大企業と中小企業の両方でセキュリティ侵害が増加する中、包括的なセキュリティプラットフォームが不可欠です。個人識別情報(PII)などの貴重なデータの保護は不可欠です。AWSクラウドに保存されるデータの量が増え続けるにつれ、組織はデータとその権限の手動による分類、監査、監視に時間がかかり、非効率的であると感じることが多くなっています。自動化された検出と保護のメカニズムが不可欠です。
Amazon Macie はそうしたサービスの一つであり、クラウドデータの分散状況と機密性をより深く理解し、コンプライアンスリスクや潜在的なデータ侵害を軽減するのに役立ちます。この記事では、Macie の機能、仕組み、そして潜在的な用途について解説し、組織が機密データの保護にどのように役立つかを明確に理解できるよう支援します。
Amazon Macie とは何ですか?
Amazon MacieはAWSが提供するセキュリティサービスです。機械学習とパターンマッチング技術に基づき、AWSクラウド内の機密データを自動的に検出、分類、保護することができます。現在、Macieは主に以下のものをサポートしています。 アマゾンS3将来的にはさらに多くの AWS データ ストアに拡張する予定です。
Macie を使用すると、バケット内の PII(氏名、社会保障番号、クレジットカード情報など)、保護対象医療情報(PHI)、GDPR や HIPAA などの規制に準拠したその他のデータを簡単に識別できます。データ自体の識別に加えて、Macie は S3 バケットの設定とアクセス制御を継続的に監視し、設定ミスやデータ漏洩のリスクを軽減します。
基本的に、Macie は企業が次の重要な質問に答えるのに役立ちます。
- S3 バケットにはどのような種類のデータが保存されますか?
- このデータは正確にはどこに保存されていますか?
- データはどのように共有されますか?完全に非公開ですか、それとも公開されるリスクがありますか?
- ほぼリアルタイムのデータ分類を実現することは可能ですか?
- どのようなデータが PII または PHI に該当し、誤って開示される可能性がありますか?
- リスクが発生した場合、どのように迅速に対応し、修復策を構築できますか?
Macie はどのように機能しますか?
AWSアカウントでMacieを有効にすると、数分以内にすべてのS3バケットをスキャンし、インベントリを生成します。その後、Macieはバケットのセキュリティ体制を評価し、アクセス制御ポリシーの監視を開始します。不正アクセスやデータ漏洩につながる可能性のある設定などの異常が検出された場合、Macieはセキュリティチームが対応できるよう詳細な調査結果を生成し、セキュリティチームに通知します。
Macie の機能モジュールには、主に次の 4 つの側面が含まれます。
1. サマリーダッシュボード
ダッシュボードは、データの保存方法とアクセス状況を包括的に把握できるビューを提供します。バケット数、オブジェクト数、総ストレージ容量に加え、バケットが公開、暗号化、組織間で共有されているかどうかの内訳も表示されます。これにより、セキュリティチームはリスクの高いバケットを迅速に特定し、対策を講じることができます。
2. メイシー・ジョブズ
ユーザーは「ジョブ」を通じて機密データ検出タスクを自動化できます。ジョブは、迅速なスキャンと分析のために一度だけ実行することも、継続的な監視のために毎日、毎週、毎月のスケジュールで実行することもできます。これにより、手作業による反復的な調査の負担が軽減されます。
3. 調査結果
検出結果は、潜在的なポリシー違反や機密データの漏洩に関する詳細なレポートです。Macieは、ポリシーベース(例:バケットが暗号化されていない、または公開されていない)と機密データベース(例:ファイルに社会保障番号が含まれている)の2種類の検出結果を生成します。すべての検出結果は、 Amazon CloudWatch イベント 自動アラートおよび修復ワークフローをトリガーするための統合。
4. 自動データ検出
AWSは2022年、Macieの「自動データ検出」機能を発表しました。この機能はS3バケットを継続的に分析し、その機密性を自動的に評価して結果を集約するため、ユーザーが手動でスキャンをスケジュールする必要がなくなります。フルデータスキャンと比較して、このアプローチはコストを削減しながら、潜在的なリスクを効果的に特定します。企業はバケットをスキャンから除外することで、さらにコストを削減できます。
Macieの利点
- セットアップが簡単
- Macie を有効にするのは、コンソールで数回クリックするだけです。 AWS 組織 のサポートにより、管理者は組織全体のすべてのアカウントで Macie を一元的に有効にすることができ、運用上の負担が大幅に軽減されます。
- 継続的な監視と警告
- Macie は S3 バケットのセキュリティを継続的に評価します。暗号化されていないバケットを検出するだけでなく、組織間で共有されている、または公開されている危険なバケットも特定します。定期的なジョブと組み合わせることで、Macie は組織がデータ資産のセキュリティを継続的に維持するのに役立ちます。
- コンプライアンスサポート
- GDPR、PCI-DSS、HIPAA などのデータ プライバシー規制など、Macie は機密データの識別を自動化し、手動検証のコストとリスクを削減することで、企業がコンプライアンス監査要件を迅速に満たせるよう支援します。
- カスタム機密データタイプ
- 一般的な機密データに対する組み込み検出機能に加え、ユーザーは正規表現を使用して、社内契約番号や顧客コードなど、企業固有のデータタイプを定義することもできます。これにより、Macie はビジネス特性に合致する機密情報をより正確に識別できます。
Macieの典型的な使用例
- データのプライバシーとセキュリティを簡素化: 企業は S3 で機密データを一元的に管理し、潜在的なリスクを迅速に特定できます。
- コンプライアンス監査を満たす: 外部規制当局や内部監査のニーズを満たすために、データ スキャン ジョブとレポートを定期的に生成します。
- 大規模データ検出: 数百のバケットと数百万のオブジェクトにまたがる複雑な環境でも、Macie は機密情報を迅速に識別できます。
価格モデル
マシー 30日間無料トライアルこの期間中、すべてのS3バケットは無料で評価され、1GBの機密データ検出サービスも無料でご利用いただけます。その後の料金は主に2つに分かれています。
- バケット評価: 30 日間の無料期間後は、バケットごとに月額 0.10 ドルの料金がかかります。
- データ検出処理量: 課金はスキャンされたデータの量に基づいて行われ、地域によって価格が若干異なります。
この柔軟な課金モデルにより、企業は自社の規模とニーズに基づいてセキュリティコストを合理的に管理できます。
他のセキュリティサービスとの比較
- Amazon ガードデューティ: 異常なAPI呼び出しや不正なデプロイメントの可能性を特定するなどの脅威検出に重点を置いています。一方、Macieは、 機密データの分類と保護。
- AWS セキュリティハブMacie の調査結果は、他のセキュリティ サービスからのアラートと一緒に表示できるため、企業はセキュリティ インシデントを一元的に管理し、優先順位を設定できます。
これら 2 つを組み合わせることで、「データ セキュリティ + 脅威検出」をカバーする完全なセキュリティ クローズド ループを形成できます。
要約する
データセキュリティの重要性がますます高まる中、Amazon Macie は、S3 に保存されている機密データを効率的に検出し、保護するための自動化ツールを企業に提供します。これにより、手作業によるレビューのコストが削減され、コンプライアンス要件の遵守に役立ちます。スタートアップ企業から大企業まで、Macie はクラウドにおけるデータセキュリティ管理を容易にします。
