概要
この記事では各種SaaSのAPIアクセスログを入手する方法をまとめています。
SaaS提供会社との契約内容によって入手方法が異なる可能性がありますので、この記事を参考に、事前にご確認いただくことを推奨させていただきます。
背景
私が所属するMSP開発セクションではSaaSを多数活用しています。
これらのSaaSに対してセキュリティや監査の観点から、アクセスの透明性を確保し、悪意あるアクセスや意図せぬアクセスがないか、など確認しておく必要があります。そこで各SaaSのアクセスログ入手方法を調査しましたので、本記事で共有させていただきます!
Backlog
プラチナプラン・プラチナクラシックプランで契約しているスペースの場合は、毎月10日ごろに前月のアクセスログのダウンロードリンクがスペースのオーナー宛てにメールで送付されます。会社で利用している場合は、社内のルールに従ってスペースオーナーにアクセスログの提供を依頼するという流れになると思います。
PagerDuty
PagerDutyでは2種類のAPIを提供していますが、アクセスログログを入手することはできません。ただし、PagerDutyのサポートチーム宛てにメール(support@pagerduty.com)で必要情報を送付し、悪意のある第三者からのアクセスがなかったかを確認していただくことはできます。
サポートチームに送付する必要情報の例を以下に記載します。
- アカウント情報
- 調査対象期間
- アクセス元情報
- APIキー(前半はマスクし下4桁を連絡すればOK)
- 使用しているAPI
など
Slack
問い合わせサイトからAPIアクセスログの提供を依頼することができます。
問い合わせは、プライマリオーナーが行う必要があります。
依頼時に必要な情報を以下に記載します。
タイトル
APIアクセスログの提供依頼
本文
依頼理由など
必要情報
- ワークスペースの URL
2.利用したトークンの情報
①ユーザートークンの場合
→ app name、キー、アクセス元、User Name、使用しているAPI、など
※キーは最後の部分は省略してください → xoxp-9999999999-999999999999-999999999999-省略
②ボットトークンの場合
→ app name、キー、アクセス元
※キーは最後の部分は省略してください → xoxb-9999999999-999999999999-999999999999-省略
3.提供してほしい証跡の期間(日時、および時間まで指定)
→ 例)2023/04/01 00:00 〜 本日(最新日時)まで
Datadog
事前にオーガニゼーションの設定で「Datadog Audit Trail(監査証跡)」を有効化することで、リクエストイベントを追跡してそのイベントに到達する API 呼び出しを確認することができます(有効化する以前の証跡は確認不可)。ただし、月額利用料の2%の料金がかかります。
New Relic
2種類のキーがあり、キーによって入手可否が異なります。
①Ingest 用ライセンスキー
New Relic へのデータ送信専用のキーで、アクセスログには対応していません。
②Userキー
設定変更操作に使用するキーで、アクセスログに対応しています。
User キーのアクセス記録は、New Relic 上でクエリすることが可能です。
おわりに
各SaaSごとにAPIキーの種類があったり、アクセスログを取得できたりできなかったりとさまざまです。万が一インシデントが発生した際は迅速な対応が必要で、影響範囲の特定、手分けしてキーのローテーション、悪意のある第三者からのアクセス確認など、てんやわんやになることが想定されますので、普段からの備えとして本記事がお役に立てば幸いです。