Amazon Macie とは

Macie を使って、以下 2 つの方法で機密データの検出とレポートを自動化できます。機密データ検出を自動化するよう Macie を設定する方法と、機密データ検出ジョブを作成し実行する方法です。S3 オブジェクト内の機密データを検出すると、Macie は機密データの検出結果を作成します。この検出結果では、Macie によって検出された機密データの詳細なレポートが提供されます。

機密データの自動検出により、Amazon S3 データエステート内の機密データがどこに存在するかに幅広い可視性を提供しています。このオプションでは、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術によりバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。

機密データ検出ジョブでは、より詳細で対象を絞った分析が可能になります。このオプションを使用し、分析の幅と深さ、つまり、分析する S3 バケット、サンプリング深度、S3 オブジェクトのプロパティから派生するカスタム基準を定義します。ジョブは、オンデマンドの分析と評価用には 1 回のみ、定期的な分析、評価、監視用には継続的に実行するよう設定できます。

どちらのオプションでも、組織が Amazon S3 に保存するデータと、そのデータのセキュリティやコンプライアンスリスクに関する包括的なビューを構築して維持できます。

Macie で機密データ検出を検出するために、S3 バケット内のオブジェクトを分析するよう組み込まれた基準と手法 (機械学習やパターンマッチングなど) を使用することができます。これらの基準と手法は、マネージドデータ識別子と呼ばれ、複数タイプの個人を特定できる情報 (PII)、財務情報、認証情報データなど、多くの国や地域で増加している大規模な機密データタイプのリストを検出できます。

また、カスタムデータ識別子を使用することもできます。カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。これらの基準は、一致するテキストパターンを定義し、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) で設定されます。このタイプの識別子を使用すれば、お客様の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。

分析を微調整するには、許可リストを使用することもできます。許可リストは、Macie に S3 オブジェクトで無視させたい特定のテキストやテキストパターンを定義します。これらは通常、特定のシナリオや環境における機密データの例外です。例えば、組織の代表者氏名、組織の代表電話番号、組織がテストに使用するサンプルデータなどです。

Macie を有効にすると、Macie は S3 汎用バケットのインベントリを自動的に生成し、維持を開始します。また、Macie はセキュリティとアクセスコントロールのためバケットの評価と監視を開始します。Macie がバケットのセキュリティまたはプライバシーに関する潜在的な問題を検出すると、ユーザー用に ポリシーの調査結果を作成します。

検出結果に加えて、ダッシュボードには Amazon S3 データの集約された統計のスナップショットが表示されます。これには、パブリックアクセス可能か、他の AWS アカウントと共有されているバケットの数など、主要な指標の統計が含まれます。各統計をドリルダウンして、そのサポートデータを確認できます

Macie はインベントリ内の個別のバケット詳細情報と統計も提供します。データには、バケットのパブリックアクセスと暗号化設定の内訳、およびバケット内の機密データを検出するために Macie が分析できるオブジェクトのサイズと数が含まれます。特定のフィールドで インベントリの参照、またはインベントリの並べ替えおよびフィルタリングを行うことができます。

Macie において検出結果とは、Macie が S3 オブジェクト内で検出した機密データ、または S3 汎用バケットのセキュリティまたはプライバシーに関する潜在的な問題の詳細なレポートのことです。各検出結果では、重要度評価、影響するリソースに関する情報、および Macie がデータや問題を検出したタイミングや方法などの追加の詳細が示されます。

検出結果を確認、分析、管理するには、Amazon Macie コンソールの検出結果ページを使用できます。これらのページでは、調査結果をリスト化し、個別の調査結果の詳細を提供します。また、調査結果のグループ化、フィルタリング、並べ替え、および抑制のための複数のオプションも提供します。Amazon Macie API を使用して、検出結果を取得して確認することもできます。API を使用する場合、データを別のアプリケーション、サービス、またはシステムに渡して、より詳細な分析、長期保存、またはレポートの作成を行うことができます。

他の サービスやシステムとの統合をサポートするために、Macie は検出結果をイベントとして Amazon EventBridge に発行します。EventBridge は、 AWS Lambda 関数や Amazon Simple Notification Service (Amazon SNS) トピックなどのターゲットに検出結果データをルーティングできるサーバーレスイベントバスサービスです。EventBridge を使用すると、既存のセキュリティやコンプライアンスワークフローの一部として、ほぼリアルタイムで検出結果を監視、処理できます。

調査結果を AWS Security Hubに発行するように Macie を設定することもできます。Security Hub は、 AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立つサービスです。Security Hub を使用すると、 AWS内の組織のセキュリティ体制の広範な分析の一環として、検出結果をより簡単に評価して処理できます。また、複数の から結果を集約し AWS リージョン、1 つのリージョンから集約された結果データを評価して処理することもできます。

AWS 環境に複数のアカウントがある場合は、環境内のアカウントの Macie を一元管理できます。これを行うには、Macie を と統合 AWS Organizations するか、Macie でメンバーシップの招待を送信および受け入れるという 2 つの方法があります。

複数アカウント設定では、指定された Macie 管理者が特定のタスクを実行し、同じ組織のメンバーであるアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。タスクには、メンバーアカウントが所有する S3 バケットに関する情報の確認、それらのバケットのポリシー検出結果の確認、機密データのためのバケット検査が含まれます。アカウントが を介して関連付けられている場合 AWS Organizations、Macie 管理者は組織内のメンバーアカウントに対して Macie を有効にすることもできます。

Amazon Macie コンソールに加えて、Amazon Macie API を使用してMacie を操作することができます。Amazon Macie API は、Macie の設定、データ、リソースへの包括的なプログラムによるアクセスを提供します。

Macie とプログラムでやり取りするには、HTTPS リクエストを Macie に直接送信するか、最新バージョンの AWS コマンドラインツールまたは AWS SDK を使用できます。 は、PowerShell、Java、Go、Python、C++、.NET などのさまざまな言語とプラットフォームのライブラリとサンプルコードで構成されるツールと SDKs AWS を提供します。

AWS Management Console は、 リソースの作成と管理 AWS に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Amazon Macie コンソールは Macie アカウント、データ、リソースへのアクセスを提供します。Macie コンソールを使えば、S3 バケットに関する統計やその他情報の確認、機密データ検出ジョブの実行、検出結果の確認と分析など多くのタスクを実行することができます。

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して、Macie タスクと AWS タスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface （AWS CLI) と の 2 セットのコマンドラインツールが用意されています AWS Tools for PowerShell。のインストールと使用の詳細については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。Tools for PowerShell のインストールおよび使用の方法については、AWS Tools for PowerShell ユーザーガイドを参照してください。

AWS はSDKs を提供します。SDKs は、Macie やその他の への便利なプログラムによるアクセスを提供します AWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。 AWS SDKs」を参照してください。 AWS

Amazon Macie REST API は、Macie アカウント、データ、リソースへの包括的なプログラムによるアクセスを提供します。この API を使用すると、HTTPS リクエストを Macie に直接送信できます。ただし、 AWS コマンドラインツールや SDKs とは異なり、この API を使用するには、アプリケーションがリクエストに署名するためのハッシュの生成など、低レベルの詳細を処理する必要があります。この API の詳細については、Amazon Macie API リファレンスを参照してください。

AWS Security Hub は、 AWS リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS のサービス (Macie を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。Macie と Security Hub を一緒に使用する方法については、を使用した Macie の検出結果の評価 AWS Security Hubを参照してください。

Amazon GuardDuty は、Amazon S3 AWS CloudTrail のデータイベント AWS ログや CloudTrail 管理イベントログなど、特定のタイプのログを分析して処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、 AWS 環境内の予期しないアクティビティや、潜在的に不正なアクティビティや悪意のあるアクティビティを特定します。

GuardDuty の詳細については、Amazon GuardDuty ユーザーガイドを参照してください。