可観測性を損なうことなくログ内の機密データを処理する方法

何か問題が発生した際に、ログは問題解決に役立つべきであり、コンプライアンス上の頭痛の種を増やすべきではありません。しかし、特に医療や金融などの業界では、ユーザー固有のデータが混在すると、事態は急速に複雑化します。

幸いなことに、プライバシーを損なうことなく、必要な可視性を確保できます。LMログで個人識別情報（PII）と保護対象医療情報（PHI）を処理する方法を説明し、チームがよりスマートにトラブルシューティングできるようにします。 　 安全に。

可視性とコンプライアンスのどちらかを選択する必要はありません。

どのような種類のログについて話しているのでしょうか?

コンプライアンス リスクに関しては、すべてのログが同等というわけではありません。

LM Logs は、メトリックベースのアラートのトラブルシューティングを支援するために構築されています。関連するログをアラートのタイムラインに自動的に関連付けることで、根本原因をより迅速に特定できます。そのため、LM Logs にとって最も価値のあるログは以下のとおりです。

• システムログ
• OSログ
• デバイスとアプリケーションのログ
• Syslogデータ

これらのログは通常、パフォーマンス監視やシステム診断に使用されます。例えば、システムログにはアラート発生直前の構成変更が記録されており、調査のための明確な痕跡が残されます。チームは、無関係なユーザーデータを調べることなく、誤って適用されたパッチや予期せず再起動されたサービスを特定できた事例も数多くあります。これらのログには、個人を特定できる情報や保護対象医療情報（PHI）が含まれることはほとんどありません。

複雑になるのは、カスタムアプリケーションログです。開発チームがログに記録する内容によっては、ユーザー固有のデータ（ログイン情報、トランザクションID、さらには健康情報や財務情報など）が含まれる場合があります。

ログ内の個人識別情報と保護対象健康情報を識別する方法

これらはいくつかのカテゴリに分類されます:

直接識別子	間接識別子	機密性の高い個人情報
- フルネーム - 社会保障番号 – パスポートまたは運転免許証番号 – メールアドレス（特定の個人に関連付けられている場合） - 電話番号	- 生年月日 - 性別 – ユーザー名またはアカウントID – IPアドレス（一部の状況） – 生体認証データ	– 財務データ（例：クレジットカード番号や銀行口座番号） – 健康記録または保険データ – 人種、民族、性的指向に関するデータ

ログに次のような内容が含まれている場合、コンプライアンスリスクが増大します。 複数の これらのフィールドを、個人を特定できる形でリンクさせる（これを「リンク可能性」と呼びます）。ユーザー名が1つだけなら問題ないかもしれません。しかし、ユーザー名＋メールアドレス＋クレジットカード情報？それはリスクです。

LM ログで PII と PHI を管理するためのベスト プラクティス

1. そもそも機密データのログ記録を避ける

ログに記録されていなければ、公開することはできません。開発チームに以下の点をトレーニングしてください。

• セッションIDやトランザクションIDなどの、識別されない一意のコードを使用する
• 絶対に必要な場合を除き、名前、メールアドレス、アカウント番号の記録は避けてください。
• あらゆるログストリームにおけるユーザー固有のデータの必要性に挑戦

2. 取り込み前にデータをサニタイズする

LogicMonitor対応プラグインとFluentd、Fluent Bit、またはLogstashを併用してください。これらのツールを使用すると、以下のことが可能になります。

• 機密性の高いログ行を削除する.
  • 流暢: fluent-plugin-grep を使用して、機密キーワードを含むエントリを除外します。
  • 流暢なビット: 組み込みの Grepフィルター パターンマッチングに基づいてレコードを含めるか除外します。

たとえば、ログ ラインに「password」などの、決して取り込まれてはいけないキーワードが含まれているとします。

以前（生ログ）:

2024-05-10 12:03:45 Login failed for user admin. Reason: Incorrect password

後（削除）: 機密キーワード フィルターに一致したため、ログ ラインは取り込まれず、転送もされません。

• 敏感なフィールドをマスクまたはハッシュする.
  • 流暢: fluent-plugin-record-reformer を使用して、電子メール アドレスやクレジットカード番号などの機密値をハッシュ化または編集します。
  • 流暢なビット： 使用 フィルターの変更 REPLACEまたはREMOVE_KEY操作、または Luaフィルター カスタム編集または変換ロジックをスクリプト化します。

一例としては、編集または部分的にマスクする必要がある電子メールとクレジットカード番号が挙げられます。

以前（生ログ）:

{

  "user": "[email protected]",

  "credit_card": "4111111111111111",

  "action": "purchase"

}

後（マスク/編集済み）:

{

  "user": "jane.doe@####",

  "credit_card": "************1111",

  "action": "purchase"

}

• IPとユーザーIDを匿名化する:
  • 流暢: fluent-plugin-anonymizer を使用して、識別可能なフィールドを安全なプレースホルダーに変換します。
  • 流暢なビット： 使用 Luaフィルター 転送前に IP アドレスやユーザー ID などのフィールドを匿名化する関数を記述します。

たとえば、プライバシーコンプライアンスのために IP アドレスとユーザー ID を匿名化する必要があります。

以前（生ログ）:

{

  "ip": "192.168.1.102",

  "user_id": "user-123456",

  "status": "success"

}

後（匿名）:

{

  "ip": "192.168.1.xxx",

  "user_id": "user-xxxxxx",

  "status": "success"

}

ログ処理機能をまだ導入していない場合は、まずは 流暢なビット強力で柔軟性があり、LM をサポートしています。

3. ログを機密性別に分割する

機密データの場合 しなければなりません ログに記録されます:

• 専用のログレベル（例：debug_secure）または別のログファイルを使用する
• これらのログの LM ログへの取り込みを制限する
• 下流のフィルタリングのために、タグを付けて明確に文書化する

4. ロールベースのアクセス制御（RBAC）を適用する

LogicMonitor を使用すると、ログの可視性を制限できます。

• RBAC を使用して機密ログへのアクセスを制限する
• 本当に必要な人にのみ権限を与える
• アクセスルールを社内のデータ処理ポリシーに適合させる

5. ログ保持ポリシーを設定する

機密性の高いログの有効期間は短くする必要があります。

• 最小権限の原則に従う 　 最低保持率
• 問題解決に必要な期間のみ、機密データを含むログを保持する
• LM Logs は、7 日間、1 か月、90 日間、1 年間の保持期間をサポートしています。
• プロのヒント: ほとんどのチームは機密性の高いアプリケーションログを保管しています 7日間で稼働開始できました 以下

ログが LM ログに取り込まれると、次の 3 つの重要なことが起こります。

• 保存期間のタグが付いています。 これはサブスクリプションのレベルによって異なり、データがプラットフォーム内に保存される期間を制御するのに役立ちます。
• 安全に保管されます。 ログは、保存時に暗号化された S3 バケットに保存され、データが保護されます。
• 自動的に削除されます。 ログの有効期限のタイムスタンプに達すると、ログは消去されるため、手動でのクリーンアップは必要ありません。

このプロセスにより、ログ データがシステムに入った瞬間から責任を持って管理されるようになります。

ログ取り込みパイプラインを保護する

取り込みプロセスがロックダウンされていることを確認します。

• 転送中のTLS暗号化を使用する
• LMのセキュアAPIを介して、固有のAPIキーFluent-Bitでログを取り込み
• FluentdまたはLogstashを設定して、サニタイズされたログのみを送信する

7. 監査ログでユーザーのアクションを追跡する

LM Logsは以下と統合します LogicMonitor監査ログ、これは:

• ログ構成の変更を追跡する
• 誰が何にいつアクセスしたかを記録する
• アラートの更新、ログイン試行などを可視化します

これらのログは改ざん防止機能があり、システムレベルのみであるため、作成後に個々のエントリを変更することはできません。

LM ログ: 可視性を重視した設計、信頼性を重視した構築

LM Logs は SIEM ではありません。これは設計上の理由です。脅威検出やフォレンジック分析を目的として設計されていません。LM Logs は、ログとアラートを連携させることで時間を節約し、MTTR を短縮し、責任の所在を明確にすることで、IT チームが問題をより迅速に発見し、解決できるよう支援することに重点を置いています。

これらのベスト プラクティスに従うことで、組織のデータやコンプライアンス体制を危険にさらすことなく、LM ログの価値を最大限に引き出すことができます。

設定にご不明な点がございましたら、LogicMonitor カスタマーサクセスチームまでお問い合わせください。強力で実用的、そしてプライバシーに配慮したログ記録戦略の設計をお手伝いいたします。

© LogicMonitor 2025 | 無断複写・転載を禁じます。 | ここで言及されているすべての商標、商号、サービス マーク、およびロゴは、それぞれの会社に帰属します。