Amazon Macie は、機械学習とパターンマッチングを用いて機密データを発見し、データセキュリティリスクを可視化し、そのリスクに対する自動保護を可能にするデータセキュリティサービスです。Macie は、S3 バケットのセキュリティとアクセス制御を継続的に評価し、暗号化されていないバケット、一般に公開されているバケット、社外の AWS アカウントと共有されているバケットなどの問題を通知することで、お客様の S3 環境のデータセキュリティ態勢を管理できるよう支援します。その後、Macie は自動的に S3 バケット内のオブジェクトをサンプリングして分析し、個人を特定できる情報 (PII) などの機密データを検査し、S3 内の機密データがアカウント間でどこに存在するかのインタラクティブなデータマップを構築し、バケットごとに機密スコアを提供します。インタラクティブなデータマップは、Macie でターゲットを絞った機密データ発見ジョブを実行することで、特定の S3 バケットをより深く調査するための判断材料となります。対象となる機密データを発見するジョブを実行することで、医療保険の相互運用性と説明責任に関する法律 (HIPAA) や一般データプライバシー規則 (GDPR) などの規制を満たすことができるようになります。すべての Macie の調査結果は Amazon EventBridge に送信され、AWS Security Hub に公開されて、S3 ストレージへのパブリックアクセスのブロックなどの自動修復を開始することも可能です。Macie では、機密データの自動検出と S3 バケットレベルの評価を含むサービスを含む、30 日間の無料トライアルを利用することができます。また、無料トライアルは、有償での利用を決定する前に、継続して利用する場合の推定費用を把握するのに役立ちます。
Amazon S3 セキュリティの継続的な評価
Amazon Macie では、お客様の S3 環境を継続的に評価し、全アカウントのデータセキュリティ態勢を要約して提供します。バケット名、タグ、暗号化状況や公開アクセスなどのセキュリティコントロールなどのメタデータ変数により S3 バケットを検索、フィルター、ソートできます。暗号化されていないバケット、アクセスが公開されているバケット、AWS Organizations の定義外の AWS アカウントと共有されているバケットについては、操作を実行するとアラートが表示される場合があります。その後、Macie は自動的に S3 バケット内のオブジェクトをサンプリングして分析し、個人を特定できる情報 (PII) などの機密データを検査し、アカウント間で S3 内の機密データが存在する場所のインタラクティブなデータマップを構築し、各バケットの機密スコアを提供します。インタラクティブなデータマップは、Macie でターゲットを絞った機密データ発見ジョブを実行することで、特定の S3 バケットをより深く調査するための判断材料となります。
対象機密データ検出
Amazon Macie では、Amazon S3 バケット内のすべてのオブジェクトまたはサブセットに対する機密データの検出ジョブを 1 回、毎日、毎週、または毎月実行できます。対象機密データ検出ジョブで、Amazon Macie はバケットに対する変更を自動的に追跡し、新しいオブジェクトまたは変更されたオブジェクトのみを評価します。
フルマネージドの機密データタイプ
Amazon Macie は増加する機密データタイプのリストを保持します。これには一般的な個人を特定できる情報 (PII) と GDPR、PCI DSS、HIPAA などのデータプライバシー規則で定義されている機密データタイプが含まれます。これらのデータタイプでは機械学習などのさまざまなデータ検出技術が使用され、時間の経過に伴い継続的に追加され、改善されていきます。
専用または独自のデータタイプを調べます。
Amazon Macie には、正規表現を使用してカスタム定義のデータタイプを追加する機能が用意されています。これにより、Macie でお客様のビジネスに専有または固有の機密データを検出することができます。
詳細かつ実用的なセキュリティおよび機密データの検出内容
Macie では、検出内容をオブジェクトまたはバケット単位で統合することによりアラートの量を削減し、トリアージをスピードアップします。Macie による検出内容は重大度に基づいて優先順位が付けられ、それぞれの検出には、機密データタイプ、タグ、公開アクセス、暗号化ステータスなどの詳細が含まれています。検出内容は 30 日間保持され、AWS マネジメントコンソールまたは API で利用できます。機密データ検出の完全な詳細が、長期保存のためにお客様所有の S3 バケットに自動的に書き込まれます。
Amazon S3オブジェクトで見つかった機密データを安全にレビューし、検証します。
Macie では、S3 内に見つかった最大 10 例の機密データを一度に選択し、一時的に取得することができます。この機能により、S3 オブジェクトのどのコンテンツが極秘であると特定されたかをより簡単に表示して理解できるため、必要に応じて迅速に確認、検証し、対策を講じられるようになります。キャプチャされた極秘データの例はすべてユーザーが管理する AWS Key Management Service (KMS) のキーを使って暗号化され、取得後に Macie コンソールで一時的に表示できます。
テキストやテキストパターンを指定するための許可リストの作成と管理
Macie の許可リスト機能は、アクションを必要としないデータテキストや環境内のフォーマットによるアラート量を減らすのに役立ちます。許可リストとは、Macie が S3 オブジェクトの機密データを検査する際に無視させたい特定のテキストまたはテキストパターンを定義するものです。テキストが許可リストのエントリまたはパターンに一致する場合、そのテキストが管理データ識別子またはカスタムデータ識別子の基準に一致しても、Macie は機密データの調査結果または機密データの検出結果でそのテキストを報告しません。
データソースの統合なしで、一度の選択でデプロイ
AWS マネジメントコンソールで一度選択するか、単一の API コールで、1 つのアカウントで Amazon Macie を有効にできます。コンソールで数回選択するだけで、複数のアカウントで Macie を有効にできます。Macie を有効にすると、バケットとオブジェクトのカウントやバケットレベルのセキュリティとアクセスの制御を含む、アカウント全体での継続的な S3 リソースのサマリが生成されます。
マルチアカウントのサポートと AWS Organizations との統合
マルチアカウント構成では、1 つの Macie 管理者アカウントですべてのメンバーアカウントを管理できます。これにはアカウント全体での機密データ検出ジョブの作成と管理が含まれます。Macie は、AWS Organizations との連携により、複数アカウントに対応しています。セキュリティと機密データの検出内容は Macie 管理者アカウントに集約され、Amazon EventBridge に送信されます。1 つのアカウントを使用して、イベント管理、ワークフロー、チケット管理のシステムと統合したり、Macie の検出内容を AWS Step Functions で使用して是正措置を自動化したりすることができます。
