Browserモニタリングのセキュリティ

Browserモニタリングを使用すると、アプリケーションまたはサイトがウェブブラウザに読み込まれたときの動作に関する洞察を得ることができます。Browserは、このドキュメントで説明されているように、パフォーマンスデータのみを記録します。お客様が明示的に設定しないかぎり、監視対象アプリケーションが使用または保存するデータは記録しません

New Relicのセキュリティ対策の詳細については、当社のセキュリティとプライバシーのドキュメントを参照するか、New Relicのセキュリティウェブサイトをご覧ください。

レポートされるデータ

Browserは、さまざまな種類のデータをレポートして、ウェブサイトのパフォーマンスの分析を支援します。Browserは、Pro機能に登録している場合を除いて、ページビューデータのみをレポートします。AJAX要求、JavaScriptエラー、およびセッショントレースの機能を有効にすることもできます。

Browserは、ほとんどのタイプのデータにHTTPS暗号化を使用してデータを安全に転送します。Browserエージェントは、ドメインbam.nr-data.netを使用して、データをNew Relicのコレクターに転送します。

以下に、Browserがレポートするデータのタイプをまとめます。

ページビューデータ

このデータは以下で構成され、ページビューごとに1回レポートされます。

  • ページ読み込みタイミングデータ
  • ページにサービスを提供したサーバーサイドアプリケーションコントローラが使用可能な場合は、その名前(ページ内および転送中は難読化)
  • サーバーサイドアプリケーションコントローラが使用可能な場合は、それが設定したカスタムパラメーター(ページ内および転送中は難読化)
  • BrowserエージェントAPIが設定した追加のカスタムパラメーター(ページ読み込みの前に設定されている場合)

この情報は、ページビュー数ページに表示されます。データセキュリティ上の理由により、BrowserはURLクエリ文字列を記録または収集しません。

サーバーサイドデータは、New Relicがホストもインストゥルメントし、ブラウザを監視するインストゥルメンテーションをエージェントが挿入している場合にのみ収集できます。当社がこのデータを収集して提示する方法の詳細については、ページロードタイミングのインストゥルメンテーションをご覧ください。

AJAXタイミングデータ

有効にすると、Browserは、ユーザーがページを離れるか、ページを閉じるまで、AJAXタイミングデータを定期的にレポートします(New Relicは、2分を超えるAJAX要求を自動的に除外します)。以下のデータが含まれます。

  • AJAX要求のURLのホスト名、ポート、およびパス(検索/クエリのパラメーターは除く)
  • 応答のHTTPステータスコード
  • 要求メッセージの本文のバイトサイズ
  • ブラウザのインストゥルメンテーションがNew Relicエージェントによって挿入されている場合は、AJAX要求にサービスを提供するサーバーサイドアプリケーションコントローラの名前およびサーバーサイドタイミングデータ(ページ内および転送中は難読化)
  • AJAXトランザクションのタイミングデータ
  • AJAXコールバックのタイミングデータ

この情報は、AJAXページに表示されます

JavaScriptエラーのデータ

有効にすると、Browserは、ユーザーがページを離れるか、ページを閉じるまで、ページのすべてのエラーのデータを定期的にレポートします。この情報は、JavaScriptエラーページに表示されます

各エラーに対して、以下のデータが含まれます。

  • エラーの例外クラス
  • 任意のテキストを含むエラーメッセージ
  • エラーのスタックトレース(エラーの原因になった関数の名前およびスクリプトのURLが含まれることがあります)

エラーメッセージには、一般にいかなる機密情報も含まれません。ただし、意図的に機密情報を使用してメッセージを作成することもできます。JavaScriptエラーレポートを有効にする前に、ウェブサイトのエラーメッセージにいかなる機密情報も公開されていないことを確認してください。

セッショントレースデータ

有効にすると、Browserは、ユーザーがページを離れるか、ページを閉じるまで、ユーザーインタラクション、AJAXの読み込み、JavaScriptエラーを含めて、その単一のページのライフサイクルの詳細に関するデータを定期的にレポートします。New Relicは、10分後にデータの記録を自動的に停止します。以下のデータが含まれます。

  • アセット読み込みタイミングの詳細
  • スクロール、マウス操作、クリックなどのユーザーインタラクション
  • JavaScriptエラーのタイミングおよびその他のJavaScriptエラーの情報
  • トリガーされたJavascriptイベント

セッショントレースは、監視対象のページビューから一定の周期でランダムに取得されます。セッショントレース情報はセッショントレースページに表示されます

SPAデータ

Browserのシングルページアプリケーション(SPA)の監視を使用すると、New Relicは以下のデータをページ読み込みまたはルート変更ごとに1回レポートします。

SPAの監視を有効にすると、この情報がページビューページに表示されます

サーバーサイドデータは、New Relicがホストもインストゥルメントし、ブラウザを監視するインストゥルメンテーションをエージェントが挿入している場合にのみ収集できます。当社がこのデータを収集して提示する方法の詳細については、ページロードタイミングのインストゥルメンテーションをご覧ください。

URLクエリ文字列

Browserエージェントは、HTTPリファラー属性を使用してページのURLを追跡します。ユーザーがURLに入力したクエリデータには機密情報が含まれることがあります(ユーザー名など)。データセキュリティ上の理由により、BrowserはURLクエリ文字列を記録または収集しません。

ビジターのIPアドレス

Browserは、ビジターのIPアドレスを使用して、追加のビジターセグメンテーションのデータを修飾します。ASNgeoIDなどの詳細は、IPアドレスからBrowserデータにマップされます。データセキュリティ上の理由により、BrowserはレポートするビジターのIPアドレスを保持しません。IPアドレスは、New Relicコレクターへの要求によるHTTPヘッダーから取得します。

New Relicは、属性をマップした後にビジターのIPアドレスを保持しません。IPアドレスの値は、データ収集によって24時間以内に上書きされます。

ブラウザタイプ

Browserは、User-AgentヘッダーおよびブラウザのIPアドレスに基づく地理的な位置からブラウザタイプを特定します。New Relicは、パフォーマンスデータに関連付けられている国と地域のみを保持し、IPアドレスは保持しません。

この情報は、選択したアプリケーションの地理ページに表示されます。個々のブラウザタイプの詳細は、選択したアプリケーションのブラウザページに表示されます

CDNアクセス

ページ読み込みタイミングには、New RelicユーティリティのJavaScriptファイル(nr.js)がホストされているコンテンツ配信ネットワーク(CDN)へのアクセスが必要です。ファイル(js-agent.newrelic.com)のドメイン名は静的に残りますが、パスの番号(バージョン)は定期的に変化することがあります。

scriptタグがCDNのJavaScriptを参照するNew Relicエージェントによって挿入され(スタンドアロンアプリケーションの場合は、ウェブページに貼り付けられる)、その後にブラウザによって読み込まれます。読み込まれたJavaScriptは、ドメインbam.nr-data.netにメトリックスを動的に収集してレポートします。

エンドユーザーがファイアウォールまたはプロキシの内側にあり、CDNまたは(bam.nr-data.netを含む)New Relicのネットワークにアクセスできない場合、Browserは機能しません。

クッキー

Browserモニタリングは、エンドユーザーのブラウザにクッキーを作成します。ユーザーがクッキーを無効にすると、ページ読み込みタイミング(リアルユーザー監視(RUM)とも呼ばれます)は、セッションを適切に追跡できなくなります。ユーザーがNavigation Timing Specification APIをサポートしていない古いブラウザを使用している場合も、ページ読み込みタイミングは応答時間を正確に追跡できません。

Browserエージェントの995より古いバージョンによって生成されたNew Relicのクッキーには、secure属性が含まれないことがあります。これは、995以前のバージョンのページ読み込みタイミングのデータ転送では、ページがHTTPの場合にHTTPを使用し、HTTPSの場合にHTTPSを使用するためです。バージョン995以降のすべてのBrowserエージェントは、クッキーに常にsecureフラグを使用してHTTPS経由で転送します。

JavaScriptとAJAXのデータには、より機密性の高い情報が含まれる可能性があるため、常にHTTPS経由で転送されます。HTTP経由のクッキーの転送またはJavaScriptからのクッキーへのアクセスは、セキュリティに関連する決定を行ったり、アカウントへのアクセスを許可するためにクッキーを使用することがないため、重大なセキュリティリスクにはなりません。これらは、個人を特定できるデータが難読化された状態で、パフォーマンスデータの収集にのみ使用されます。

EU GDPR/PECR ICO ガイドラインに基づくものなど、Cookieの収集に関する特別なガイドラインの対象となっているお客様のために、アプリケーションの Cookie 収集を無効にするオプションを提供するようになりました。詳細については、Browser エージェント v1169 のリリースノートをご覧ください。

P3Pを使用するサイトは、クッキーを許可するように設定する必要があります。

JSONP要求

ページ読み込みタイミングのメトリックスは、JSONP要求とも呼ばれるScript GETを使用してNew Relicにレポートされます。Script GETが返す値はクッキーに保存され、トレースのキャプチャをトリガーするために使用されます。

その他のヘルプ

さらに支援が必要な場合は、これらのサポートと学習リソースを確認してください: