Amazon Macie のジョブ検出結果で機密データの一部を取得し迅速に確認出来るようになりました

2022.07.29

いわさです。

Amazon Macie で機密データをレビューするための新機能が登場しました。
今までは Macie のジョブで検出された結果では対象S3バケットやオブジェクトなどの場所がわかるのみで、対象のデータを確認するためには実際にオブジェクトにアクセスして中身を確認する必要がありました。
今回登場した昨日を使うと、検出結果画面から実際に検出されたデータを確認することが出来るようになりました。

使い方ですが、まず前提としてこの機能は自動で有効化されているわけではないので Macie の設定画面で有効化が必要です。
その後ジョブを実行し、検出結果画面からReview操作が可能になっています。
なお、全てのデータが閲覧出来るわけではなく、対象識別子にヒットしたデータが10件まで確認出来る仕様となっています。

概要は以上なのですが、実際に試してみましたので以降ではより詳細な操作方法・画面イメージなどもご紹介します。

検証用サンプルデータ作成

Macie では機密データを検出するということで、個人情報っぽいサンプルデータを用意します。
ずいぶん前に Amplify Admin UI でダミーデータが作成出来るようになったのですが、こちらの機能を浸かってダミーデータを生成してみました。

以前と少し異なり、Amplify Studio 内でモデルを作成してダミーデータを生成する流れに変わっていますが、大きく変わっていません。

上記のようなサンプル個人情報データを100件ほど作成しました。

機密データ検出結果のリポジトリ

機密データのサンプリングデータを検出時に取得するためには、Macie の設定画面にて Reveal senditive data samplesを設定する必要があります。
ただし、その設定を有効化するためにはさらに前提条件があり、機密データ検出結果リポジトリを設定済みである必要があります。

Amazon Macie はジョブで検出された機密データ検出結果をここで設定した S3 バケットへ既定の日数保存します。
この設定値の詳細は以下をご確認ください。

「今すぐ設定」ボタンで表示される設定画面にて、対象の S3 バケットと、KMS キーを指定します。

Reveal senditive data samples

さて、機密データ検出結果のリポジトリが設定されていると、こちらの設定も可能になっています。
デフォルトは無効となっております。

こちらの設定が無効の場合はジョブ検出結果画面のReveal samplesは以下のようになり、サンプル取得画面を開くことは出来ません。
こちらの設定画面に遷移します。

設定方法は簡単で、有効/無効を選択し、KMS キーを選択するだけです。

なお、こちらの設定を行う前に検出されたジョブ結果については、有効化後もNot supportedのままですのでご注意ください。

サンプル取得

ここまで設定されると、あとはジョブを実行するだけです。
実行されたジョブを選択し、検出結果を表示します。

検出結果がいくつか上がっている場合はそのひとつを選択してください。
この記事では個人情報のNameを対象に確認を行います。

Sensitive dataReveal samplesReviewリンクが表示されているはずです。
こちらを押下します。

Reveal sensitive data samples画面へ遷移します。
初期表示ではカテゴリ・種別と件数のみ表示されていますが、Reveal samplesを押下することで最大10件までのサンプルが取得されます。

なお、こちらはランダムでサンプリングされているわけではなく先頭から順に10件取得されているようです。

さいごに

本日は、Amazon Macie のジョブ検出結果で機密データの一部を取得し迅速に確認出来るようになったので実際に確認を行ってみました。
アップデート情報にあったように検出時のセキュリティ調査を迅速に行えるようにという趣旨の機能のようです。

日本語圏のフォーマットの対応状況や、個人情報を Macie に預けれるかという是非についてはこの記事で触れるところではありませんが、Macie が利用・活用出来る状況であれば、こちらの機能試して頂ければと思います。