Amazon Macie とは

Macie を使って、以下 2 つの方法で機密データの検出とレポートを自動化できます。機密データ検出を自動化するよう Macie を設定する方法と、機密データ検出ジョブを作成し実行する方法です。S3 オブジェクト内の機密データを検出すると、Macie は機密データの検出結果を作成します。検出結果には、Macie が検出した機密データの詳細レポートが表示されます。

機密データの自動検出により、Amazon S3 データエステート内の機密データがどこに存在するかに幅広い可視性を提供しています。このオプションでは、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術によりバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。

機密データ検出ジョブでは、より詳細で対象を絞った分析が可能になります。このオプションを使用し、分析の幅と深さ、つまり、分析する S3 バケット、サンプリング深度、S3 オブジェクトのプロパティから派生するカスタム基準を定義します。ジョブは、オンデマンドの分析と評価用には 1 回のみ、定期的な分析、評価、監視用には継続的に実行するよう設定できます。

どちらのオプションでも、組織が Amazon S3 に保存するデータと、そのデータのセキュリティやコンプライアンスリスクに関する包括的なビューを構築して維持できます。

Macie で機密データ検出を検出するために、S3 バケット内のオブジェクトを分析するよう組み込まれた基準と手法 (機械学習やパターンマッチングなど) を使用することができます。マネージドデータ識別子と呼ばれるこれらの基準と手法は、複数のタイプの個人を特定できる情報 (PII）、財務情報、認証情報データなど、多くの国や地域の機密データタイプの大規模で増加しているリストを検出できます。

また、カスタムデータ識別子を使用することもできます。カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。これらの基準は、一致するテキストパターンを定義し、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) で設定されます。このタイプの識別子を使用すれば、お客様の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。

分析を微調整するのに[許可リスト]も使えます。許可リストは、Macie に S3 オブジェクトで無視させたい特定のテキストやテキストパターンを定義します。これらは通常、特定のシナリオや環境における機密データの例外です。例えば、組織の代表者氏名、組織の代表電話番号、組織がテストに使用するサンプルデータなどです。

Macie を有効にすると、Macie は S3 汎用バケットの完全なインベントリを自動的に生成して維持を開始します。また、Macie はセキュリティとアクセスコントロールのためバケットの評価と監視を開始します。Macie がバケットのセキュリティまたはプライバシーに関する潜在的な問題を検出すると、ユーザー用に ポリシーの調査結果を作成します。

特定の検出結果に加えて、ダッシュボードでは Amazon S3 データの集約統計スナップショットを提供します。これには、パブリックにアクセス可能なバケットの数や、他の と共有されているバケットの数など、主要なメトリクスの統計が含まれます AWS アカウント。各統計をドリルダウンして、そのサポートデータを確認できます

Macie はインベントリ内の個別のバケット詳細情報と統計も提供します。データには、バケットのパブリックアクセスと暗号化設定の内訳、およびバケット内の機密データを検出するために Macie が分析できるオブジェクトのサイズと数が含まれます。特定のフィールドで インベントリの参照、またはインベントリの並べ替えおよびフィルタリングを行うことができます。

Macie では、検出結果は、Macie が S3 オブジェクトで検出した機密データの詳細なレポート、または S3 汎用バケットのセキュリティまたはプライバシーに関する潜在的な問題です。各検出結果には、重大度評価、影響を受けるリソースに関する情報、および Macie がデータや問題をいつ、どのように検出したかなどの追加情報が表示されます。

調査結果の確認、分析、管理を行うには、Amazon Macie コンソールの 調査結果ページを使用できます。これらのページでは、調査結果をリスト化し、個別の調査結果の詳細を提供します。また、調査結果のグループ化、フィルタリング、並べ替え、および抑制のための複数のオプションも提供します。Amazon Macie を使用して、検出結果のAPIクエリ、取得、抑制を行うこともできます。を使用する場合API、データを別のアプリケーション、サービス、またはシステムに渡すことで、より詳細な分析、長期ストレージ、またはレポートを行うことができます。

Macie は、他のサービスやシステムとの統合をサポートするために、検出結果を検出イベントとして Amazon に発行 EventBridgeします。 EventBridge は、検出結果を AWS Lambda 関数や Amazon Simple Notification Service (Amazon SNS) トピックなどのターゲットにルーティングできるサーバーレスイベントバスサービスです。を使用すると EventBridge、既存のセキュリティおよびコンプライアンスワークフローの一部として、ほぼリアルタイムで検出結果をモニタリングおよび処理できます。

調査結果を AWS Security Hubに発行するように Macie を設定することもできます。Security Hub は、 AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境を確認するのに役立つサービスです。Security Hub を使用すると、 での組織のセキュリティ体制のより広範な分析の一環として、調査結果をより簡単に評価および処理できます AWS。また、複数の から結果を集約し AWS リージョン、1 つのリージョンから集約された結果データを評価して処理することもできます。

AWS 環境内に複数のアカウントがある場合は、環境内のアカウントの Macie を一元管理できます。これは、Macie を と統合するか、Macie でメンバーシップの招待を送受信 AWS Organizations することで、2 つの方法で行うことができます。

複数アカウント設定では、指定された Macie 管理者が特定のタスクを実行し、同じ組織のメンバーであるアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。タスクには、メンバーアカウントが所有する S3 バケットに関する情報の確認、それらのバケットのポリシー検出結果の確認、機密データのためのバケット検査が含まれます。アカウントが を通じて関連付けられている場合 AWS Organizations、Macie 管理者は組織内のメンバーアカウントに対して Macie を有効にすることもできます。

Amazon Macie コンソールに加えて、Amazon Macie を使用して Amazon Macie APIとやり取りできます。Amazon Macie APIは、Macie アカウント設定、データ、リソースへの包括的でプログラムによるアクセスを提供します。

Macie とプログラムでやり取りするには、HTTPSリクエストを Macie に直接送信するか、 AWS コマンドラインツールまたは AWS .provides ツールの最新バージョンを使用します AWS SDK。SDKsこれらのツールは、 PowerShell、、Java、Go、Python、C++、 などのさまざまな言語やプラットフォームのライブラリとサンプルコードで構成されますNET。

AWS Management Console は、リソースの作成と管理 AWS に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Amazon Macie コンソールは Macie アカウント、データ、リソースへのアクセスを提供します。Macie コンソールを使えば、S3 バケットに関する統計やその他情報の確認、機密データ検出ジョブの実行、検出結果の確認と分析など多くのタスクを実行することができます。

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して Macie タスクを実行できます AWS 。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface （AWS CLI) と の 2 セットのコマンドラインツールが用意されています AWS Tools for PowerShell。のインストールと使用の詳細については AWS CLI、AWS Command Line Interface 「 ユーザーガイド」を参照してください。Tools for のインストールと使用の詳細については PowerShell、AWS Tools for PowerShell 「 ユーザーガイド」を参照してください。

AWS は、Java、Go、Python、C++、 など、さまざまなプログラミング言語とプラットフォームのライブラリとサンプルコードSDKsで構成されますNET。SDKs は、Macie やその他の への便利でプログラムによるアクセスを提供します AWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。のインストールと使用の詳細については AWS SDKs、「 で構築するツール AWS」を参照してください。

Amazon Macie RESTAPIは、Macie アカウント、データ、リソースへの包括的でプログラムによるアクセスを提供します。この を使用するとAPI、Macie に直接HTTPSリクエストを送信できます。ただし、 AWS コマンドラインツールや とは異なりSDKs、これを使用するには、アプリケーションがリクエストに署名するためのハッシュの生成などの低レベルの詳細を処理するAPI必要があります。この の詳細についてはAPI、Amazon Macie APIリファレンス」を参照してください。

AWS Security Hub は、 AWS リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS のサービス (Macie を含む) およびサポートされている AWS Partner Network (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。Macie と Security Hub を一緒に使用する方法については、による Macie の検出結果の評価 AWS Security Hubを参照してください。

Amazon GuardDuty は、Amazon S3 AWS CloudTrail のデータイベント AWS ログや CloudTrail 管理イベントログなど、特定のタイプのログを分析および処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、 AWS 環境内の予期しないアクティビティや、潜在的に許可されていないアクティビティや悪意のあるアクティビティを特定します。

の詳細については GuardDuty、「Amazon GuardDuty ユーザーガイド」を参照してください。