安全なログ記録を始めよう

NCDC.co.LTD All Rights Reserved. はじめに開発・分析にログは不可欠でもうっかりセキュアな情報（個人情報・パスワード・機密など）がログに残ると大変なことに → 削除するのが大変、インシデント、最悪訴訟など… 大きなログ漏洩事例
ログから個人情報や機密が漏洩する事例はしばしば起きている Typetalk (2023 年) : ログからemail, OAuth2.0 のcredential が漏洩 Kid Security App (2023 年) : ユーザーデータを含む3 億件のログが漏洩 Pegasus Airline (2022 年) : ログを含むデータが漏洩し、ログにパスワードや秘密鍵が含まれていた

NCDC.co.LTD All Rights Reserved. 許可リスト形式の例 function safeLog(data) { const safeFields
= ['id', 'status', 'timestamp']; const logObject = {}; safeFields.forEach(field => { if (data[field] !== undefined) logObject[field] = data[field]; }); console.log(JSON.stringify(logObject)); } safeLog({ name: "John", password: "foo123", id: "1", status: 200, timestamp: "2025/05/21T10:00:00.123Z", }) // { // "id": "1", // "status": 200, // "timestamp": "2025/05/21T10:00:00.123Z" // }

NCDC.co.LTD All Rights Reserved. 拒否リスト形式：危険なものをログから隠す原則記録する危険と指定したデータのみマスクする仕組みどうやる？ object の特定キーがあったときに別の文字列に置き換える
ハッシュ化や暗号化などをしたものをログに出力する

NCDC.co.LTD All Rights Reserved. 拒否リスト形式の例 function redactLog(data) { const sensitiveFields
= ['mail', 'email', 'password', 'name', 'token']; // 危険なkey const logObject = {...data}; sensitiveFields.forEach(field => { if (logObject[field]) logObject[field] = '***REDACTED***'; }); console.log(JSON.stringify(logObject)); } redactLog({ name: "John", password: "foo123", id: "1", status: 200, timestamp: "2025/05/21T10:00:00.123Z", }) // { // "name": "***REDACTED***", // "password": "***REDACTED***", // "id": "1", // "status": 200, // "timestamp": "2025/05/21T10:00:00.123Z" // }

NCDC.co.LTD All Rights Reserved. どう使うの？２つのアプローチを組み合わせる。まず、ログを書くときは必要かつ安全な情報だけをえらぶように心がける：許可リスト思考そのうえで、共通の仕組みでマスク処理をガードレールとして実装しておく：禁止リストの実装 logger の中で書き換える仕組みを使うとよい
pino のredact option winston のformatter nestjs のintercepter

NCDC.co.LTD All Rights Reserved. その他考えたこと Q. 特定key をマスクする場合、nest したオブジェクトについて再帰的に処理する必要があるのでは？そうですね
そもそも深いnest があるオブジェクトをログに出す必要があるか？ sentry は送信時にnest のdepth 上限を決めて、それ以上は[object] として送っている Q. ユーザーが自由に入力できる項目に個人情報などが記載されたら？正規表現でマスクする、などは可能ではあるが網羅性・未検知などもあるのであまりやりたくないできるだけ入力しない仕組みにしたい UI 上で特定キーワードはフィルタリングする注意喚起をする何がsensitive な情報なのか、どのkey を指定するべきかはドメインに依る扱っているデータと向き合う

安全なログ記録を始めよう

安全なログ記録を始めよう

Takegata

More Decks by Takegata

Other Decks in Technology

Featured

Transcript

NCDC.co.LTD All Rights Reserved. 安全なログ記録をはじめよう Scrub/Redact Sensitive Data Takegata Jumpei

NCDC.co.LTD All Rights Reserved. ロギングしてますか？

NCDC.co.LTD All Rights Reserved. 安全にログを書きたい

NCDC.co.LTD All Rights Reserved. どうするか？ 2 つのアプローチ許可リスト形式：安全なものだけ記録する拒否リスト形式：危険なものを記録しない

NCDC.co.LTD All Rights Reserved. 許可リスト形式：安全なものだけログに出力する原則記録しない安全だとわかっているものだけを選択して、明示的に記録する

NCDC.co.LTD All Rights Reserved. 許可リスト形式の例 function safeLog(data) { const safeFields

NCDC.co.LTD All Rights Reserved. 拒否リスト形式：危険なものをログから隠す原則記録する危険と指定したデータのみマスクする仕組みどうやる？ object の特定キーがあったときに別の文字列に置き換える

NCDC.co.LTD All Rights Reserved. 拒否リスト形式の例 function redactLog(data) { const sensitiveFields

NCDC.co.LTD All Rights Reserved. その他考えたこと Q. 特定key をマスクする場合、nest したオブジェクトについて再帰的に処理する必要があるのでは？そうですね

NCDC.co.LTD All Rights Reserved. まとめログをセキュアにするには小さな取り組みからまずは一度ログをaddress, token などでgrep してみませんか？

NCDC.co.LTD All Rights Reserved. 参考 https://github.com/pinojs/pino/blob/main/docs/redaction.md https://github.com/winstonjs/winston?tab=readme-ov-file#formats