• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

ログに含まれる機密データをハッシュ化またはマスクする (難読化)

ログの難読化ルールを使用すると、特定の種類の情報がNewRelicに保存されないようにすることができます。

要件

ログの難読化は、 Data Plusオファリングの一部として、2022年6月に利用可能になる予定です。詳細については、アカウント担当者にお問い合わせください。

概要

ログがNewRelicに送信された後、難読化ルールを使用して、ログ内の機密情報を難読化してから、NewRelicデータベースであるNRDBに保存できます。

機密情報には、クレジットカード番号、社会保障番号、国民ID、または保存時に保護するために規制によって要求される可能性のあるその他のデータなど、個人を特定できる情報が含まれる場合があります。

機密情報に一致する正規表現を定義してから、そのデータを難読化するルールを作成できます。機密情報をマスクするかハッシュするかを選択できます。

定義

  • 難読化ルールは、難読化アクションを適用するログを定義します。
  • 難読化ルールのアクションは、表示する属性、難読化するテキスト、および難読化する方法(マスキングまたはハッシュのいずれかによる)を定義します。
  • 難読化式は、どのテキストを難読化するかを識別する正規表現と呼ばれます。
  • マスキングすると、情報が完全に削除され、 X文字に置き換えられます。これが行われると、特定の値を検索することはできません。
  • ハッシュは情報を隠します。ハッシュツールを使用して機密値のハッシュを取得し、そのハッシュを含むログを検索できます。

難読化の仕組み

このビデオ(4分未満)を見て、NewRelicUIでの難読化がどのように機能するかを確認してください。

次の例に表示されているJSONオブジェクトは、難読化APIで使用されるペイロードを簡略化したものです。これにより、さまざまなAPI操作を同等のUI操作とより適切に関連付けることができます。

例:難読化前のログレコード

次のようなログ記録があるとします。

{
"message": "The credit card number 4321-5678-9876-2345 belongs to user user@email.com (born on 01/02/2003) with SSN 123-12-1234",
"creditCardNumber": "4321-5678-9876-2345",
"ssn": "123-12-1234",
"department": "sales",
"serviceName": "loginService"
}

このログレコードには、いくつかの機密データが含まれています。理想的には、このようなログに仕上げることです。

{
"message": "The credit card number 9aa9bc1528859aee1b1df75795f1ebd54beb2f0d26c8a1d4580a71a07189cdd5 belongs to user user@email.com (born on XXXXXXXXXX) with SSN 30e6897f76dc102e32ee1d781c43417d259e586eac15c963d75ab8b5187769da",
"creditCardNumber": "9aa9bc1528859aee1b1df75795f1ebd54beb2f0d26c8a1d4580a71a07189cdd5",
"ssn": "30e6897f76dc102e32ee1d781c43417d259e586eac15c963d75ab8b5187769da",
"department": "sales",
"serviceName": "loginService"
}

例:基本的なプロセス

この例で機密データを難読化するために使用する基本的なプロセスは次のとおりです。

チェックリスト:ログを難読化する手順

ログを難読化するために

  1. ログに表示される機密データのパターンを特定して、ログの形状を調べます。例えば:
  • すべてのログに機密情報が含まれていますか?それとも、もっと具体的に(サービスAや地域Bのログのみ)教えてください。
  • クレジットカード番号、運転免許証番号、国民ID、生体認証、その他の値など、どのような機密情報が含まれていますか?
  1. 機密データを抽出する方法を識別するための難読化を作成します。
  2. ログのセットごとに難読化ルールを定義します。
  • NRQLを使ってどのように捕らえるかを定義する。
  • それぞれに適用する必要のある難読化アクションを定義します。自問してみてください:後でこの機密情報を使用してログを照会する必要がありますか( HASHを使用することを検討してください)、またはログからこの情報を完全に削除する必要がありますか( MASKを使用することを検討してください)?

ヒント

Logs Obfuscation UIにはハッシュツールが含まれているため、既知の値からハッシュを見つけてコピーし、他の式やルールで使用できます。

CPU制限

難読化には、1分あたりのCPU制限があります。アカウントがリソース制限に達した場合、ログは期待どおりに難読化されません。 CPU制限を確認するには、NewRelicData管理UIのシステム制限ページに移動します。

Logs Obfuscation UIの[ Health ]タブを使用して、スキップされている難読化ルールがどの程度機能しているか、および微調整が必要かどうかを評価することもできます。難読化ルールはCPUに負荷がかかるため、これらのグラフは、リソースの制限によって最も影響を受けるルールを決定するのに役立ちます。

難読化表現

New Relic UIを使用するか、GraphQL ExplorerであるNerdGraphを使用して、難読化式を作成、読み取り、更新、または削除できます。

one.newrelic.com >ログ>難読化:最初に1つ以上の難読化式を作成し、次に難読化ルールを作成します。

難読化ルール

New Relic UIを使用するか、GraphQL ExplorerであるNerdGraphを使用して、難読化ルールを作成、読み取り、更新、または削除できます。

Copyright © 2022 New Relic株式会社。

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.