Amazon Macie よくある質問

全般

Q: Amazon Macie とは何ですか?

Amazon Macie は AI によるセキュリティサービスで、AWS に保存された機密データを自動的に検出、分類、保護することによりデータ損失を防ぐことができます。Amazon Macie では、機械学習を使用して、個人識別情報 (PII) や知的財産などの機密データを認識し、ビジネス価値を割り当て、このようなデータが組織内でどこに保存されてどのように使用されているかについての可視性を提供します。Amazon Macie では、特異なデータアクセスアクティビティを継続的にモニタリングし、不正アクセスの危険や不注意によるデータ漏洩が検出された場合にアラートを配信します。

Q: Amazon Macie でできることは何ですか?

Amazon Macie を使用すると、データとアカウントの認証情報を継続的にモニタリングすることにより、セキュリティの脅威から保護できます。Amazon Macie で提供されているビジネスデータの検出および分類の方法は、自動化されており、操作が簡単です。Amazon Macie では、テンプレート化された Lambda 関数による制御が提供されており、エンティティやサードパーティのアプリケーションに対する疑わしい動作や承認されていないデータアクセスが検出された場合に、アクセスの取り消しやパスワードリセットポリシーをトリガーできます。アラートが生成された場合、Amazon CloudWatch Events を使用してデータ保護のためのアクションを迅速に実行することにより、Amazon Macie をインシデント対応に使用できます。

データ分析

Q: Amazon Macie ではどのようなデータソースがサポートされていますか?

Amazon Macie サービスでは、Amazon S3 と AWS CloudTrail がサポートされています。2018 年に、お客様の Amazon EC2 環境 (Windows、Linux、EBS)、Amazon DynamoDB、Amazon RDS、Amazon EFS、AWS Glue にユーザーおよびコンテンツの保護向けのサポートを追加する予定です。

Q: Amazon Macie はどのように機能しますか?

Amazon Macie は、お客様が Amazon S3 に保存したコンテンツに対して可視性とセキュリティの両方を提供するセキュリティサービスです。Amazon Macie を使用すると、自動的かつ継続的に検出と分類が実行され、インテリジェントかつ正確にビジネス価値がデータに割り当てられるため、データを理解しやすくなります。Amazon Macie では、コンテンツのアセット価値とアクセス方法を把握することにより、顧客が直面する問題に対して状況に応じた説明のあるセキュリティアラートを作成できます。アラートは、価値の高いコンテンツがビジネス上のリスクの発生する方法でアクセスされた場合にのみ実行されます。例えば、Amazon Macie には、機密データに誤って設定されたグローバルなアクセス権限の検知、ソースコード内部の API キーのアップロードの検知、コンプライアンス基準を満たす方法でお客様の機密データが保存およびアクセスされていることの検証といった機能があります。

複雑なデータの分類や柔軟性に欠けるユーザーロールを手動で定義して定期的に更新する必要なく、迅速かつ簡単に Amazon Macie を使用できます。Amazon Macie では、機械学習とユーザーの動作分析を組み合わせて、ビジネスに重要なデータやアセットに対する潜在的なリスクを検知します。例えば、Amazon Macie では、通常そのデータにアクセスしないユーザーアカウントによって大量のソースコードがダウンロードされた場合や、データを保管する Amazon S3 バケットの権限に突然変更が発生した場合にアラートを実行します。有効化された後は、直ちにセキュリティおよびコンプライアンスアラートの受信を開始でき、自動化されたポリシーを作成して疑わしいアクティビティが検知された場合にデータを保護できます。Amazon Macie では、自然言語処理 (NLP) 方式を使用して、データおよび履歴データのアクセスパターンの分類を自動化することでニュートラルネットワークを訓練し、手動で再訓練することなく環境を継続的にモニタリングします。Amazon Macie の優れたユーザーインターフェイスにより、詳細な証拠と実用的な推奨を備えた正確なアラートが提供されます。これにより、最も重要な関連のあるリスクに対応するために時間を費やすことができるようになります。Amazon Macie では、セキュリティおよびコンプライアンスのユースケースを考慮した豊富なユーザーインターフェイスを備え、API のセットが提供されています。これにより、パートナーやお客様は Amazon Macie のデータ分類機能およびセキュリティ異常検知機能を独自のアプリケーションに直接組み込むことができるようになります。

セキュリティとアクセス

Q: Amazon Macie で検知可能な疑わしいアクティビティにはどのような例がありますか?

Amazon Macie では、ビジネスにリスクを及ぼす原因となる機密データに関連するユーザー、アプリケーション、サービスアカウントのアクティビティを分析します。例えば、不注意によるデータ公開、内部者による脅威、対象を絞った攻撃などのアクティビティです。Amazon Macie では、危険にさらされたユーザーアカウントが通常とは異なる IP アドレスから大量の機密コンテンツのリストを取得してダウンロードしたり、通常このタイプの機密コンテンツにアクセスしないユーザーアカウントが大量のソースコードをダウンロードしたりするなどの疑わしいアクティビティに対してアラートを実行します。Amazon Macie におけるコンプライアンス重視の例としては、個人識別情報 (PII)、保護医療情報 (PHI)、知的財産 (IP)、法務または財務データを含むファイルといった、公開でまたは企業全体で共有されているリスクの高い大量のドキュメントの検知が挙げられます。また、Amazon Macie のダッシュボードを使用して、セキュリティのニーズに基づいて独自のアラートとポリシーを定義することもできます。

Q: Amazon Macie では、どのような方法でデータを保護しますか?

Amazon Macie では、データ分類プロセスの一部として、S3 バケットのオブジェクトを特定し、そのオブジェクトコンテンツをメモリにストリーミングして分析します。複雑なファイル形式に対してより深い分析が必要な場合、Amazon Macie ではオブジェクトの完全なコピーをダウンロードして、オブジェクトを完全に分析するために必要な短い時間のみそれを保持します。Amazon Macie では、データ分類のためにそのファイルコンテンツの分析を完了するとすぐに、保存されたコンテンツは削除され、その後の分析に必要なメタデータのみ保持されます。お客様はいつでも、Amazon S3 バケットのデータに対する Amazon Macie アクセスを取り消すことができます。

Q: Amazon Macie では、データを保護してコンプライアンスワークロードを強化するために、どのような方法でセキュリティポリシーを自動化していますか?

ペイメントカード業界 (PCI)、医療保険の携行性と責任に関する法律 (HIPAA)、一般データ保護規則 (GDPR) などのコンプライアンスポリシーを作成するための最初のステップは、機密データが企業全体でどこに存在しているかを特定することです。Amazon Macie では、個人識別情報 (PII)、保護医療情報 (PHI)、規制ドキュメント、API キー、シークレットキーマテリアルに関連する 70 を超えるデータタイプ向けの、機械学習に基づく非常に正確な検知を使用して、この検出フェーズが自動化されます。Amazon Macie のコンプライアンスポリシーを有効にして、ソースコードやバックアップ内に埋め込まれている認証情報が存在する場合にアラートを実行したり、PII や PHI を安全に保存およびアクセスする方法に関するポリシーを自動化したりすることで、すぐに使用を開始できます。データコンプライアンスのユースケースをサポートするだけでなく、Amazon Macie では、ニュートラルネットワークの人工知能を活用して、不注意による過度の情報公開や、データ漏洩の可能性があるコンテンツへの疑わしいアクセスを指定するポリシーおよびアクセスコントロールリストへの変更を特定できます。Amazon Macie により、Amazon CloudWatch Events およびテンプレート化された一連の AWS Lambda 関数を使用して応答と修正を自動化できます。Lambda 関数は、組織の特定のニーズを満たすようカスタマイズできます。

統合

Q: パートナーやサードパーティのソリューションは Amazon Macie と統合できますか?

はい、Amazon Macie では、AWS SDK を使用した API エンドポイントに対応しており、パートナーやサードパーティのソリューションと統合できます。また、Amazon Macie では、すべての結果が CloudWatch Events に送信されるため、利用可能なトリガーを使用してパートナーやサードパーティのソリューションと継続的に統合できます。これには、Atlassian JIRA、Splunk、HP ArcSight、IBM Resilient Systems などの外部ケース管理システムやチケッティングシステムが含まれます。

言語

Q: Amazon Macie では複数の言語がサポートされていますか?

自然言語処理は Amazon Macie の主要な機能です。この機能を十分に発揮するために、コンテンツを処理し、理解することが必要です。Amazon Macie の NLP では、複数の言語によるコンテンツの検出と分類はサポートされていますが、言語全体でコンテンツを自動的に解釈および関連付けすることは、ロードマップアイテムです。ユーザー動作分析など、Amazon Macie のいくつかの機能は英語以外のコンテンツに対応する予定ですが、現時点では Amazon Macie は英語向けに最適化されています。

開始方法

Q: Amazon Macie の使用を開始するにはどうすればよいですか?

Amazon Macie の使用を開始するには、Amazon Macie コンソールにログインして、提供されている CloudFormation テンプレートを実行して必要な IAM ロールとポリシーをアカウントに設定し、保護する S3 バケットを選択します。Amazon Macie とサポートされているユースケースについてはブログドキュメントを参照してください。