Amazon Macie による大規模なデータの検出と保護

GDPR 第 32 条には、次のように記載されています。「(...) 管理者と処理者は、とりわけ適切なものを含め、リスクに適したレベルのセキュリティを確保するための適切な技術的および組織的措置を実施しなければならない。(...)

(b) システムとサービスの処理における継続的な機密性、完全性、可用性と復元力を確実にする機能。

(...)

(d) 処理過程のセキュリティを確保するための技術的、組織的な措置の効率性を定期的にテスト、査定および評価するプロセス」。

セキュリティデータ処理をデータの性質に合わせて調整するには、継続的なデータ分類プロセスが不可欠です。組織が機密データを管理している場合は、そのデータがどこにあるかを監視して適切に保護し、規制コンプライアンスの要件を満たすために必要とされる通りにデータセキュリティとプライバシーを強化していることを示す証拠を提出します。AWS では、お客様が大規模な機密データを識別して保護できるように、Amazon Macie を提供しています。Amazon Macie は、フルマネージドのデータセキュリティおよびデータプライバシーサービスで、個人を特定できる情報 (PII) の検出にパターンマッチングと機械学習モデルを使用し、S3 バケットに保存されている機密データを検出して保護します。Amazon Macie はこれらのバケットをスキャンし、複数のカテゴリの機密データを検出するように設計されたマネージドデータ識別子を使って、バケットのデータ分類を提供します。Macie は、氏名、メールアドレス、生年月日、国民識別番号、納税者識別番号、参照番号などの PII を検出できます。お客様は、組織の特定のシナリオ (顧客アカウント番号や内部データ分類など) を反映したカスタムデータ識別子を定義できます。

Amazon Macie はバケット内のオブジェクトを継続的に評価し、定義されたデータカテゴリに一致する、暗号化されていないまたはパブリックにアクセス可能なデータが検出された場合に、検出結果のサマリー (図 4) を自動的に提供します。このデータには、AWS Organizations で定義した以外の AWS アカウントと共有された、暗号化されていない、パブリックにアクセス可能なオブジェクトまたはバケットに関するアラートが含まれる場合があります。Amazon Macie は、AWS Security Hub など他の AWS のサービスと統合され、アクションの対象になり得るセキュリティ検出結果を生成し、その結果に対して自動的かつ事後対応的なアクションを提供します (図 5)。

図 4 — データインスペクションと検出結果の例