Amazon Macie とは

Macie を使って、以下 2 つの方法で機密データの検出とレポートを自動化できます。機密データ検出を自動化するよう Macie を設定する方法と、機密データ検出ジョブを作成し実行する方法です。S3 オブジェクト内の機密データを検出すると、Macie は機密データの検出結果を作成します。この検出結果では、Macie によって検出された機密データの詳細なレポートが提供されます。

機密データの自動検出により、Amazon S3 データエステート内の機密データがどこに存在するかに幅広い可視性を提供しています。このオプションでは、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術によりバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。

機密データ検出ジョブでは、より詳細で対象を絞った分析が可能になります。このオプションを使用し、分析の幅と深さ、つまり、分析する S3 バケット、サンプリング深度、S3 オブジェクトのプロパティから派生するカスタム基準を定義します。ジョブは、オンデマンドの分析と評価用には 1 回のみ、定期的な分析、評価、監視用には継続的に実行するよう設定できます。

どちらのオプションでも、組織が Amazon S3 に保存するデータと、そのデータのセキュリティやコンプライアンスリスクに関する包括的なビューを構築して維持できます。

Macie で機密データ検出を検出するために、S3 バケット内のオブジェクトを分析するよう組み込まれた基準と手法 (機械学習やパターンマッチングなど) を使用することができます。これらの基準と手法は、マネージドデータ識別子と呼ばれ、複数タイプの個人を特定できる情報 (PII)、財務情報、認証情報データなど、多くの国や地域で増加している大規模な機密データタイプのリストを検出できます。

また、カスタムデータ識別子を使用することもできます。カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。これらの基準は、一致するテキストパターンを定義し、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) で設定されます。このタイプの識別子を使用すれば、お客様の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。

分析を微調整するのに[許可リスト]も使えます。許可リストは、Macie に S3 オブジェクトで無視させたい特定のテキストやテキストパターンを定義します。これらは通常、特定のシナリオや環境における機密データの例外です。例えば、組織の代表者氏名、組織の代表電話番号、組織がテストに使用するサンプルデータなどです。

Macie を有効化すると、Macie は S3 汎用バケットの完全なインベントリを自動的に生成し、それ以降維持します。また、Macie は、セキュリティとアクセスコントロールについてバケットのモニタリングと評価を開始します。Macie がバケットのセキュリティまたはプライバシーに関する潜在的な問題を検出すると、ユーザー用に ポリシーの調査結果を作成します。

特定の検出結果に加えて、ダッシュボードでは Amazon S3 データの集約統計スナップショットを提供します。これには、パブリックアクセス可能か、他の AWS アカウントと共有されているバケットの数など、主要な指標の統計が含まれます。各統計をドリルダウンして、そのサポートデータを確認できます

Macie はインベントリ内の個別のバケット詳細情報と統計も提供します。データには、バケットのパブリックアクセスと暗号化設定の内訳、およびバケット内の機密データを検出するために Macie が分析できるオブジェクトのサイズと数が含まれます。特定のフィールドで インベントリの参照、またはインベントリの並べ替えおよびフィルタリングを行うことができます。

Macie において検出結果とは、Macie が S3 オブジェクト内で検出した機密データ、または S3 汎用バケットのセキュリティまたはプライバシーに関する潜在的な問題の詳細なレポートのことです。各検出結果では、重要度評価、影響するリソースに関する情報、および Macie がデータや問題を検出したタイミングや方法などの追加の詳細が示されます。

調査結果の確認、分析、管理を行うには、Amazon Macie コンソールの 調査結果ページを使用できます。これらのページでは、調査結果をリスト化し、個別の調査結果の詳細を提供します。また、調査結果のグループ化、フィルタリング、並べ替え、および抑制のための複数のオプションも提供します。また、Amazon Macie API を使用して、調査結果をクエリ、取得、および抑制することもできます。API を使用する場合、データを別のアプリケーション、サービス、またはシステムに渡して、より詳細な分析、長期保存、またはレポートの作成を行うことができます。

他のサービスやシステムとの統合をサポートするために、Macie は調査結果イベントとして Amazon EventBridge に調査結果を発行します。EventBridge は、AWS Lambda 関数や Amazon Simple Notification Service (Amazon SNS) トピックなどのターゲットに調査結果データをルーティングできるサーバーレスイベントバスサービスです。EventBridge を使用すると、既存のセキュリティやコンプライアンスワークフローの一部として、ほぼリアルタイムで検出結果を監視、処理できます。

調査結果を AWS Security Hub に発行するように Macie を設定することもできます。Security Hub は、AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして環境をチェックするのに役立つサービスです。Security Hub を使用すると、AWS 内の組織のセキュリティ体制の広範な分析の一環として、検出結果をより簡単に評価して処理できます。また、複数の AWS リージョンからの検出結果を集約してから、1 つのリージョンから集計した検出結果データを評価して処理することもできます。

AWS 環境に複数のアカウントがある場合、環境内のアカウントについて Macie を集中管理することができます。Macie と AWS Organizations を統合するか、または Macie でメンバーシップの招待を送信しアクセプトする 2 つの方法で、これを行うことができます。

複数アカウント設定では、指定された Macie 管理者が特定のタスクを実行し、同じ組織のメンバーであるアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。タスクには、メンバーアカウントが所有する S3 バケットに関する情報の確認、それらのバケットのポリシー検出結果の確認、機密データのためのバケット検査が含まれます。アカウントが AWS Organizations を通じて関連付けられている場合、Macie 管理者は、組織内のメンバーアカウントに対して Macie を有効化することもできます。

Amazon Macie コンソールに加えて、Amazon Macie API を使用してMacie を操作することができます。Amazon Macie API は、Macie アカウント設定、データ、リソースへの包括的なプログラムによるアクセスを提供します。

プログラミングで Macie を操作するには、HTTPS リクエストを Macie に直接送信するか、最新バージョンの AWS コマンドラインツールまたは AWS SDKを使用します。AWS は、PowerShell、Java、Go、Python、C++、.NET など、さまざまな言語とプラットフォームのライブラリとサンプルコードで設定されるツールと SDK を提供しています。

AWS Management Console は、AWS リソースの作成と管理に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Amazon Macie コンソールは Macie アカウント、データ、リソースへのアクセスを提供します。Macie コンソールを使えば、S3 バケットに関する統計やその他情報の確認、機密データ検出ジョブの実行、検出結果の確認と分析など多くのタスクを実行することができます。

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行し、Macie タスクおよび AWS タスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、AWS Command Line Interface (AWS CLI) とAWS Tools for PowerShellという 2 セットのコマンドラインツールが用意されています。AWS CLI のインストールおよび使用の方法については、AWS Command Line Interface ユーザーガイドを参照してください。Tools for PowerShell のインストールおよび使用の方法については、AWS Tools for PowerShell ユーザーガイドを参照してください。

AWS は、さまざまなプログラミング言語とプラットフォーム (Java、Go、Python、C++、.NETなど) のライブラリとサンプルコードで設定される SDK を提供します。SDK は、Macie や他の AWS のサービス への便利なプログラムによるアクセスを提供します。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWS SDK のインストールと使用の詳細については、AWS での構築ツールを参照してください。

Amazon Macie REST API は、Macie アカウント、データ、リソースへの包括的なプログラムによるアクセスを提供します。この API を使用すると、HTTPS リクエストを Macie に直接送信できます。ただし、AWS コマンドラインツールや SDK とは異なり、この API を使用するには、リクエストに署名するハッシュの生成など、低レベルの詳細な作業をアプリケーションで処理する必要があります。この API の詳細については、Amazon Macie API リファレンスを参照してください。

AWS Security Hub では、AWS リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準およびベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS のサービス (Macie を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からのセキュリティの調査結果を利用、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub を使用すると、セキュリティの傾向を分析し、AWS 環境全体で最も優先度の高いセキュリティ問題を特定できます。

Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。Macie と Security Hub を一緒に使用する方法については、AWS Security Hub を使用して Macie の検出結果を評価するを参照してください。

Amazon GuardDuty は、Amazon S3 の AWS CloudTrail データイベントログおよび CloudTrail 管理イベントログなどの特定のタイプの AWS ログを分析して処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードおよび Machine Learning を使用して、お客様の AWS 環境内での予期しない、および潜在的に未許可で悪意のあるアクティビティを識別します。

GuardDuty の詳細については、Amazon GuardDuty ユーザーガイドを参照してください。