Amazon Web Services ブログ

Amazon Macie の自動データディスカバリー

2022/11/28、Amazon Macie自動データディスカバリーについてお知らせします。この新機能により、Amazon Simple Storage Service (Amazon S3) 上の機密データの保存場所を、すべての S3 バケットにわたって完全なデータ検査を実行する場合の何分の 1 かのコストで可視化できます。

AWS では、セキュリティが最優先事項です。インフラストラクチャ自体のセキュリティだけでなく、データのセキュリティも重要です。IDとアクセスの管理、ネットワークとアプリケーションの保護、不審なアクティビティの検出、データの保護、コンプライアンスステータスの報告と監視を行うためのサービスへのアクセスを提供します。

Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクに対する可視性と自動保護を可能にするデータセキュリティサービスです。Amazon Macie を使用して、名前、住所、クレジットカード番号などの機密データの存在をスキャンし、暗号化やアクセスポリシーなどの適切に設定された予防制御を継続的に監視することで、S3 内のデータを保護します。Amazon Macie は、パブリックにアクセス可能なバケット、暗号化されていないバケット、または組織外の AWS アカウントと共有されているバケットを検出するとアラートを生成します。また、Amazon Macie が S3 をスキャンして S3 バケットに対して完全な機密データ検出スキャンを実行するように設定して、機密データがどこにあるかを可視化することもできます。

ただし、大規模に事業を展開しているお客様から、どこから始めればよいかわからないという声がありました。従業員とアプリケーションが毎日新しいバケットを追加し、ペタバイト単位のデータを生成する場合、最初にスキャンする必要があるのは何でしょうか?

自動データディスカバリーにより、AWS Organizations レベルで集約されたバケットのセット全体にわたる機密データや潜在的なデータセキュリティリスクの継続的な検出が自動化されます。

コンソールで自動ディスカバリーを有効にすると、Macie は各バケットの機密レベルの評価を開始し、データセキュリティリスクを特定します。データディスカバリーの自動化により、インテリジェントで完全に管理されたデータサンプリングが導入され、サンプルレートが最適化され、分析が必要なデータ量が大幅に削減されます。これにより、完全なデータ検査のコストと比較して、機密データを含む S3 バケットを検出するコストを削減できます。

個人を特定できる情報 (PII) や複数の国の特定の形式の財務記録など、100 種類以上の管理された機密データタイプから選択することで、自動データディスカバリーを調整して、ユースケースに関連する機密データの種類のみを特定できます。例えば、導入事例に応じて、スペインまたはスウェーデンの運転免許証番号の検出を有効にし、米国の社会保障番号を無視するように選択できます。管理する特定の種類のデータがリストにない場合は、従業員番号や患者識別番号など、ビジネスに固有のカスタムデータタイプを作成できます。

実際の機能の確認
Amazon Macie の新規顧客にはすべて、自動データディスカバリーがデフォルトで有効になっています。既存の Macie のお客様は、Amazon Macie 管理者アカウントの AWS マネジメントコンソールで 1 回クリックするだけで有効にできます。30 日間の無料トライアルがあり、管理者レベルでいつでもオプトアウトできます。

この機能は、左側のナビゲーションメニューの [設定] の [自動ディスカバリー] エントリから有効または無効にできます。Status セクションには現在のステータスが表示されます。

Amazon Macie の自動データディスカバリー - 有効にする

同じページで、管理対象データ識別子のリストを設定できます。100 種類を超える管理データ識別子のうち、個々のタイプのデータをオンまたはオフにできます。新しい設定もできます。追加のデータ識別子を含めるか除外するには、[管理対象データ識別子] セクションの [編集] を選択します。

Amazon Macie の自動データディスカバリー - データ識別子を含めるか除外するか

大量のオブジェクトを含むバケットと少数のオブジェクトを含むバケットがある場合、Macie は、他の小さなバケットを犠牲にして、1 つの非常に大きなバケットの検査にすべての時間を費やすことはありません。Macie は、あまり知られていないバケットにも優先順位を付けます。例えば、小さいバケットに含まれる大部分のオブジェクトを調べた場合、そのバケットは、オブジェクト数が比例して少ない大きなバケットに比べて優先順位が低くなります。

自動データディスカバリーにより、この機能が有効になってから数日以内に S3 バケット内の機密データ分布に関するインタラクティブなデータマップを作成できます。このデータマップは、バケット内の S3 オブジェクトをインテリジェントに選択してスキャンし、スキャンの労力を特定月の S3 エステート全体に分散させるため、毎日更新されます。

これは Amazon Macie ページの概要セクションです。バケットセットは保護されているようです。パブリックアクセスのバケットがなく、31 個のバケットに機密データが含まれている可能性があります。

Amazon Macie の自動データディスカバリー - 概要セクション

左側のナビゲーションメニューの S3 バケットセクションを選択すると、バケットのデータマップが表示されます。四角が赤くなるほど、バケット内で検出されるデータの機密性が高くなります。青色の四角は、これまでに機密データが検出されていないバケットを表しています。そこから、バケットレベルでドリルダウンして詳細を調べることができます。

Amazon Macie の自動データディスカバリー - ヒートマップ

料金と利用可能なリージョン
Amazon Macie を初めて使用する場合、自動データディスカバリーはデフォルトで有効になっています。組織ですでに Amazon Macie を使用している場合は、Amazon Macie 管理者アカウントのマネジメントコンソールで 1 回クリックするだけで自動データディスカバリーを有効にできます。

AWS アカウントで自動データディスカバリーを有効にすると、30 日間の無料試用期間があります。評価期間終了後は、アカウント内の S3 オブジェクトの合計数量と、機密コンテンツについてスキャンされたバイト数に基づいて課金されます。料金は日割り計算されます。この機能はいつでも無効にできます。料金ページに、すべての詳細が記載されています

この新機能は、 Macie が利用できる 21 の商用 AWS リージョンすべてで利用できるようになりました。

今すぐ Amazon Macie の自動データディスカバリーを有効にしましょう

— seb

原文はこちらです。