機密性の高いログデータをマスキングで保護する - Amazon CloudWatch Logs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密性の高いログデータをマスキングで保護する

ロググループデータ保護ポリシー を使用して、 CloudWatch ログによって取り込まれた機密データを保護することができます。これらのポリシーを使うことで、アカウントのロググループが取り込んだログイベントに表示される機密データを、監査およびマスクできます。

データ保護ポリシーを作成すると、デフォルトでは、選択したデータ識別子に一致する機密データは、 CloudWatch Logs Insights、メトリクスフィルター、サブスクリプションフィルターなど、すべての出力ポイントでマスクされます。マスクされていないデータを閲覧できるのは、logs:Unmask IAMアクセス許可を持つユーザーのみです。

アカウントのすべてのロググループに対してデータ保護ポリシーを作成できます。また、個々のロググループのデータ保護ポリシーも作成できます。アカウント全体に対するポリシーを作成すると、既存のロググループと今後作成するロググループの両方に、ポリシーが適用されます。

アカウント全体に対するデータ保護ポリシーを作成し、1 つのロググループに対するポリシーも作成すると、そのロググループには両方のポリシーが適用されます。いずれかのポリシーで指定されたマネージドデータ識別子は、すべてそのロググループで監査およびマスクされます。

各ロググループで設定できるロググループレベルのデータ保護ポリシーは 1 つのみです。ただしそのポリシーでは、監査およびマスキングの対象となるマネージドデータ識別子を複数指定できます。データ保護ポリシーの文字数の上限は、30,720 文字です。

重要

機密データは、ロググループに取り込まれるときに検出され、マスクされます。データ保護ポリシーを設定しても、それ以前にロググループに取り込まれたログイベントはマスクされません。

CloudWatch ログデータ保護を使用すると、パターンマッチングと機械学習モデルを活用して機密データを検出できます。使用される基準と手法は、マネージドデータ識別子と呼ばれます。これらの手法で、財務データ、個人を特定できる情報、保護対象保健情報など、多くの国や地域の機密データタイプの大規模なリストを検出できます。データの種類によっては、機密データに密接に関連する特定のキーワードを検出できるかどうかにも依存します。

選択したデータ識別子と一致する機密データが検出され CloudWatch ると、メトリクスが に出力されます。これは LogEventsWithFindingsメトリクスで、AWS/Logs 名前空間に出力されます。このメトリクスを使用して CloudWatch アラームを作成し、グラフやダッシュボードで可視化できます。データ保護によって発行されたメトリクスは無料で提供されるメトリクスなので、料金はかかりません。 CloudWatch Logs が に送信するメトリクスの詳細については CloudWatch、「」を参照してくださいCloudWatch メトリクスによるモニタリング

各マネージドデータ識別子は、特定の国または地域のクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号など、特定のタイプの機密データを検出するように設計されています。データ保護ポリシーを作成する際に、これらの識別子を使用してロググループが取り込んだログを分析し、検出された場合にアクションを実行するように設定できます。

CloudWatch ログデータ保護では、マネージドデータ識別子を使用して、次のカテゴリの機密データを検出できます。

  • プライベートキーや AWS シークレットアクセスキーなどの認証情報

  • クレジットカード番号などの財務情報

  • 運転免許証や社会保障番号などの個人を特定できる情報 (PII)

  • 健康保険または医療識別番号などの保護対象保健情報 (PHI)

  • IP アドレスや MAC アドレスなどのデバイス識別子

保護できるデータの種類の詳細については、「保護できるデータの種類」を参照してください。

目次