機密データ検出ジョブの作成 - Amazon Macie
開始する前にステップ 1: S3 バケットを選択するステップ 2: S3 バケットの選択または基準を確認するステップ 3: スケジュールを定義し、範囲を絞り込むステップ 4: マネージドデータ識別子を選択するステップ 5: カスタムデータ識別子を選択するステップ 6: 許可リストの選択ステップ 7: 全般設定を入力ステップ 8: 確認して作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密データ検出ジョブの作成

Amazon Macie を使用すると、機密データ検出ジョブを作成して実行し、Amazon Simple Storage Service (Amazon S3) バケット内の機密データの検出、ログ記録、レポート作成を自動化できます。機密データ検出ジョブは、Amazon S3 オブジェクト内の機密データを検出して報告するために Macie が実行する一連の自動処理および分析タスクです。分析が進むにつれて、Macie は検出した機密データと実行した分析に関する詳細なレポートを作成します。機密データ検出結果では、Macie が個々の S3 オブジェクト内で検出した機密データを報告し、機密データ検出結果では、個々の S3 オブジェクトの分析に関するログ詳細を記録します。詳細については、ジョブの統計と結果の確認を参照してください。

ジョブを作成するときは、最初に、ジョブ実行時 Macie で分析するオブジェクトがどの S3 バケットに含まれるかを指定します (選択した特定のバケットか特定の基準に一致するバケットかを指定) 。次に、ジョブを 1 回実行するか、毎日、毎週、または毎月ベースで実行するか、その頻度を指定します。また、オプションを選択して、ジョブの分析範囲を絞り込むこともできます。オプションには、タグやプレフィックスなどの S3 オブジェクトのプロパティから派生するカスタム基準やオブジェクト最終更新日時があります。

ジョブのスケジュールと範囲を定義した後、ジョブで使用するマネージドデータ識別子とカスタムデータ識別子を指定します。

  • マネージドデータ識別子は、特定の種類の機密データ (たとえば、クレジットカード番号、AWSシークレットアクセスキー、または特定の国または地域のパスポート番号) を検出するように設計された組み込み型の基準と手法のセットです。これらの識別子は、複数タイプの認証情報データ、財務情報、個人健康情報 (PHI)、個人を特定できる情報 (PII) など、多くの国や地域で増加している大規模な機密データタイプのリストを検出できます。詳細については、マネージドデータ識別子の使用を参照してください。

  • カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。カスタムデータ識別子を使用すると、従業員 ID、顧客アカウント番号、内部データの分類など、組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。詳細については、カスタムデータ識別子の構築を参照してください。

次に、必要に応じてジョブで使用する許可リストを選択します。許可リストは、Macie に無視させたいテキストまたはテキストパターン (通常、特定のシナリオや環境における機密データの例外 — 例えば、公開されている組織の代表者名や電話番号、または組織がテストに使用するサンプルデータなど) を指定します。詳細については、許可リストでの機密データの例外の定義を参照してください。

これらのオプションの選択が完了したら、ジョブの名前やジョブの詳細など、ジョブの一般的な設定を入力できます。その後、ジョブを確認して保存します。

開始する前に

ジョブを作成する前に、次のステップを実行することをお勧めします。

  • 機密データの検出結果を S3 バケットに保存するように Macie を設定したことを確認します。これを行うには、Amazon Macie コンソールのナビゲーションペインで 検出結果 を選択します。次に、入力した設定を検証します。これらの設定の詳細については、機密データ検出結果の保存と保持を参照してください。

  • ジョブで使用するカスタムデータ識別子を作成します。この方法の詳細は、カスタムデータ識別子の構築を参照してください。

  • ジョブで使用する許可リストを作成します。この方法の詳細は、許可リストの作成と管理を参照してください。

  • 暗号化された S3 オブジェクトを分析する場合は、Macie が正しい暗号化キーにアクセスして使用できることを確認してください。詳細については、暗号化された S3 オブジェクトの分析を参照してください。

  • 制限があるバケットポリシーを持つ S3 バケット内のオブジェクトを分析する場合は、Macie がオブジェクトにアクセス許可されているか確認してください。詳細については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。

ジョブ作成の前にこれらの処理を行えば、ジョブ作成が効率化され、確実にジョブが対象データを分析できるようになります。

ステップ 1: S3 バケットを選択する

ジョブを作成する最初のステップは、ジョブ実行時 Macie が分析するオブジェクトを含む S3 バケットを指定することです。このステップでは、2 つのオプションがあります。

  • 特定のバケットを選択する — このオプションでは、ジョブで分析する各 S3 バケットを明示的に選択します。次に、ジョブが実行されると、選択したバケット内のオブジェクトのみが分析されます。

  • バケット基準を指定する — このオプションでは、ジョブが分析する S3 バケットを決定するランタイム基準を定義します。基準は、バケットプロパティから派生する 1 つ以上の条件で設定されます。次に、ジョブが実行されると、基準に一致するバケットが識別され、それらのバケット内のオブジェクトが分析されます。

これらのオプションの詳細な情報については、ジョブの範囲のオプションを参照してください。

以下のセクションでは、各オプションの選択および設定の手順について説明します。目的のオプションのセクションを選択します。

ジョブで分析する各 S3 バケットを明示的に選択する場合、Macie は現在の AWS リージョン 内バケットの完全なインベントリを提供します。次に、このインベントリを使用して、分析するジョブの 1 つ以上のバケットを選択できます。このインベントリの詳細については、特定のバケットを選択するを参照してください。

お客様が組織の Macie 管理者である場合、インベントリには、組織のメンバーアカウントによって所有されているバケットが含まれます。最大 1,000 個のアカウントで設定される、最大 1,000 個のこれらのバケットでオブジェクトを分析するためのジョブを設定できます。

ジョブで特定のバケットを選択するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで ジョブを選択します。

  3. ジョブの作成を選択します。

  4. S3 バケットを選択するページで、特定のバケットを選択する を選択します。Macie は、現在のリージョン内のアカウントのすべてのバケットのテーブルを表示します。

  5. S3 バケットを選択 のセクションで、必要に応じてリフレッシュ The refresh button, which is a button that contains an empty, dark gray circle with an arrow を選択して、Amazon S3 から最新バケットメタデータを取得します。

    情報アイコン A blue circle with a blue, lowercase letter i in it がバケット名の横に表示された場合、これを行うことをお勧めします。このアイコンは、Macie が daily refresh cycle (毎日の更新サイクル) の一部として Amazon S3 からバケットとオブジェクトメタデータをおそらく最後に取得した後の過去 24 時間にバケットが作成されたことを示します。

  6. テーブルで、ジョブで分析する各バケットのチェックボックスをオンにします。

    ヒント

    • 特定のバケットをより簡単に検索するには、テーブルの上にあるフィルターボックスにフィルター条件を入力します。列見出しを選択して、テーブルを並べ替えることもできます。

    • バケット内のオブジェクトを定期的に分析するジョブを既に設定したかを判断するには、ジョブによるモニタリング フィールドを参照します。はい がフィールドに表示される場合、バケットは定期的なジョブに明示的に含まれるか、あるいは、バケットが過去 24 時間以内の定期的なジョブの条件に一致したことになります。さらに、それらのジョブの少なくとも 1 つのステータスは キャンセルされません。Macie は毎日ベースでこのデータを更新します。

    • 既存の定期的な設定か、あるいは、直近の 1 回限りのバケット内オブジェクト分析ジョブになっているかを判断するには、最新のジョブ実行 フィールドを参照します。そのジョブの追加の情報については、バケットの詳細を参照してください。

    • バケットの詳細を表示するには、バケットの名前を選択します。ジョブ関連情報に加えて、詳細パネルには、バケットのパブリックアクセス設定など、バケットに関する統計やその他の情報が表示されます。このデータの詳細については、S3 バケットインベントリを確認するを参照してください。

  7. バケットの選択が終了したら、次へを選択します。

次のステップでは、選択内容を確認します。

ジョブが分析する S3 バケットを決定するランタイム基準を指定する場合、Macie は基準内の個別の条件のフィールド、演算子、および値を選択するのに役立つオプションを提供します。これらのオプションの詳細については、S3 バケット基準の指定を参照してください。

ジョブのバケット基準を指定するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで ジョブ を選択します。

  3. ジョブの作成を選択します。

  4. S3 バケットを選択するページで、バケット基準を指定する を選択します。

  5. バケット基準を指定する の下で、以下を実行して、条件を基準に追加します。

    1. フィルターボックスにカーソルを置き、条件に使用するバケットプロパティを選択します。

    2. 最初のボックスで、条件の演算子 (等しい または 等しくない を選択します。

    3. 次のボックスに、プロパティの値を 1 つ以上入力します。

      バケットプロパティのタイプと性質に応じて、Macie は値を入力するためのさまざまなオプションを表示します。たとえば、有効なアクセス許可 プロパティを選択した場合、Macie は選択する値のリストを表示します。アカウント ID プロパティを選択した場合、Macie は、1 つ以上の AWS アカウント ID を入力できるテキストボックスを表示します。テキストボックスに複数の値を入力するには、各値を入力し、各エントリをカンマで区切ります。

    4. 適用 を選択します。Macie は条件を追加し、フィルターボックスの下に表示します。

      デフォルトでは、Macie は include ステートメントで条件を追加します。これは、ジョブが条件に一致するバケット内のオブジェクトを分析する含めるように設定されていることを意味します 。条件に一致するバケットをスキップする (除外する) には、条件で含める を選択し、次に 除外する を選択します。

    5. 基準に追加する追加の条件ごとに、上記のステップを繰り返します。

  6. 基準をテストするには、条件の結果をプレビューするセクションを展開します。このセクションには、現在基準に一致するすべてのバケットのテーブルが表示されます。

  7. 基準を絞り込むには、以下のいずれかを行ってください。

    • 条件を削除するには、条件で X を選択します。

    • 条件を変更するには、条件で X を選択してその条件を削除します。次に、正しい設定を持つ条件を追加します。

    • すべての条件を削除するには、フィルターをクリアを選択します。

    Macie は、基準の結果のテーブルを更新して、変更を反映します。

  8. バケット基準の指定が終了したら、次へを選択します。

次のステップでは、基準を確認します。

ステップ 2: S3 バケットの選択または基準を確認する

このステップでは、前のステップで正しい設定を選択したことを検証します。

  • バケット選択の確認 ジョブに特定の S3 バケットを選択した場合は、バケットのテーブルを確認し、必要に応じてバケットの選択を変更します。このテーブルは、ジョブの分析の予測範囲とコストに関する洞察を提供します。データは、バケットに現在保存されているオブジェクトのサイズとタイプに基づいています。

    推定コスト フィールドは、S3 バケット内のオブジェクトを分析するための合計推定コスト (米ドル単位) を示します。各見積もりは、ジョブがバケット内で分析する非圧縮データの予測量を反映します。オブジェクトが圧縮ファイルまたはアーカイブファイルである場合、見積もりではファイルが 3:1 の圧縮率を使用し、ジョブはすべての抽出されたファイルを分析できると仮定します。詳細については、ジョブのコストの予測とモニタリングを参照してください。

  • バケット条件を確認 ジョブのバケット条件を指定した場合は、それぞれの条件がその条件になっているか確認します。基準を変更するには、前へ を選択し、前のステップのフィルターオプションを使用して正しい条件を入力します。終了したら、次へを選択します。

設定の確認と検証が終了したら、次へ を選択します。

ステップ 3: スケジュールを定義し、範囲を絞り込む

このステップでは、ジョブを 1 回実行するか、毎日、毎週、または毎月ベースで実行するか、その頻度を指定します。また、さまざまなオプションを選択して、ジョブの分析範囲を絞り込みます。これらのオプションについては、ジョブの範囲のオプションを参照してください。

スケジュールを定義し、ジョブの範囲を絞り込むには

  1. 範囲を絞り込む ページで、ジョブを実行する頻度を選択します。

    • ジョブを 1 回だけ実行するには、作成終了直後に、1 回限りのジョブを選択します。

    • ジョブを繰り返しベースで定期的に実行するには、スケジュールされたジョブを選択します。更新頻度では、ジョブを毎日、毎週、または毎月実行するかを選択します。次に、既存のオブジェクトを含めるオプションを使用して、ジョブの初回実行の範囲を定義します。

      • ジョブの終了直後に、既存のすべてのオブジェクトを分析するには、このチェックボックスをオンにします。後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが分析されます。

      • このチェックボックスをオフにすると、既存のすべてのオブジェクトの分析がスキップされます。ジョブの最初の実行では、ジョブの作成終了後で最初の実行開始前に作成または変更されたオブジェクトのみが分析されます。後続の実行ごとに、前の実行後に作成または変更されたオブジェクトのみが分析されます。

        このチェックボックスをオフにすると、データをすでに分析し、定期的に分析を続ける場合に役立ちます。例えば、以前他のサービスまたはアプリケーションを使ってデータを分類し、最近 Macie を使用し始めた場合は、このオプションを使用すると、不要なコストや重複した分類データを発生させずにデータの検出と分類を継続することができます。

  2. (オプショナル) ジョブで分析するオブジェクトのパーセンテージを指定するには、サンプリング深度ボックスにパーセンテージを入力します。

    この値が 100% 未満の場合、Macie は、分析するオブジェクトをランダムに選択し、指定されたパーセンテージまで、それらのオブジェクトのすべてのデータを分析します。デフォルト値は 100% です。

  3. (オプショナル) ジョブの分析に含めるか除外する S3 オブジェクトを決定する特定の基準を追加するには、追加の設定セクションを展開し、次に基準を入力します。これらの条件は、オブジェクトのプロパティから派生する個別の条件で設定されます。

    • 分析するため特定の条件を満たすオブジェクトを含め 、条件のタイプと値を入力し、次に 含めるを選択します。

    • 特定の条件を満たすオブジェクトをスキップする (除外する) には、条件のタイプと値を入力し、次に 除外するを選択します。

    必要な 含めるまたは 除外する条件ごとに、このステップを繰り返します。

    複数の条件を入力した場合、すべての除外条件は、適用する条件より優先されます。たとえば、.pdf ファイル名拡張子を持つオブジェクトを含めて、5 MB を超えるオブジェクトを除外すると、オブジェクトが 5 MB を超えない限り、ジョブは .pdf ファイル名拡張子を持つ任意のオブジェクトを分析します。

  4. 終了したら、次へ を選択します。

ステップ 4: マネージドデータ識別子を選択する

このステップでは、S3 オブジェクトを分析するときにジョブで使用するマネージドデータ識別子を指定します。これには 2 つのオプションがあります。

  • 推奨設定を使用 このオプションでは、ジョブに推奨するマネージドデータ識別子のセットを使用して、ジョブにより S3 オブジェクトが分析されます。このセットは、一般的なカテゴリとタイプの機密データを検出するように設計されています。現在セット内にあるマネージドデータ識別子の詳細なリストを確認するには、ジョブに推奨されるマネージドデータ識別子 を参照してください。マネージドデータ識別子がセットに追加または削除されるたびに、そのリストは更新されます。

  • カスタム設定を使用 このオプションでは、選択したマネージドデータ識別子を使用して、ジョブにより S3 オブジェクトが分析されます。これは、現在利用可能なマネージドデータ識別子のすべてまたは一部のみとなる可能性があります。また、マネージドデータ識別子を使用しないようジョブを設定することもできます。代わりに、次のステップで選択するカスタムデータ識別子をジョブに使用します。現在利用可能なマネージドデータ識別子の一覧を確認するには、クイックリファレンス: Amazon Macie マネージドデータ識別子 を参照してください。新しいマネージドデータ識別子がリリースされるたびに、そのリストが更新されます。

いずれかのオプションを選択すると、Macie はマネージドデータ識別子のテーブルを表示します。テーブルの 機密データのタイプ フィールドで、マネージドデータ識別子に一意の識別子 (ID) を指定します。この ID は、マネージドデータ識別子によって検出される機密データのタイプを示します。例えば、米国のパスポート番号は USA_PASSPORT_NUMBER、クレジットカード番号は CREDIT_CARD_NUMBER、PGP プライベートキーは PGP_PRIVATE_KEY です。特定の識別子をよりすばやく検索するには、機密データのカテゴリまたはタイプでテーブルを並べ替えたり、フィルタリングします。

ジョブのマネージドデータ ID を選択するには

  1. マネージドデータ識別子を選択する ページの マネージドデータ識別子のオプション のところで、次のいずれかを実行します。

    • ジョブに推奨するマネージドデータ識別子のセットを使用するには、お勧め を選択します。

      このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では、実行の開始時に推奨セットにあるすべてのマネージドデータ識別子が自動的に使用されます。これには、セットに追加した新しいマネージドデータ識別子も含まれます。セットから削除し、ジョブに推奨しなくなったマネージドデータ識別子は含まれません。

    • 選択した特定のマネージドデータ識別子のみを使用するには、カスタム を選択してから 特定のマネージドデータ識別子を使用するを選択します。次にテーブルで、ジョブに使用するマネージドデータ識別子のチェックボックスをオンにします。

      このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では選択したマネージドデータ識別子のみを使用します。つまり、ジョブは実行のたびにこれらの同じマネージドデータ識別子を使用します。

    • Macie が現在提供しているマネージドデータ識別子をすべて使用するには、カスタム を選択してから 特定のマネージドデータ識別子を使用するを選択します。次にテーブルで、選択列の見出しにあるチェックボックスをオンにして、すべての行を選択します。

      このオプションを選択し、ジョブを複数回実行するように設定した場合、各実行では選択したマネージドデータ識別子のみを使用します。つまり、ジョブは実行のたびにこれらの同じマネージドデータ識別子を使用します。

    • マネージドデータ識別子を一切使用せず、カスタムデータ識別子のみを使用するには、カスタム を選択してから マネージドデータ識別子を一切使用しないを選択します。それから次のステップで、使用するカスタムデータ識別子を選択します。

  2. 終了したら、次へ を選択します。

ステップ 5: カスタムデータ識別子を選択する

このステップでは、S3 オブジェクトを分析するときにジョブで使用する カスタムデータ識別子を選択します。ジョブでは、ジョブで使用するために設定したマネージドデータ識別子に加えて、選択された識別子が使用されます。カスタムデータ識別子の詳細については、カスタムデータ識別子の構築 を参照してください。

ジョブのカスタムデータ識別子を選択するには

  1. カスタムデータ識別子を選択するページで、ジョブで使用するカスタムデータ識別子ごとに、チェックボックスをオンにします。カスタムデータ識別子は最大 30 個まで選択できます。

    ヒント

    カスタムデータ識別子を選択する前にその識別子を確認またはテストするには、識別子の名前の横にあるリンクアイコン A box with an arrow を選択します。Macie は、識別子の設定を表示するページを開きます。

    このページを使用して、サンプルデータを用いて識別子をテストすることもできます。これを行うには、テキスト (最大 1,000 文字) を サンプルデータ ボックスに入力し、次に テスト を選択します。Macie は識別子を使用してサンプルデータを評価し、一致の数をレポートします。

  2. カスタムデータ識別子の選択が終了したら、次へ を選択します。

ステップ 6: 許可リストの選択

このステップでは、S3 オブジェクトを分析するときにジョブで使用する許可リストを選択します。許可リストの詳細については、許可リストでの機密データの例外の定義 を参照してください。

ジョブの許可リストを選択する

  1. 許可リストの選択 ページで、ジョブで使用する許可リストのチェックボックスをオンにします。リストは 10 個まで選択できます。

    ヒント

    許可リストを選択する前にそのリストを確認するには、リスト名の横にあるリンクアイコン A box with an arrow を選択します。Macie は、リストの設定を表示するページを開きます。

    リストで正規表現 (正規表現)を指定する場合は、このページを使用してサンプルデータでその正規表現を確認することもできます。これを行うには、テキスト (最大 1,000 文字) を サンプルデータ ボックスに入力し、次に テスト を選択します。Macie は正規表現を使用してサンプルデータを評価し、一致の数をレポートします。

  2. 許可リストの選択が完了したら、次へ を選択します。

ステップ 7: 全般設定を入力

このステップでは、ジョブの名前と、必要に応じてジョブの詳細を入れます。

ジョブにタグを割り当てることもできます。タグは、ユーザーが定義して特定のタイプの AWS リソースに割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを特定、分類および管理できます。詳細については、Amazon Macie リソースへのタグ付けを参照してください。

ジョブの全般設定を入力する

  1. 名前と説明を入力 ページで、ジョブの名前を ジョブ名 ボックスに入力します。名前には最大 500 文字を含めることができます。

  2. (オプショナル) ジョブの説明では、ジョブの簡単な説明を入力します。説明には最大 200 文字を含めることができます。

  3. (オプショナル) タグタグを追加 を選択し、ジョブに割り当てるタグを 50 個まで入力できます。

  4. 終了したら、次へ を選択します。

ステップ 8: 確認して作成

この最後のステップでは、ジョブの設定設定を確認し、その設定が正しいことを検証します。これは重要なステップです。ジョブ作成後は、これらの設定を変更することはできません。これにより、実施するデータプライバシーと保護の監査または調査に関する機密データの調査結果と検出結果のイミュータブルな履歴を確実に保持できます。

ジョブの設定に応じて、ジョブを 1 回実行した場合の推定コスト (米ドル単位) も確認できます。ジョブで特定の S3 バケットを選択した場合、見積もりは、選択したバケット内のオブジェクトのサイズとタイプ、およびジョブが分析できるデータの量に基づきます。ジョブのバケット基準を指定した場合、見積もりは、現在基準に一致する最大 500 個までのバケット内のオブジェクトのサイズとタイプ、およびジョブが分析できるデータの量に基づきます。この見積もりの詳細については、ジョブのコストの予測とモニタリングを参照してください。

ジョブを確認して作成するには

  1. 確認して作成するページで、各設定を確認し、それが正しいことを検証します。設定を変更するには、設定が含まれるセクションで Edit (編集) を選択し、次に正しい設定を入力します。ナビゲーションタブを使用して、設定が含まれるページに移動することもできます。

  2. 設定の確認が完了したら、提出を選択して、ジョブを作成して保存します。Macie は設定を確認し、対処すべき問題があれば通知します。

    注記

    機密データの検出結果のリポジトリを設定していない場合、Macie は警告を表示し、ジョブを保存しません。この問題に対処するには、機密データの検出結果のリポジトリセクションで 設定を選択します。次に、リポジトリの設定設定を入力します。この方法の詳細は、機密データ検出結果の保存と保持を参照してください。設定を入力したら、確認して作成 ページに戻り、そのページの 機密データ検出結果のリポジトリセクションでリフレッシュ The refresh button, which is a button that contains an empty, dark gray circle with an arrow を選択します。

    それは推奨されませんが、リポジトリ要件を一時的に上書きしてジョブを保存することができます。これを行うと、ジョブの検出結果を失うリスクがあります。Macie は 90 日間だけ結果を保持します。要件を一時的に上書きするには、上書きオプションのチェックボックスをオンにします。

  3. Macie が対処すべき課題を通知した場合は、問題に対処し、もう一度 提出を選択して、ジョブを作成して保存します。

ジョブの実行頻度を 1 回限りまたは毎日ベースに設定しているか、週の現在の曜日または月の現在の日付に設定している場合、Macie はジョブを保存した直後にジョブの実行を開始します。それ以外の場合、Macie は週の指定された曜日または月の指定された日付にジョブを実行する準備をします。ジョブをモニタリングするには、ジョブのステータスをチェックできます。