SEC07-BP01 ワークロード内のデータを特定する - AWS Well-Architected Framework

SEC07-BP01 ワークロード内のデータを特定する

ワークロードが処理するデータの型と分類、関連するビジネスプロセス、データの保管場所、データ所有者を理解することは非常に重要です。また、ワークロードに適用する法的要件やコンプライアンス要件、そしてどのようなデータコントロールを適用すべきなのかを理解する必要があります。データの特定は、データ分類作業の最初のステップです。

このベストプラクティスを活用するメリット:

データ分類により、ワークロード所有者は、機密データを保存する場所を特定し、そのデータへのアクセス方法や共有方法を決定できます。

データ分類は、次の質問への回答となります:

  • どのようなタイプのデータを持っていますか?

    次のようなデータが考えられます:

    • 企業秘密、特許、または契約合意などの知的財産 (IP)。

    • 個人と結びついた医療履歴情報を含む医療記録などの、保護対象医療情報 (PHI)。

    • 氏名、住所、生年月日、国民 ID または登録番号などの個人を特定できる情報 (PII)。

    • 会員番号 (PAN)、カード会員名、有効期限、サービスコード番号などクレジットカードのデータ。

    • 機密性の高いデータはどこに保存しますか?

    • データにアクセス、変更、削除できる人は誰ですか?

    • データの誤った取扱いを防ぐためには、ユーザーのアクセス許可を把握することが不可欠です。

  • 作成、読み取り、更新、削除 (CRUD) 操作を実行できるのは誰ですか?

    • 誰がデータに対するアクセス許可を管理できるかを理解することにより、アクセス許可が昇格する可能性を考慮します。

  • データが意図せずに開示されたり、変更または削除された場合、ビジネスに対してどのような影響が生じますか?

    • データが変更、削除、または誤って開示された場合のリスク結果を理解します。

これらの質問に対する回答を把握することにより、次のようなアクションを取ることができます。

  • 機密データの範囲 (機密データの場所の数など) を縮小し、機密データへのアクセスを承認済みユーザーのみに限定します。

  • 暗号化、データ紛失防止、およびアイデンティティやアクセス管理など、適切なデータ保護メカニズムとテクニックを実装できるよう、さまざまなデータ型について理解を深めます。

  • データの正しいコントロール目的を提供することにより、コストを最適化します。

  • データの型や量、機密度の異なるデータをどのように隔離しているかなど、規制当局や監査人からの質問に自信を持って答えることができます。

このベストプラクティスが確立されていない場合のリスクレベル: 高

実装のガイダンス

データ分類は、データの機密性を識別する行為です。タグ付けを行って、データを簡単に検索し、追跡できるようにすることもあります。また、データ分類を行うと、データの重複を減らし、ストレージやバックアップのコストを削減すると同時に、検索プロセスを高速化できます。

Amazon Macie などのサービスを使用して、機密データの検出と分類両方を大規模に自動化します。Amazon EventBridge や AWS Config など他のサービスは、暗号化されていない Amazon Simple Storage Service (Amazon S3) バケットや Amazon EC2 EBS ボリュームまたはタグが付いていないデータリソースなどのデータセキュリティの問題に対する修復を自動化するために使用できます。AWS サービス統合の完全なリストについては、「EventBridge ドキュメント」を参照してください。

顧客のメール、サポートチケット、製品レビュー、およびソーシャルメディアなどの構造化されていないデータで PII を検出することは、Amazon Comprehend を使うことにより実現します。これは、機械学習 (ML)を用いて構造化されていないテキストで人、場所、感情、話題などのインサイトや関係性を見つけ出す自然言語処理 (NLP) サービスです。データ識別に役立つ AWS サービスのリストについては、「AWS サービスを使って PHI と PII データを検出する一般的テクニック」を参照してください。

データ分類と保護をサポートするもう 1 つの方法は、AWS リソースのタグ付けです。タグ付けを行うと、リソースの管理、特定、整理、検索、およびフィルタリングに使用できる AWS リソースにメタデータを割り当てることができます。

場合によっては、特定のワークロードやサービスが既知のデータ分類のプロセスまたは伝送を保存することが期待されている場合など、リソース全体 (S3 バケットなど) にタグを付けるよう選択することがあります。

適切な場合、管理業務とセキュリティメンテナンスを行いやすくするため、個別のオブジェクトではなく S3 バケットにタグ付けをすることもできます。

実装手順

Amazon S3 内の機密データを検出する:

  1. 開始する前に、Amazon Macie コンソールと API オペレーションにアクセスするための適切なアクセス権限があることを確認してください。さらに詳しい情報については、「Amazon Macie の開始方法」を参照してください。

  2. Amazon Macie を使用して、機密データが Amazon S3 内にある場合は自動化されたデータ検出を実行します

    • Amazon Macie の開始方法ガイドを使って、機密データ検出結果のリポジトリを設定し、機密データの検出ジョブを作成します。

    • How to use Amazon Macie to preview sensitive data in S3 buckets (Amazon Macie を使って、S3 バケットで機密データをプレビューする方法)

      デフォルトでは、Macie が、自動化された機密データの検出に推奨されるマネージドデータ識別子のセットを使用して、オブジェクトを分析します。分析は、アカウントまたは組織に対して自動化された機密データ検出を実行する際に Macie が特定のマネージドデータ識別子、カスタムデータ識別子、許可リストを使うように設定することにより、カスタマイズすることができます。特定のバケット (たとえば、通常 AWS ログデータを保存する S3 バケットなど) を除外することにより、分析の対象範囲を調整できます。

  3. 自動化された機密データ検出を設定するには、「Performing automated sensitive data discovery with Amazon Macie」 (Amazon Macie を使って自動化された機密データ検出を実行する) を参照してください。

  4. また、Automated Data Discovery for Amazon Macie (Amazon Macie の自動化されたデータ検出) も検討してください。

Amazon RDS 内の機密データを検出する:

Amazon Relational Database Service (Amazon RDS) データベース内のデータ検出の詳細については、「Enabling data classification for Amazon RDS database with Macie」(Macie で Amazon RDS データベースのデータ分類を有効化する) を参照してください。

DynamoDB 内の機密データを検出する:

  • Detecting sensitive data in DynamoDB with Macie (Macie を使って DynamoDB 内で機密データを検出する) では、Amazon Macie を使って、Amazon S3 にエクスポートしてスキャンすることで、 Amazon DynamoDB テーブル内で機密データを検出する方法を説明しています。

AWS パートナーのソリューション

  • 広範囲の AWS Partner Network の使用を検討してください。AWS パートナーには、AWS サービスと直接統合する広範囲のツールとコンプライアンスフレームワークがあります。パートナーは、組織のニーズを満たすのに役立つカスタマイズされたガバナンスとコンプライアンスのソリューションを提供します。

  • データ分類におけるカスタマイズされたソリューションについては、「Data governance in the age of regulation and compliance requirements」(規制およびコンプライアンス要件時代のデータガバナンス) を参照してください。

AWS Organizations を使用してポリシーを作成およびデプロイすることにより、組織が採用するタグ付け標準を自動的に適用できます。タグポリシーを使用すると、有効なキー名と各キーに対して有効な値を指定できます。モニタリングのみの選択も可能で、既存のタグを評価し、クリーンアップする機会を提供します。タグが選択した標準を満たすと、タグポリシーで適用をオンにして、非準拠のタグが作成されるのを防ぐことができます。詳細については、Securing resource tags used for authorization using a service control policy in AWS Organizations (AWS Organizations のサービスコントロールポリシーを使用して、認可に使用するリソースタグを保護する) および preventing tags from being modified except by authorized principals (タグを許可されたプリンシパル以外が変更できないようにする) のサンプルポリシーを参照してください。

  • AWS Organizations でタグポリシーの使用を開始するには、より高度なタグポリシーに移行する前に、「Getting started with tag policies」(タグポリシーの開始方法) を参照してください。組織単位 (OU) または組織全体に拡大する前に、単純なタグポリシーを単一のアカウントにアタッチした場合の効果を理解することにより、タグポリシーの遵守を適用する前にタグポリシーの効果を確認することができます。Getting started with tag policies (タグポリシーの開始方法) には、より高度なポリシー関連タスクの実行方法へのリンクが記載されています。

  • データ分類をサポートする他の AWS サービスおよび機能を評価することを検討してください。これらは、データ分類ホワイトペーパーに列挙されています。

リソース

関連するドキュメント:

関連ブログ:

関連動画: