Amazon Web Services ブログ

Amazon CloudWatch Logs を使用して機密データを保護する

11 月 27 日、Amazon CloudWatch Logs のデータ保護を発表しました。これは、パターンマッチングと機械学習 (ML) を活用して、転送中の機密ログデータを検出して保護する Amazon CloudWatch Logs の新しい一連の機能です。

デベロッパーは、社会保障番号、クレジットカードの詳細、メールアドレス、パスワードなどの機密情報がログに記録されないように尽力していますが、場合によってはログに記録されることもあります。これまで、お客様は機密情報を検出してログに記録されないようにするために、手動による調査またはサードパーティーのソリューションに依拠していました。機密データが取り込み中にマスキングされない場合、ログや、それらのログを使用したすべてのダウンストリームシステムでプレーンテキストで表示されます。

組織全体でログ記録されないようにするための措置を講じることは困難です。そのため、セキュリティおよびコンプライアンスの観点から、ログ内の機密データに対するアクセスを迅速に検出して防止することが重要です。11 月 27 日より、Amazon CloudWatch Logs のデータ保護を有効にして、機密性の高いログデータが CloudWatch Logs に取り込まれるとき、または転送中のこれらのデータを検出してマスキングできます。

ネイティブのデータ保護機能を活用したいと考えているあらゆる業界のお客様が、この機能から恩恵を受けることができます。しかし特に、個人情報が漏えいしないようにする必要がある厳しい規制下にある業界に役立ちます。また、個人情報や機密情報がキャプチャされる可能性のある支払いサービスや認証サービスを構築しているお客様は、この新機能を使用して、ログ記録される際に機密情報を検出してマスキングできます。

開始方法
AWS マネジメントコンソールAWS コマンドラインインターフェイス (CLI)、または AWS CloudFormation から、新規または既存のロググループのデータ保護ポリシーを有効にできます。コンソールから任意のロググループを選択し、[Data protection] (データ保護) タブでデータ保護ポリシーを作成します。

データ保護ポリシーを有効にする

ポリシーを作成するときに、保護するデータを指定できます。金融情報、健康情報、個人情報にまたがる一般的な機密データパターンのリポジトリである 100 を超えるマネージドデータ識別子から選択できます。この機能により、ユースケースや地理的場所に固有のさまざまなデータ識別子から極めて柔軟に選択できます。

データ保護ポリシーを設定する

監査レポートを有効にして、別のロググループAmazon Simple Storage Service (Amazon S3) バケット、または Amazon Kinesis Firehose に送信することもできます。これらのレポートには、データ保護の検出結果の詳細なログが含まれています。

機密データをモニタリングし、機密データが検出されたときに通知を受け取りたい場合は、LogEventsWithFindings というメトリクスに基づいてアラームを作成できます。このメトリクスは、特定のロググループに含まれる検出結果の数を示します。これにより、機密データをログ記録しているアプリケーションを迅速に把握できます。

機密情報がログ記録されると、CloudWatch Logs のデータ保護機能は、設定されたポリシーに従ってその情報を自動的にマスキングします。これは、これらのログを使用するダウンストリームサービスのいずれも、マスキングされていないデータを見ることができないように設計されています。AWS マネジメントコンソール、AWS CLI、またはサードパーティーに対しては、ログ内の機密情報はマスキングされた状態で表示されます。

マスキングされたデータを含むログファイルの例

CloudWatch Logs Insights もしくはログストリーム検索を使用して、または FilterLogEvents API および GetLogEvents API を介して、マスキングされていないデータを表示できるのは、IAM ポリシー (ユーザーポリシーで logs:Unmask アクションを追加) で昇格した特権を持つユーザーのみです。

CloudWatch Logs Insights で次のクエリを使用して、特定のロググループのデータのマスキングを解除できます。

fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20

今すぐご利用いただけます
データ保護は、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、アフリカ (ケープタウン)、アジアパシフィック (香港)、アジアパシフィック (ジャカルタ)、アジアパシフィック (ムンバイ)、アジアパシフィック (大阪)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、カナダ (中部)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (ミラノ)、欧州 (パリ)、欧州 (ストックホルム)、中東 (バーレーン)、南米 (サンパウロ) の AWS リージョンでご利用いただけます。

Amazon CloudWatch Logs のデータ保護の料金は、マスキングのためにスキャンされるデータの量に基づきます。お客様のリージョンにおけるこの機能の料金の詳細については、「CloudWatch Logs の料金」のページをご覧ください。

データ保護の詳細については、「CloudWatch Logs ユーザーガイド」をご覧ください。

Marcia

原文はこちらです。