Amazon Web Services ブログ

新機能 – 拡張された Amazon Macie が大幅に値下げされた料金で利用可能に

Amazon Macie は、機械学習を使用してデータを自動的に特定および分類することで、機密データを検出して保護するのに役立つフルマネージド型のサービスです。

お客様に Macie を長期にわたってご利用いただく中で、お気に入りの点とそうではない点を伺いました。 サービスチームはこのフィードバックに対処するために一生懸命取り組んできました。そして本日、Amazon Macie拡張された新しいバージョンをご利用いただけるようになったことをお知らせします。

この新しいバージョンでは、料金プランがシンプルになっています。評価される Amazon Simple Storage Service (S3) バケットの数と、機密データ検出ジョブで処理されるデータの量に基づいて請求されるようになりました。新しい段階的な料金プランは、料金を 80% 引き下げるものです。さらにボリュームが大きい場合は、90% 超のコストを削減できます。

多くの新機能も同時に導入されています。

  • 個人識別情報 (PII) を検出するための更新された機械学習モデルを含む強化された機密データの検出、および正規表現を使用したお客様が定義する機密データタイプ。
  • AWS Organizations でのマルチアカウントのサポート。
  • AWS SDK および AWS コマンドラインインターフェイス (CLI) でサービスをプログラムで使用するための完全な API カバレッジ
  • リージョンの可用性を 17 のリージョンまで拡大。
  • 開始とコストの理解に資する、シンプルになった新しい無料利用枠と無料試用版
  • 完全に再設計されたコンソールとユーザーエクスペリエンス。

Macie はバックエンドで S3 と緊密に統合され、より多くのメリットを提供します。

  • AWS CloudTrail で S3 データイベントを有効にすることは要件ではなくなり、全体的なコストがさらに削減されます。
  • すべてのバケットの継続的な評価が行われ、パブリックバケット、暗号化されていないバケット、および Organization 外の AWS アカウントと共有 (またはレプリケート) されたバケットのセキュリティの検出結果が発行されます。

Macie で以前利用可能だった S3 データアクセスアクティビティを監視する異常検出機能は、Amazon GuardDuty の一部としてプライベートベータ版になり、S3 のデータを保護するためのより強力な機能を含むように拡張されました。

Amazon Macie を有効にする
Macie コンソールで、[Macie を有効化] を選択します。AWS Organizations を使用している場合は、AWS アカウントを委任して、組織の Macie を管理できます。

有効にすると、Amazon Macie は自動的にリージョン内の S3 バケットの概要を提供し、それらのバケットを継続的に評価して、Organization 外の AWS アカウントと共有されているバケットを含む、暗号化されていない、または公にアクセス可能なデータの実用的なセキュリティの検出結果を生成します。

[概要] の下に、タイプ別および S3 バケット別の上位の検出結果が表示されます。全体として、このページは S3 バケットのステータスの優れた概要を提供します。

[検出結果] セクションには、検出結果の完全なリストがあり、それらを選択してアーカイブ、アーカイブ解除、またはエクスポートできます。検出結果の 1 つを選択して、Macie によって収集された完全な情報を表示することもできます。

検出結果はウェブコンソールで表示でき、Amazon CloudWatch Events に送信されて既存のワークフローまたはイベント管理システムと簡単に統合できます。また、AWS Step Functions と組み合わせて使用​​して、自動修正アクションを実行することもできます。これは、Payment Card Industry データセキュリティスタンダード (PCI-DSS)、医療保険の携行性と責任に関する法律 (HIPAA)、一般データ保護規則 (GDPR)、カリフォルニア州消費者保護法 (CCPA) などの規制の遵守に役立ちます。

[S3 バケット] セクションでは、関心のあるバケットを検索してフィルタリングし、1 つまたは複数のバケットにまたがる機密データ検出ジョブを作成して、オブジェクト内の機密データを検出し、オブジェクトレベルで暗号化ステータスとパブリックアクセシビリティを確認できます。ジョブは 1 回実行するか、毎日、毎週、または毎月スケジュールすることができます。

ジョブについては、Amazon Macie はバケットへの変更を自動的に追跡し、新しいオブジェクトまたは変更されたオブジェクトのみを評価します。[その他の設定] では、タグ、サイズ、ファイル拡張子、または最終更新日に基づいてオブジェクトを含めたり除外したりできます。

コストと無料試用の使用状況を監視するために、コンソールの [使用状況] セクションを確認します。

カスタムデータ識別子を作成する
Amazon Macie は、個人識別情報 (PII) や認証情報データなど、最も一般的な機密データタイプをネイティブにサポートしています。 そのリストをカスタムデータ識別子で拡張して、ビジネスに関する専有または機密データを検出できます。

たとえば、多くの場合、企業には従業員 ID についての特定の構文を有しています。あり得る構文としては、この ID が正社員であるかパートタイム従業員であるかを定義する大文字を持ち、その後にダッシュと 8 つの数字が続くものが考えられます。この場合のあり得る値は、F-12345678 または P-87654321 です。

このカスタムデータ識別子を作成するには、正規表現 (regex) を入力して、照合するパターンを記述します。

[A-Z]-\d{8}

誤検知を避けるために、従業員のキーワードは識別子の近くにあるようにしてください (デフォルトでは、50 文字未満の間隔です)。 [評価] ボックスを使用して、この設定がサンプルテキストで機能することをテストしてから、[送信] を選択します。

今すぐ利用可能
Amazon Macie のリージョンごとの利用の可否については、AWS リージョン表をご覧ください。 拡張された新しい Macie の詳細については、ドキュメントをご覧ください。

Amazon Macie のこのリリースは、S3 用に最適化された状態を保持しています。ただし、Macie でサポートされているオブジェクト形式で S3 に永続的または一時的にアクセスできるものはすべて、機密データについてスキャンできます。これにより、カスタムアプリケーション、データベース、サードパーティーサービスからデータを引き出し、一時的に S3 に配置し、Amazon Macie を使用して機密データを特定することにより、S3 の外部にあるデータにカバレッジを拡大できます。

たとえば、Macie がサポートする形式である Apache ParquetRDS と Aurora が S3 へのスナップショットをサポートするようにして、これをさらに簡単にしました。同様に、DynamoDB では、AWS Glueを使用してテーブルを S3 にエクスポートし、Macie でスキャンできます。 新しい API および SDK カバレッジにより、データを S3 にエクスポートする拡張された新しい Amazon Macie を自動プロセスのビルディングブロックとして使用して、複数のソースから機密データを検出および保護できます。

Danilo