ユーザーをログに記録するときに、ユーザーのIPアドレスをハッシュする必要がありますか？

したがって、IPは実際にはPII（または個人を特定できる情報）と見なされる場合があるため、IPを保護する必要があるかどうかを検討する必要があります。ただし、これは通常、たとえばメールアドレスなど、他のPIIを保護する方法を超える長さになるという意味ではありません。

いずれにせよ、従来のハッシュはおそらく効果のないメカニズムになるでしょう。存在する可能性のあるIP v4アドレスは40億しかないので、実際には、それよりもはるかに小さいアドレス空間を扱っているのが現実です。これは、ハッシュを持つ攻撃者がそれらのハッシュをもたらすIPアドレスを計算することは比較的簡単であることを意味します。 2つのリクエストが同じIPアドレスに関連付けられていることをおそらく知りたいため、ソルティングは通常この場合は役に立ちません。既存のハッシュを新しいリクエストに関連付けられたIPアドレスのハッシュと簡単に比較することはできません。すべてのハッシュが一意にソルト化されている場合。

HMACのような関数を使用して、ソルトなしでキー付きハッシュを潜在的に使用できます。これは、キーを安全に保つことができると仮定すると、互いに比較できるハッシュにつながるだけでなく、ハッシュを持っている攻撃者がキーを作成するために使用したIPアドレスに関連付けることはできませんが、キーは関連付けられません。ただし、キーが攻撃者によって取得された場合、これは従来のハッシュよりも安全ではありません。

一般的に言えば、ここでのリスクは、このレベルの緩和策の複雑さを要求しないことをお勧めします。追加する（および維持する必要がある）複雑さは、おそらく、追加のセキュリティよりも重要だと思います。ただし、アプリケーションで実際にIPアドレスが非常に機密であり、並外れた保護を保証することを考慮する必要がある場合は、キー付きハッシュ関数の使用を検討してください。

No。（警告の可能性あり）

データを保存することによってもたらされるリスクは、収集するデータとその使用方法に完全に依存します。

IPアドレスのみを記録する場合、問題はありません。

ログにIPアドレスと名前が含まれている場合は、境界に近づき始めますが、ほとんどの法域ではおそらく問題ありません。

ログにIPアドレス、名前、実際のアドレス、健康または医療情報などが含まれている場合、いくつかの規制に違反します。つまり、要件はIPアドレスではなくPIIを暗号化することですが、IPアドレスcanがPIIになることもあります（ Xanderの回答 を参照）。

私の注意点は、ユーザーを罰する可能性のある体制でユーザーにサービスを提供する場合、ハッシュはユーザーをより安全にするのに役立つかもしれません。

これは明らかに管轄に依存します！ドイツでは、IPアドレスは個人情報と見なされます。たとえば、 ここ または ここ ドイツ語を話す場合。

基本的に、サービスを提供するために必要な場合にのみ、IPを保存することが許可されています。これは、Webサイトでは、宛先にすべてのIPパケットを送信した後で削除する必要があることを意味します（基本的に、通常の方法でログに記録することはできず、Webサーバーのメモリにのみ保存することを意味します）例外があります。 eコマースサイトの詐欺防止のため。ただし、不要になった場合は（つまり、お金を受け取った後）削除する必要があります。

IPアドレスの最後のブロックを削除した場合は問題ありません。IPアドレスの最後のブロックを削除すると、1人のユーザーを識別できなくなるためです。それはまた、いくつかの政府関連組織によって適切な方法として提案されています！ハッシュからIPを計算するのは簡単なので、IPv4アドレスのハッシュは機能しません。 IPv6アドレスの提案がわかりません。最後の数ビットを削除しても、通常は/ 64サブネットが取得されるため、明らかに機能しません。

オーストリア でも同じです （通知 あなたが個人データを処理していることを政府機関に通知する必要があります!!!そこに登録しないと、理論上は罰金を科すことさえできます！私はどんな事件も知りませんが、法律はそう言っています。

医療情報を保存している場合は、米国では 医療保険の相互運用性と説明責任に関する法律（HIPAA） が IPアドレスを「保護された健康情報」として定義している