Amazon Macie の特徴

Amazon Macie では、お客様の S3 環境を継続的に評価し、全アカウントのデータセキュリティ態勢を要約して提供します。バケット名、タグ、暗号化状況や公開アクセスなどのセキュリティコントロールなどのメタデータ変数により S3 バケットを検索、フィルター、ソートできます。暗号化されていないバケット、アクセスが公開されているバケット、AWS Organizations の定義外の AWS アカウントと共有されているバケットについては、操作を実行するとアラートが表示される場合があります。その後、Macie は自動的に S3 バケット内のオブジェクトをサンプリングして分析し、個人を特定できる情報 (PII) などの機密データを検査し、アカウント間で S3 内の機密データが存在する場所のインタラクティブなデータマップを構築し、各バケットの機密スコアを提供します。インタラクティブなデータマップは、Macie でターゲットを絞った機密データ発見ジョブを実行することで、特定の S3 バケットをより深く調査するための判断材料となります。

Amazon Macie では、Amazon S3 バケット内のすべてのオブジェクトまたはサブセットに対する機密データの検出ジョブを 1 回、毎日、毎週、または毎月実行できます。対象機密データ検出ジョブで、Amazon Macie はバケットに対する変更を自動的に追跡し、新しいオブジェクトまたは変更されたオブジェクトのみを評価します。

Amazon Macie は増加する機密データタイプのリストを保持します。これには一般的な個人を特定できる情報 (PII) と GDPR、PCI DSS、HIPAA などのデータプライバシー規則で定義されている機密データタイプが含まれます。これらのデータタイプでは機械学習などのさまざまなデータ検出技術が使用され、時間の経過に伴い継続的に追加され、改善されていきます。

Amazon Macie には、正規表現を使用してカスタム定義のデータタイプを追加する機能が用意されています。これにより、Macie でお客様のビジネスに専有または固有の機密データを検出することができます。

Macie では、検出内容をオブジェクトまたはバケット単位で統合することによりアラートの量を削減し、トリアージをスピードアップします。Macie による検出内容は重大度に基づいて優先順位が付けられ、それぞれの検出には、機密データタイプ、タグ、公開アクセス、暗号化ステータスなどの詳細が含まれています。検出内容は 30 日間保持され、AWS マネジメントコンソールまたは API で利用できます。機密データ検出の完全な詳細が、長期保存のためにお客様所有の S3 バケットに自動的に書き込まれます。

Macie では、S3 内に見つかった最大 10 例の機密データを一度に選択し、一時的に取得することができます。この機能により、S3 オブジェクトのどのコンテンツが極秘であると特定されたかをより簡単に表示して理解できるため、必要に応じて迅速に確認、検証し、対策を講じられるようになります。キャプチャされた極秘データの例はすべてユーザーが管理する AWS Key Management Service (KMS) のキーを使って暗号化され、取得後に Macie コンソールで一時的に表示できます。

Macie の許可リスト機能は、アクションを必要としないデータテキストや環境内のフォーマットによるアラート量を減らすのに役立ちます。許可リストとは、Macie が S3 オブジェクトの機密データを検査する際に無視させたい特定のテキストまたはテキストパターンを定義するものです。テキストが許可リストのエントリまたはパターンに一致する場合、そのテキストが管理データ識別子またはカスタムデータ識別子の基準に一致しても、Macie は機密データの調査結果または機密データの検出結果でそのテキストを報告しません。

マルチアカウント構成では、1 つの Macie 管理者アカウントですべてのメンバーアカウントを管理できます。これにはアカウント全体での機密データ検出ジョブの作成と管理が含まれます。Macie は、AWS Organizations との連携により、複数アカウントに対応しています。セキュリティと機密データの検出内容は Macie 管理者アカウントに集約され、Amazon EventBridge に送信されます。1 つのアカウントを使用して、イベント管理、ワークフロー、チケット管理のシステムと統合したり、Macie の検出内容を AWS Step Functions で使用して是正措置を自動化したりすることができます。