Amazon Macie とは

Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービスです。

組織の Amazon Simple Storage Service (Amazon S3) データ資産のセキュリティ体制を管理するために、Macie は S3 汎用バケットのインベントリを提供し、セキュリティとアクセスコントロールのためにバケットを自動的に評価およびモニタリングします。Macie は、バケットがパブリックアクセス可能になっているなど、データのセキュリティまたはプライバシーに関する潜在的な問題を検出した場合、必要に応じて確認および修正するための検出結果を生成します。

Macieはまた機密データの検出とレポートを自動化するので、組織が Amazon S3 に保存しているデータをより詳細に把握できるようになります。機密データを検出するには、Macie が提供する組み込み型の基準と手法、ユーザーが定義するカスタム基準、またはこの 2 つの組み合わせを使用できます。Macie が S3 オブジェクト内の機密データを検出すると、Macie は検出結果を生成して、検出した機密データを通知します。

検出結果に加えて、Macie は Amazon S3 データのセキュリティ体制と機密データがデータ資産内に存在する可能性のある場所に関するインサイトを提供する統計と情報を提供します。統計と情報は、特定の S3 バケットとオブジェクトのより深い調査を実行する決定をガイドできます。Amazon Macie コンソールまたは Amazon Macie Amazon Macie API を使用して、結果、統計、その他の情報を確認および分析できます。また、Macie と Amazon EventBridge および の統合を活用して、他の のサービス、アプリケーション、システムを使用して検出結果を AWS Security Hub モニタリング、処理、修正することもできます。

Amazon Macie の機能

Amazon Macie を使用して Amazon S3 で機密データを検出、監視、保護するための主要な方法をいくつか紹介します。

機密データの検出を自動化する

Macie を使って、以下 2 つの方法で機密データの検出とレポートを自動化できます。機密データ検出を自動化するよう Macie を設定する方法と、機密データ検出ジョブを作成し実行する方法です。S3 オブジェクト内の機密データを検出すると、Macie は機密データの検出結果を作成します。検出結果は、Macie が検出した機密データの詳細なレポートを提供します。

機密データの自動検出により、Amazon S3 データエステート内の機密データがどこに存在するかに幅広い可視性を提供しています。このオプションでは、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術によりバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。

機密データ検出ジョブでは、より詳細で対象を絞った分析が可能になります。このオプションを使用し、分析の幅と深さ、つまり、分析する S3 バケット、サンプリング深度、S3 オブジェクトのプロパティから派生するカスタム基準を定義します。ジョブは、オンデマンドの分析と評価用には 1 回のみ、定期的な分析、評価、監視用には継続的に実行するよう設定できます。

どちらのオプションでも、組織が Amazon S3 に保存するデータと、そのデータのセキュリティやコンプライアンスリスクに関する包括的なビューを構築して維持できます。

さまざまな機密データタイプを発見する

Macie で機密データ検出を検出するために、S3 バケット内のオブジェクトを分析するよう組み込まれた基準と手法 (機械学習やパターンマッチングなど) を使用することができます。これらの基準と手法は、マネージドデータ識別子と呼ばれ、複数タイプの個人を特定できる情報 (PII)、財務情報、認証情報データなど、多くの国や地域で増加している大規模な機密データタイプのリストを検出できます。

また、カスタムデータ識別子を使用することもできます。カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。これらの基準は、一致するテキストパターンを定義し、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) で設定されます。このタイプの識別子を使用すれば、お客様の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。

分析を微調整するのに許可リストも使えます。許可リストは、Macie に S3 オブジェクトで無視させたい特定のテキストやテキストパターンを定義します。これらは通常、特定のシナリオや環境における機密データの例外です。例えば、組織の代表者氏名、組織の代表電話番号、組織がテストに使用するサンプルデータなどです。

セキュリティとアクセスコントロールについてデータを評価してモニタリングする

Macie を有効にすると、Macie は S3 汎用バケットの完全なインベントリを自動的に生成し、維持を開始します。また、Macie はセキュリティとアクセスコントロールのためバケットの評価と監視を開始します。Macie がバケットのセキュリティまたはプライバシーに関する潜在的な問題を検出すると、ユーザー用に ポリシーの調査結果を作成します。

特定の検出結果に加えて、ダッシュボードでは Amazon S3 データの集約統計スナップショットを提供します。これには、パブリックにアクセス可能または他の と共有されているバケットの数など、主要なメトリクスの統計が含まれます AWS アカウント。各統計をドリルダウンして、そのサポートデータを確認できます

Macie はインベントリ内の個別のバケット詳細情報と統計も提供します。データには、バケットのパブリックアクセスと暗号化設定の内訳、およびバケット内の機密データを検出するために Macie が分析できるオブジェクトのサイズと数が含まれます。特定のフィールドで インベントリの参照、またはインベントリの並べ替えおよびフィルタリングを行うことができます。

調査結果を確認して分析する

Macie では、検出結果は、Macie が S3 オブジェクトで検出した機密データの詳細なレポート、または S3 汎用バケットのセキュリティまたはプライバシーに関する潜在的な問題です。各検出結果には、重要度評価、影響を受けるリソースに関する情報、Macie がデータや問題をいつどのように検出したかなどの追加の詳細が表示されます。

調査結果の確認、分析、管理を行うには、Amazon Macie コンソールの 調査結果ページを使用できます。これらのページでは、調査結果をリスト化し、個別の調査結果の詳細を提供します。また、調査結果のグループ化、フィルタリング、並べ替え、および抑制のための複数のオプションも提供します。また、Amazon Macie API を使用して、調査結果をクエリ、取得、および抑制することもできます。API を使用する場合、データを別のアプリケーション、サービス、またはシステムに渡して、より詳細な分析、長期保存、またはレポートの作成を行うことができます。

他のサービスおよびシステムを用いた調査結果のモニタリングと処理

他の のサービスやシステムとの統合をサポートするために、Macie は検出結果を検出結果イベントとして Amazon に発行します EventBridge。 EventBridge は、検出結果を AWS Lambda 関数や Amazon Simple Notification Service (Amazon SNS) トピックなどのターゲットにルーティングできるサーバーレスイベントバスサービスです。を使用すると EventBridge、既存のセキュリティおよびコンプライアンスワークフローの一部として、結果をほぼリアルタイムでモニタリングおよび処理できます。

調査結果を AWS Security Hubに発行するように Macie を設定することもできます。Security Hub は、 AWS 環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立つサービスです。Security Hub を使用すると、 AWS内の組織のセキュリティ体制の広範な分析の一部として、検出結果をより簡単にモニタリングおよび処理できます。また、複数の から結果を集約し AWS リージョン、1 つのリージョンから集約された結果データをモニタリングして処理することもできます。

複数の Macie アカウントを集中管理する

AWS 環境に複数のアカウントがある場合は、環境内のアカウントの Macie を一元管理できます。これは、Macie を と統合するか、Macie でメンバーシップの招待を送信および承諾 AWS Organizations することで、2 つの方法で行うことができます。

複数アカウント設定では、指定された Macie 管理者が特定のタスクを実行し、同じ組織のメンバーであるアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。タスクには、メンバーアカウントが所有する S3 バケットに関する情報の確認、それらのバケットのポリシー検出結果の確認、機密データのためのバケット検査が含まれます。アカウントが を通じて関連付けられている場合 AWS Organizations、Macie 管理者は組織内のメンバーアカウントに対して Macie を有効にすることもできます。

リソースをプログラムで開発して管理する

Amazon Macie コンソールに加えて、Amazon Macie API を使用してMacie を操作することができます。Amazon Macie API は、Macie アカウント設定、データ、リソースへの包括的なプログラムによるアクセスを提供します。

Macie とプログラムでやり取りするには、HTTPS リクエストを Macie に直接送信するか、最新バージョンの AWS コマンドラインツールまたは AWS SDK を使用できます。 AWS は PowerShell、、、Java、Go、Python、C++、.NET などのさまざまな言語とプラットフォーム用のライブラリとサンプルコードで構成されるツールと SDKs を提供します。

Amazon Macie にアクセスする

Amazon Macie はほとんどの で利用可能です AWS リージョン。Macieが現在利用可能なリージョンのリストについては、AWS 全般のリファレンスのAmazon Macieエンドポイントとクォータを参照してください。の 管理 AWS リージョン の詳細については AWS アカウント、「 AWS Account Management リファレンスガイド」の AWS リージョン 「アカウントで使用できる の指定」を参照してください。

各リージョンで、次のいずれかの方法で Macie を使用できます。

AWS Management Console

AWS Management Console は、 リソースの作成と管理 AWS に使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Amazon Macie コンソールは Macie アカウント、データ、リソースへのアクセスを提供します。Macie コンソールを使えば、S3 バケットに関する統計やその他情報の確認、機密データ検出ジョブの実行、検出結果の確認と分析など多くのタスクを実行することができます。

AWS コマンドラインツール

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して、Macie タスクと AWS タスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。

AWS には、 AWS Command Line Interface （AWS CLI) と の 2 セットのコマンドラインツールが用意されています AWS Tools for PowerShell。のインストールと使用については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。Tools for のインストールと使用については PowerShell、「 AWS Tools for PowerShell ユーザーガイド」を参照してください。

AWS SDK

AWS はSDKs を提供します。SDKs、Macie やその他の への便利なプログラムによるアクセスを提供します AWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。 AWS SDKsで構築するツール AWS」を参照してください。

Amazon Macie REST API

Amazon Macie REST API は、Macie アカウント、データ、リソースへの包括的なプログラムによるアクセスを提供します。この API を使用すると、HTTPS リクエストを Macie に直接送信できます。ただし、 AWS コマンドラインツールや SDKsを使用するには、アプリケーションがリクエストに署名するためのハッシュの生成など、低レベルの詳細を処理する必要があります。この API の詳細については、Amazon Macie API リファレンスを参照してください。

Amazon Macie の料金

他の AWS 製品と同様に、Amazon Macie を使用するための契約や最低契約金はありません。

Macie の料金は、セキュリティとアクセスコントロール用 S3 バケット評価と監視、機密データ自動検出用 S3 オブジェクト監視、オブジェクト内機密データの検出と報告用 S3 オブジェクト分析、といったいくつかの体系に基づいて設定されています。詳細については、Amazon Macie 料金表を参照してください。

Macie の使用コストを理解して予測するために、Macie はアカウントの推定使用コストを提供します。Amazon Macie コンソールでこれらの見積もりを確認して、Amazon Macie API でそれらにアクセスできます。サービスの使用方法によっては、Amazon S3 からバケットデータを取得したり、カスタマーマネージド を使用して分析のためにオブジェクトを復号化したりするなど、他の を特定の Macie 機能 AWS のサービス と組み合わせて使用すると、追加料金が発生する場合があります。 AWS KMS keys

Macie を初めて有効にすると、 AWS アカウント は Macie の 30 日間の無料トライアルに自動的に登録されます。これには、 AWS Organizationsで組織の一部として有効化されている個別のアカウントが含まれます。無料トライアル期間中は、該当する で Macie を使用して S3 バケットのセキュリティとアクセスコントロールを評価およびモニタリング AWS リージョン するための料金はかかりません。アカウントの設定によっては、無料トライアルに Amazon S3 データの機密データ自動検出実行が含まれる場合もあります。無料トライアルには、S3 オブジェクト内機密データ検出とレポートのための機密データ検出ジョブ実行は含まれません。

無料トライアル終了後の Macie の使用コストを理解して予測できるように、Macie はトライアルの間の Macie の使用状況に基づく推定使用コストを提供します。使用状況データには、無料トライアルが終了するまでの残り時間も示されます。Amazon Macie コンソールでこのデータを表示して、Amazon Macie API でそのデータにアクセスできます。

関連サービス

のデータ、ワークロード、アプリケーションをさらに保護するには AWS、以下を Amazon Macie AWS のサービス と組み合わせて使用することを検討してください。

AWS Security Hub

AWS Security Hub は、 AWS リソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして AWS 環境をチェックするのに役立ちます。これは、複数の AWS のサービス (Macie を含む) およびサポートされている AWS パートナーネットワーク (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub は、セキュリティの傾向を分析し、 AWS 環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。

Security Hub の詳細については、AWS Security Hub ユーザーガイドを参照してください。Macie と Security Hub を一緒に使用する方法については、Amazon Macie の AWS Security Hub との統合を参照してください。

Amazon GuardDuty

Amazon GuardDuty は、Amazon S3 AWS CloudTrail のデータイベント AWS ログや CloudTrail 管理イベントログなど、特定のタイプのログを分析および処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードや機械学習を使用して、 AWS 環境内の予期しないアクティビティや、潜在的に不正なアクティビティや悪意のあるアクティビティを特定します。

の詳細については GuardDuty、「Amazon ユーザーガイド GuardDuty 」を参照してください。

その他の AWS セキュリティサービスの詳細については、「 のセキュリティ、アイデンティティ、コンプライアンス AWS」を参照してください。