeError(Throwable throwable, Map<String, String> params)

カスタムイベントを防ぐ

高セキュリティモードでは、エージェントAPIを使用してカスタムイベントを作成することができません。これらのイベントには機密性の高い顧客データが含まれている可能性があるからです。

たとえば、.NETエージェントでは、API呼び出しRecordCustomEventはブロックされます。

エージェント内のログイベントの転送を防止します

高セキュリティモードでは、ログメッセージに顧客の機密データが含まれている可能性があるため、 application_logging.forwarding.enabled構成オプションを使用してログイベントをAPMに転送することはできません。

CIEを介したCustom Instrumentationの展開を妨げる。

高セキュリティモードでは、 Custom Instrumentation Editor を使用している場合、カスタムインスツルメンテーションを展開することはできません。高セキュリティモードが有効になっている場合は、 インストルメンテーションをエクスポートして アプリサーバに手動でインポートする必要があります。

ハイセキュリティモードv1の有効化の結果(非推奨)

ハイセキュリティモードのバージョン1は非推奨で、バージョン2が利用可能になる前に有効にした場合のみ利用可能です。ハイセキュリティモードのバージョン1では、お客様のアカウントで以下のことが保証されます。

機能

コメント

エージェントが安全な接続(HTTPS)を使用する必要があります。

高セキュリティモードでは、暗号化された接続(HTTPS)が必要です。セキュアでない接続の試みは拒否されます。すべての New Relic エージェントの最新バージョンは、HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティを上書きして、転送中のすべてのデータが最新の業界標準に従って暗号化されるようにします。

HTTP paramのキャプチャを防ぐ

機密性の高い顧客データを含む可能性のある HTTP パラメータをキャプチャするように設定されたエージェントは、New Relic への接続ができません。ローカル設定でリクエストパラメーターをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。

生のクエリ文の取り込みを防ぐ

機密性の高い顧客データを含む可能性のある生のデータベースクエリ文をキャプチャするように設定されたエージェントは、New Relic への接続ができません。エージェントがローカルで、または サーバーサイドの設定 で生のクエリをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。

CIEを介したCustom Instrumentationの展開を妨げる。

高セキュリティモードでは、 Custom Instrumentation Editor を使用している場合、カスタムインスツルメンテーションを展開することはできません。高セキュリティモードが有効になっている場合は、 インストルメンテーションをエクスポートして アプリサーバに手動でインポートする必要があります。

バージョン1からバージョン2への移行

以上が、2つのバージョンのハイ・セキュリティの主な違いです。

  • ハイセキュリティをさらに安全にするためには、New Relic のユーザーインターフェイス およびローカルの New Relic 設定ファイル でハイセキュリティを有効にする必要があります。ハイセキュリティv1では、New Relic UIでハイセキュリティを設定するだけでした。
  • ユーザー属性、 noticeError属性、およびメッセージキューパラメータは、バージョン2では高いセキュリティでオフになっていますが、バージョン1ではオフになっています。

v1からv2に更新するには、ローカルエージェント構成ファイルにhigh_security: trueを追加します。

Copyright © 2022 New Relic株式会社。