Amazon Macie で機密データを検出する

Amazon Macie を使用すると、Amazon Simple Storage Service (Amazon S3) データ資産内の機密データの検出、ログ記録、レポート作成を自動化できます。これには 2 つの方法があります。1 つはアカウントまたは組織の機密データの自動検出を実行するように Macie を設定する方法で、もう 1 つはアカウントまたは組織の機密データ検出ジョブを作成して実行することです。

機密データの自動検出

機密データの自動検出により、Amazon S3 データエステート内の機密データがどこに存在するかに幅広い可視性を提供しています。このオプションでは、Macie は S3 バケットインベントリを毎日評価し、サンプリング技術を使用してバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。詳細については、機密データ自動検出を実行するを参照してください。

機密データ検出ジョブ

機密データ検出ジョブでは、より詳細で対象を絞った分析が可能になります。このオプションでは、選択する特定の S3 バケット、または特定の条件に一致するバケットなど、分析の範囲と深さを定義します。S3 オブジェクトのプロパティから派生するカスタム基準などのオプションを選択して、その分析の範囲を絞り込むこともできます。また、ジョブは、オンデマンドの分析および評価では 1 回のみ、または定期的な分析、評価、およびモニタリングでは繰り返しベースで実行するように設定できます。詳細については、機密データ検出ジョブの実行を参照してください。

機密データの自動検出と機密データ検出ジョブのいずれの場合も、各機密データ検出ジョブは、Macie が提供したマネージドデータ識別子、お客様が定義したカスタムデータ識別子、または 2 つの組み合わせを使用して、S3 オブジェクトを分析できます。許可リストを使用して分析を微調整することもできます。

マネージドデータ識別子

マネージドデータ識別子 は、特定の種類の機密データ (たとえば、クレジットカード番号、AWS シークレットアクセスキー、または特定の国または地域のパスポート番号) を検出するように設計された組み込み型の基準と手法のセットです。これらは、複数のタイプの認証情報データ、財務情報、個人を特定できる情報 (PII) など、多くの国や地域の機密データタイプの大規模かつ増加しているリストを検出できます。詳細については、マネージドデータ識別子の使用を参照してください。

カスタムデータ識別子

カスタムデータ識別子は、機密データを検出するためのカスタム条件を定義します。基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現)から設定されています。それらを使用して、従業員 ID、顧客アカウント番号、内部データの分類など、特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。詳細については、カスタムデータ識別子の構築を参照してください。

許可リスト

Macie では、許可リストは S3 オブジェクトで無視するテキストとテキストパターンを指定します。これは通常、特定のシナリオや環境における機密データの例外 (組織の公開名や電話番号、組織がテストに使用するサンプルデータなど) です。Macie が許可リストのエントリまたはパターンと一致するテキストを見つけた場合、そのテキストがマネージドデータ識別子またはカスタムデータ識別子の基準に一致していても、Macie はそのテキストの出現を報告しません。詳細については、許可リストでの機密データの例外の定義を参照してください。

Macie が S3 オブジェクトを分析すると、Macie は Amazon S3 からオブジェクトの最新バージョンを取得し、オブジェクトの内容に機密データがないか検査します。以下が当てはまる場合、Macie はオブジェクトを分析できます。

• オブジェクトはサポートされているファイルまたはストレージ形式を使用し、サポートされているストレージクラスを使用して Amazon S3 に直接保存されます。詳細については、サポートされているストレージクラスとフォーマットを参照してください。

• オブジェクトが暗号化されている場合、Macie がアクセス可能で使用を許可されているキーを用いて暗号化されます。詳細については、暗号化された S3 オブジェクトの分析を参照してください。

• 制限バケットポリシーがあるバケットにオブジェクトが保存されている場合、ポリシーにより、Macie はバケット内のオブジェクトへのアクセスが許可されます。詳細については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。

Macieは、お客様がデータセキュリティおよびプライバシーに関する要件を満たし、コンプライアンスを維持できるよう、機密データを発見し、分析を実行した記録機密データの検出および機密データの検出結果を作成します。機密データの調査結果は、Macie がオブジェクトで検出した機密データの詳細なレポートです。機密データの検出結果は、オブジェクトの分析に関する詳細を記録するレコードです。各タイプのレコードは、標準化されたスキーマに従っており、必要に応じて他のアプリケーション、サービス、システムを使用して、そのクエリ、モニタリング、および処理に役立ちます。

ヒント

Macie は Amazon S3 向けに最適化されていますが、現在別の場所に保存されているリソース内の機密データを検出するために使用できます。これを行うには、データを Amazon S3 に一時的または永続的に移動します。たとえば、Amazon Relational Database Service または Amazon Aurora のスナップショットを Apache Parquet 形式で Amazon S3 にエクスポートします。あるいは、Amazon DynamoDB テーブルを Amazon S3 にエクスポートします。その後、ジョブを作成して Amazon S3 内のデータを分析できます。

トピック

• マネージドデータ識別子の使用
• カスタムデータ識別子の構築
• 許可リストでの機密データの例外の定義
• 機密データ自動検出を実行する
• 機密データ検出ジョブの実行
• 暗号化された S3 オブジェクトの分析
• 機密データ検出結果の保存と保持
• サポートされているストレージクラスとフォーマット