New Relic利用時に考慮すべきセキュリティのポイント

New Relicでは、製品・価格体系をオブザーバビリティプラットフォーム 「New Relic One」に統合し、Telemetry Data PlatformFull-stack Observability、New Relic AIをすべてSaaSで提供しています。サービス利用者は自環境に情報を収集するマネージャーサーバーを用意することなく、ソフトウェア、アプリケーション、インフラストラクチャのパフォーマンスをモニタリング・分析し、システム全体を観測することができます。最新のソフトウェアやインフラストラクチャのあらゆる側面を観察できるため、問題の早期発見と解決、パフォーマンスの高いDevOpsチームの構築、変革のスピードアップを図ることができます。

New Relic全体概要イメージとセキュリティ

利用者環境のパフォーマンス情報は、APM、Infrastructure、Browser、Mobile、Syntheticsなどの各種New Relicエージェントや、PrometheusをはじめとしたOSSツールを経由してNew Relicプラットフォームに送信され、New Relic Database(NRDB)保存されます。保存期間は利用者のサブスクリプションレベルに応じます。利用者はNew Relic Web Portalを利用して、New RelicプラットフォームにWebブラウザやREST APIで接続し、詳細の分析、可視化を行うことができます。

New Relic全体イメージ図

データの収集、蓄積、分析のプラットフォームすべてをSaaSで提供しているため、利用者は分析基盤や各種モニタリングデータの収集基盤を用意することなく、エージェントを稼働させた数分後からモニタリングを開始することが可能となります。利用者に安心してNew Relicサービスをご利用いただくために、New Relicがどのようなセキュリティ対策を行っているか、利用者が考慮すべき観点からその考え方をご紹介したいと思います。

考慮すべきセキュリティのポイント

利用者が考慮すべきセキュリティのポイントを下記4つに分けてご紹介したいと思います。
① Security On Your Server(Agent Security)・・・エージェント経由で収集する情報について
② Security in Our Centers(Data Storage Security)・・・収集されたデータが保管されるNew Relicのデータセンターについて
③ Transmission Security・・・ネットワークの安全対策について
④ Security of Our Application・・・New Relic Web Portalの安全性について

New Relicで考慮すべきセキュリティのポイント

①Security On Your Server(Agent Security)

まず1つ目はNew Relicの各エージェントがどのようなデータを収集しているかという点です。New Relicエージェントを経由して、利用者の環境からインフラストラクチャ、アプリ、ブラウザ、モバイルに関するさまざまな情報(Metric、Event、Log、Trace)を収集します。New Relicではより安全に透明性高く利用していただくために各種エージェントのオープンソース化を進めており、すでにAPMのJAVA, PHP, C, Go, .NET, Node, Python, Ruby用のエージェント、およびInfrastructureエージェント、各種インテグレーション、Telemetry SDKがオープンソースとしてGitHub上で公開されています(2020年9月現在)。2021年にはBrowserエージェント、Mobileエージェントも公開される予定です。

各種エージェントのデフォルトのセキュリティ設定は、データのプライバシーを確保し、より安全にご利用いただくため、自動的に送信する情報の種類が制限されております。利用者のニーズに応じてこれらの設定を変更したり、カスタムイベント、カスタムアトリビュートを利用して利用者独自の情報を送信したりすることも可能です。

各種エージェント経由でどのような情報が取得されているかはすべて公式ドキュメントで公開されています。例えばAPMエージェントの場合、ControllerやDispatch、Viewのアクティビティ、データベースアクティビティ、外部Webアクセスコール、エクセプション、ランタイムスタックトレース、トランザクショントレース、プロセスメモリやCPU利用量、カスタムパラメーターなどが取得されます。セキュリティを考慮し、デフォルトではHTTPリクエストパラメーターはキャプチャされず、またSQLクエリ内のセンシティブ情報は自動的に削除されます。各エージェントのセキュリティ詳細は下記リンクを参照してください。

 

 

②Security in Our Centers(Data Storage Security)

次はNew Relicエージェント経由や各種OSSツール経由で収集したデータをNew Relicがどこにどう保管しているかという点です。New Relicはアメリカリージョンとヨーロッパリージョンの2つのリージョンを提供しており、New Relic利用開始時にアカウント毎に選択することができます。アメリカリージョンはイリノイ州とバージニア州に、ヨーロッパリージョンはドイツに存在し、ディザスターリカバリーを考慮した構成となっています。パフォーマンスデータは選択したリージョンのTier III SOC2に認定されたデータセンターに保管されます。

利用者のデータは、機密性、完全性、可用性を確保するためにさまざまな対策を実施しておおります。SOC2 Type2やFedRAMPなどの業界標準のセキュリティ監査を毎年受けており、毎年更新しています。またデータセンターやエージェントだけでなく、社内のセキュリティポリシー、プロセス、従業員についても最高レベルの検証を受けています。SOC2 Type2レポートなどはNDA前提でご提供可能です。

機能・運用面では「プライバシー・バイ・デザイン」の原則に従い、EU一般データ保護規則GDPRやカリフォルニア州 消費者プライバシー法CCPAの対応、データの削除・暗号化等の技術対応、従業員のトレーニング、内部プロセスの整備などを行っております。セキュリティポリシーや資格・監査情報、その他のより詳細なリソースについてはセキュリティに関するドキュメントを参照してください。

 

③Transmission Security

SaaSでプラットフォームを提供しており、インターネットを経由してデータを送受信するため、ネットワークのセキュリティも非常に重要となります。New Relicでは利用者のデータの機密性、完全性、可用性を確保するために、トランスポートレイヤ(ネットワーク)層は暗号化プロトコルTLS1.2を使用し、データを保護しています。また各エージェント経由の通信は、すべて利用者環境からアウトバウンドの通信のみ行います。各エージェントが通信するエンドポイントはすべてIP、ポートが公開されているので、よりセキュリティ高い設定が必要な場合は、アウトバウンドの通信を制限することが可能です。

④Security of Our Application

前述の通り、利用者はWebブラウザを利用してNew Relicプラットフォームに接続し、分析・可視化を行います。New Relicが提供するこのアプリケーションは継続的に脆弱性対策やウイルススキャン等のセキュリティ対策を実施しております。またアプリケーションのセキュリティを強化するために、シングルサインオン(SSO)機能も提供しております。

 

以上となります。

New Relicは、より完璧なソフトウェアを作るために、お客様が信頼しているデータのセキュリティを確保することに全力を尽くしています。

大手SIerでクラウドアーキテクトとして金融機関を中心としたエンタープライズ企業のクラウド導入をリード。その後、2020年1月よりNew RelicにJoin。AWS Top Engineers 2019、APN Ambassador2019。複数のクラウド関連書籍執筆。マイブームは2歳になる娘とにらめっこすること。好きなNew RelicサービスはALERTS。 View posts by .