Amazon Macie は、機械学習とパターンマッチングを使用して AWS の機密データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。
Amazon S3 環境の継続的評価
Amazon Macie はお客様の Amazon S3 環境を継続的に評価して、ご利用のすべてのアカウント全体での S3 リソースのサマリを提供します。バケット名、タグ、暗号化状況や公開アクセスなどのセキュリティコントロールなどのメタデータ変数によりバケットを検索、フィルター、ソートできます。暗号化されていないバケット、アクセスが公開されているバケット、AWS Organizations の定義外の AWS アカウントと共有されているバケットについては、操作を実行するとアラートが表示される場合があります。
スケーラブルでオンデマンドの自動化された機密データ検出ジョブ
Amazon Macie では、Amazon S3 バケット内のすべてのオブジェクトまたはサブセットに対する機密データの検出ジョブを 1 回、毎日、毎週、または毎月実行できます。機密データ検出ジョブで、Amazon Macie はバケットに対する変更を自動的に追跡し、新しいオブジェクトまたは変更されたオブジェクトのみを評価します。
フルマネージドの機密データタイプ
Amazon Macie は増加する機密データタイプのリストを保持します。これには一般的な個人識別情報 (PII) と GDPR、PCI-DSS、HIPAA などのデータプライバシー規則で定義されている機密データタイプが含まれます。これらのデータタイプでは機械学習などのさまざまなデータ検出技術が使用され、時間の経過に伴い継続的に追加され、改善されていきます。
カスタム定義の機密データタイプ
Amazon Macie には、正規表現を使用してカスタム定義のデータタイプを追加する機能が用意されており、Macie でお客様のビジネスの専有または固有の機密データを検出することができます。
詳細かつ実用的なセキュリティおよび機密データの検出内容
Macie では、検出内容をオブジェクトまたはバケット単位で統合することによりアラートの量を削減し、トリアージをスピードアップします。Macie による検出内容は重大度に基づいて優先順位が付けられ、それぞれの検出には、機密データタイプ、タグ、公開アクセス、暗号化ステータスなどの詳細が含まれています。検出内容は 30 日間保持され、AWS マネジメントコンソールまたは API で利用できます。機密データ検出の完全な詳細が、長期保存のためにお客様所有の S3 バケットに自動的に書き込まれます。
事前のデータソース統合なしのワンクリックデプロイ
AWS マネジメントコンソールでワンクリックするか、単一の API コールで、1 つのアカウントで Amazon Macie を有効にできます。コンソールで数回クリックするだけで、複数のアカウントで Macie を有効にできます。Macie を有効にすると、バケットとオブジェクトのカウントやバケットレベルのセキュリティとアクセスの制御を含む、アカウント全体での継続的な Amazon S3 リソースのサマリが生成されます。
マルチアカウントのサポートと AWS Organizations との統合
マルチアカウント構成では、1 つの Macie 管理者アカウントですべてのメンバーアカウントを管理できます。これにはアカウント全体での機密データ検出ジョブの作成と管理が含まれます。 Amazon Macie では、AWS Organizations 統合を通じて、また Macie 内部のネイティブで複数のアカウントがサポートされます。セキュリティと機密データの検出内容は Macie 管理者アカウントに集約され、Amazon CloudWatch Events に送信されます。1 つのアカウントを使用して、イベント管理、ワークフロー、チケット管理のシステムと統合したり、Macie の検出内容を AWS Step Functions で使用して是正措置を自動化したりすることができます。