New Relic のデフォルトの APM エージェント設定は、高いレベルのセキュリティを提供します。しかし、デフォルトのAPMエージェント設定がより寛容なものに上書きされたとしても、機密データがNew Relicに送信されることがないことを保証する必要があるかもしれません。そのような場合は、APMのハイセキュリティモード(エンタープライズセキュリティモードとも呼ばれる)をオンにするとよいでしょう。
当社のセキュリティ対策の詳細については、当社の セキュリティおよびプライバシーに関する文書 をご覧いただくか、 New Relic のセキュリティに関するウェブサイト をご覧ください。
要件
当社の New Relic One の価格モデル のお客様は、 Enterprise edition が必要です。当社のオリジナル価格モデルのお客様は、サブスクリプションレベルに応じてアクセスできます。
アカウントレベル
ハイセキュリティをオンにする場合、アカウントに報告するすべてのアプリケーションでハイセキュリティを有効にする必要があります。ハイセキュリティの設定は、個々のアカウントで行う必要があります。 親子のアカウント構造 を持つ組織では、親アカウントで有効にしても子アカウントは高セキュリティ設定を自動的に継承しません。
現在、ハイセキュリティモードには2つのバージョンがあります。 バージョン1 は非推奨で、すでにお持ちの方のみご利用いただけます。初めてハイセキュリティモードを有効にする場合は、バージョン2(v2)しかありません。
エージェント | バージョン2対応 |
|---|---|
C SDK | 該当なし |
すべてのバージョン | |
3.7以上(デフォルトで有効) | |
3.3以上 | |
1.7.0以上 | |
4.9以上 | |
2.22.0.0以降 | |
3.9.1以降 |
ハイセキュリティモードの有効化(バージョン2)
高いセキュリティを有効にするには、サーバーのローカル構成 と、UIのリモート構成 の両方を更新する必要があります。
注意
アカウントに対してハイセキュリティを有効にすると、 ハイセキュリティは、 New Relic Support からの支援なしに をオフにすることはできません。
設定場所 | 説明 |
|---|---|
UIでの設定 |
|
ローカル、エージェント経由 | エージェント設定ファイルでハイセキュリティモードを有効にします。ハイセキュリティモードはデフォルトでは無効になっており、有効にするための正確な手順はエージェントによって異なります。 |
ハイセキュリティモードを有効にした場合の結果(バージョン2)
ハイセキュリティモード(v2)を有効にすると、お客様のアカウントに以下のことが保証されます。
機能 | コメント |
|---|---|
エージェントが安全な接続(HTTPS)を使用する必要があります。 | 高セキュリティモードでは、セキュア(HTTPS)な接続が必要です。セキュアでない接続の試みは拒否されます。すべての New Relic エージェントの最新バージョンは、HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティを上書きして、最新の業界標準に従って転送されるすべてのデータを確保します。 |
HTTP paramのキャプチャを防ぐ | ハイセキュリティモードでは、機密性の高い顧客データが含まれている可能性のある HTTP パラムを New Relic コレクターに送信することができません。エージェントがローカルまたは サーバーサイドの設定 を通じて HTTP パラメータを送信するように設定されている場合、ハイセキュリティモードはその設定を上書きして HTTP パラメータをキャプチャしないようにします。 |
メッセージキューのパラメータ取得を防ぐ | 高セキュリティモードでは、機密性の高い顧客データを含む可能性のあるメッセージキューパラムをNew Relicコレクターに送信することはできません。エージェントがローカルまたは サーバーサイドの設定 を通じてメッセージキューパラムを送信するように設定されている場合、ハイセキュリティモードはメッセージキューパラムをキャプチャしないように設定を上書きします。 |
生のクエリ文の取り込みを防ぐ | 高セキュリティモードでは、機密性の高い顧客データを含む可能性のある生のデータベースクエリ文をキャプチャすることはできません。エージェントがローカルで、または サーバー側の設定 を通じて生のクエリをキャプチャするように設定されている場合、高セキュリティモードは生のクエリをキャプチャしないように設定された内容を上書きします。 |
ユーザーの属性取得を防ぐ | 高セキュリティモードでは、各エージェントのAPIを使って設定された属性を取得することができません。 たとえば、Javaエージェントでは、次の |
| 高セキュリティモードでは、各エージェントの たとえば、Javaエージェントでは、次の |
カスタムイベントを防ぐ | 高セキュリティモードでは、エージェントAPIを使用してカスタムイベントを作成することができません。これらのイベントには機密性の高い顧客データが含まれている可能性があるからです。 たとえば、.NETエージェントでは、API呼び出し |
エージェント内のログイベントの転送を防止します | 高セキュリティモードでは、ログメッセージに顧客の機密データが含まれている可能性があるため、 |
高セキュリティモードでは、 Custom Instrumentation Editor を使用している場合、カスタムインスツルメンテーションを展開することはできません。高セキュリティモードが有効になっている場合は、 インストルメンテーションをエクスポートして アプリサーバに手動でインポートする必要があります。 |
ハイセキュリティモードv1の有効化の結果(非推奨)
ハイセキュリティモードのバージョン1は非推奨で、バージョン2が利用可能になる前に有効にした場合のみ利用可能です。ハイセキュリティモードのバージョン1では、お客様のアカウントで以下のことが保証されます。
機能 | コメント |
|---|---|
エージェントが安全な接続(HTTPS)を使用する必要があります。 | 高セキュリティモードでは、暗号化された接続(HTTPS)が必要です。セキュアでない接続の試みは拒否されます。すべての New Relic エージェントの最新バージョンは、HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティを上書きして、転送中のすべてのデータが最新の業界標準に従って暗号化されるようにします。 |
HTTP paramのキャプチャを防ぐ | 機密性の高い顧客データを含む可能性のある HTTP パラメータをキャプチャするように設定されたエージェントは、New Relic への接続ができません。ローカル設定でリクエストパラメーターをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。 |
生のクエリ文の取り込みを防ぐ | 機密性の高い顧客データを含む可能性のある生のデータベースクエリ文をキャプチャするように設定されたエージェントは、New Relic への接続ができません。エージェントがローカルで、または サーバーサイドの設定 で生のクエリをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。 |
高セキュリティモードでは、 Custom Instrumentation Editor を使用している場合、カスタムインスツルメンテーションを展開することはできません。高セキュリティモードが有効になっている場合は、 インストルメンテーションをエクスポートして アプリサーバに手動でインポートする必要があります。 |
バージョン1からバージョン2への移行
以上が、2つのバージョンのハイ・セキュリティの主な違いです。
- ハイセキュリティをさらに安全にするためには、New Relic のユーザーインターフェイス およびローカルの New Relic 設定ファイル でハイセキュリティを有効にする必要があります。ハイセキュリティv1では、New Relic UIでハイセキュリティを設定するだけでした。
- ユーザー属性、
noticeError属性、およびメッセージキューパラメータは、バージョン2では高いセキュリティでオフになっていますが、バージョン1ではオフになっています。
v1からv2に更新するには、ローカルエージェント構成ファイルにhigh_security: trueを追加します。