ログには決して表示してはならない情報は何ですか？[閉まっている]

ログ（アプリケーションのトレース）に表示してはならないものについて、会社のガイドラインを作成しようとしています。実際には、一部の開発者は、トレース内のできるだけ多くの情報として含めるようにしようと、それは危険なこれらのログを保存すること、およびそれらを提出する非常に危険な彼女は、この気にしませんので、お客様は、この情報が格納されている知っていない場合は特に、ドキュメントや警告メッセージを決して読んでいない。

たとえば、ファイルを処理する場合、一部の開発者はファイルの名前をトレースしたいと思われます。たとえば、ファイル名をディレクトリに追加する前に、エラー時にすべてをトレースすると、たとえば、追加された名前が長すぎること、およびコードのバグが連結された文字列。これは役立ちますが、これは機密データであり、決してログに表示してはいけません。

同じやり方で：

• パスワード、
• IPアドレスとネットワーク情報（MACアドレス、ホスト名など）¹、
• データベースアクセス、
• ユーザーおよび保存されたビジネスデータからの直接入力

トレースに表示されることはありません。

それでは、他にどんな種類の情報をログから追放する必要があるのでしょうか？私が使用できるガイドラインはすでに書かれていますか？

^{¹明らかに、私はIISやApacheのログなどについて話をしているのではありません。私が話しているのは、信頼されていないエンティティのアクティビティを追跡するのではなく、アプリケーション自体をデバッグすることだけを目的として収集される情報です。}

編集：回答とコメントをありがとう。私の質問はあまり正確ではないので、コメントで尋ねられた質問に答えようとします。

• ログで何をしているのですか？

アプリケーションのログはメモリに保存される場合があります。つまり、ローカルホストのハードディスクにプレーンで、データベースに、プレーンに、またはWindowsイベントに保存されます。すべての場合において、懸念はそれらのソースが十分に安全でないかもしれないということです。たとえば、顧客がアプリケーションを実行し、このアプリケーションがログを一時ディレクトリのプレーンテキストファイルに保存すると、PCに物理的にアクセスできる人は誰でもそれらのログを読むことができます。

アプリケーションのログはインターネット経由でも送信できます。たとえば、顧客がアプリケーションに問題がある場合、このアプリケーションをフルトレースモードで実行し、ログファイルを送信するように依頼できます。また、一部のアプリケーションは、クラッシュレポートを自動的に送信する場合があります（そして、機密データに関する警告がある場合でも、ほとんどの場合、顧客はそれらを読みません）。

• 特定の分野について話していますか？

いいえ。一般的なビジネスアプリケーションのみに取り組んでいるので、機密データはビジネスデータのみです。特定の規制の対象となる健康やその他の分野に関連するものはありません。しかし、それについてお話しいただきありがとうございます。おそらく、ガイドラインに含めることができるものについての手がかりを得るために、これらのフィールドを見てみる必要があります。

• データを暗号化する方が簡単ではありませんか？

いいえ。特にC＃診断とを使用する場合は、すべてのアプリケーションが非常に難しくなりTraceSourceます。また、承認を管理する必要がありますが、これは最も簡単なことではありません。最後に、顧客から提出されたログについて話している場合、機密データにアクセスすることなく、ログを読み取ることができる必要があります。したがって、技術的には、機密情報をログに一切含めず、それらのログがどのように、どこに保存されているかを気にすることは簡単です。

これを処理する最善の方法は、ログファイルをアプリケーションの単なる別のユーザーインターフェイスとして扱うことだと思います。情報がテキストファイルに保存されているという事実は、ユーザーインターフェイスの通常の画面に表示される情報と内容をまったく異ならせません。

通常のユーザーインターフェイスに表示する場合、同じ情報をどのように保護するかを考えてください。ユーザーが誰であるかを特定し、このユーザーが表示する資格のある情報のみを公開する必要があります。

ログファイルの情報は同じように扱われなければなりません。最初に、ログファイルを見るために誰を誘うべきか、そして誰がどの情報を見ることができるかを正確に答える必要があります。

適切に設計されていないログファイルを渡すことは、大きなセキュリティリスクです。何らかのデータをブラックリストに登録することで、それに対する良い解決策が得られるとは思わない。より良い戦略は、各ログファイルに記録できる内容をホワイトリストに登録し、それからログファイルをボトムアップで設計することです。

クレジットカード情報は決して記録されるべきではありません。

ID番号（米国のSSNやイスラエルのTeudat Zehutなど）。

ネットワークコンピューター名、ネットワーク共有パス。

1996年の健康保険の携行性と責任に関する法律（HIPAA）でカバーされている個人を特定できる健康情報。 この記事では、次の例を示します。

• 医師の診察の記録や医師や他の医療従事者のスタッフが作成したメモなど、ヘルスケアの申し立てまたはヘルスケアの遭遇情報。
• 医療費の支払いと送金に関するアドバイス。
• 医療給付の調整;
• ヘルスケアの請求ステータス。
• 健康計画への登録および登録解除。
• 健康プランの資格。
• 健康保険料の支払い;
• 紹介の認証と承認;
• 怪我の最初の報告;
• ヘルスクレームの添付ファイル。

セキュリティが懸念される場合は、ログファイルを暗号化します

頭の上から....

クレジットカード情報はログに記録しないでください。SSN（またはSIN）データはログに記録しないでください。

...もちろん例外があります。SINデータを管理するクレジットカード会社や政府機関の中央データストアで働いている場合は、記録する必要があります。処理/管理中です。

うん、でも。

いくつかの問題をデバッグするには、実際のデータが必要です。

したがって、バランスの取れたゲームをプレイする必要があります。実際には、主要なクライアントが機密データや機密データと見なすものとそうでないものについて話し合い、同意する必要があります。複数のクライアントが同意しない場合は、すべての機密事項にラベルを付けるのが面倒になる可能性のあるクライアントに正当化できない限り、そのすべての側面について最悪のシナリオを採用します。

私は航空管制、金融、銀行業で働いてきました。あらゆる状況に機密データがあります。機密データを処理することが避けられないタスクがあります。そのような場合は、信頼できる人と仕事をすることをできる限り確認する必要があります。このリスクは、そのようなデータにアクセスする前に同意する法的条項によって多少緩和することができます（非開示契約、有効なビジネス上の理由のみでのデータの使用、データへのアクセスの制限、契約の遵守または執行の不履行に対する検察罰...） -そして、それらを追跡することを可能にする関連プロセス。

データが重要な場合は、このデータの整合性、一貫性、セキュリティを保護するシステムをセットアップする際に費用を支払う必要があります。

つまり、「どのデータ」という質問をするのは正しいということです。本当にあなたは自分で答えます：それのほとんどはビジネスに関連しています。したがって、自分に答えられないかどうかクライアントに尋ねてください。上記のすべてを念頭に置き、発生する可能性のある問題を特定して修正する方法を保持してください。

コーディング中に面白いと思われるメッセージをログに記録します。あなたはそれらを面白く見つけることはありませんし、彼らは永遠にそこにいるでしょう-ちょうど悪いアドバイスのブログ/フェイスブック/ツイッターの投稿のように！

ログメッセージを鈍くしてください:)