Amazon Macieの機密データ検出ジョブにてマネージドデータ識別子の選択が出来るようになりました

2021.09.27

いわさです。

先日のAmazon Macieのアップデートで、機密データ検出ジョブにおいてどのマネージドデータ識別子を使うかを選択出来るようになりました。

「出来るようになりました」なんて言って、Macie初めて触るんですけどもね。
以下の記事にて以前の操作イメージを確認することが出来ましたので、まずは現在のマネージメントコンソールと比較しました。

どうやらジョブの作成ステップに、以下のマネージドデータ識別子を選択するステップが追加されたようです。

以前はマネージドデータ識別子についてはデフォルトのまま決まった内容での検出がされていました。
マネージドデータ識別子は様々な検出項目が用意されているのですが、今回のアップデートで必要/不要な検出項目をコントロールすることが出来るようになりました。

では実際にジョブを実行して挙動を確認してみましょう。

機密データの作成

S3バケットに機密データっぽいものをCSVで用意して格納することにしました。

注意点として、マネージドデータ識別子のチェックルールのいくつかは特定のキーワードを含んでいる(あるいは文字列にキーワードが近い)という検出における前提条件がついているものがあります。
たとえば、AWSのシークレットを検出するデータ識別子についてはデータの付近にaws_secret_access_keyなどのキーワードが存在していることが検出の前提となります。
個人情報のデータ識別子については生年月日データの付近にbirthdayなどが存在していることが検出の前提となります。

一方、クレジットカード番号についてはキーワードは不要で、桁数とカードの種別の含むプレフィックス(例:VISAであれば4始まりで13-16桁)などが条件となります。

項目毎の検出条件は以下に詳しく記載がありますので、参考にしてください。

ジョブの実行

まずは、Allでカスタムデータ識別子の指定なしで実行してみます。

5~10分ほどでジョブが完了し、検出結果があがってきました。

Personal, Financial, Credentialsで検出されていますね。
では、次は対象のマネージドデータ識別子を変更して同じバケットを検査してみましょう。

除外

ExcludeAWS_CREDENTIALSを除外させてみます。
なお、除外項目は複数選択が可能です。

ジョブの実行状況確認画面でも、選択したマネージドデータ識別子に関する設定内容が表示されていますね。

こちらが検出結果です。

期待どおり、AWS_CREDENTIALSに関する検出がされなくなりました。

含む

次は逆にAWS_CREDENTIALSだけを検出したいと思います。
特定のマネージドデータ識別子に絞って使う、こちらの使い方のほうがニーズはありそうな気はします。

Selection data typeにIncludeを選択し、AWS_CREDENTIALSのみ選択します。

期待どおり、AWS_CREDENTIALSのみ検出されました。

まとめ

本日はAmazon Macieにてマネージドデータ識別子の選択を試してみました。

試した中で気づいた点があったのですが、Amazon Macieはアジア圏のフォーマットに全然対応しておらず使う機会が少ないかなぁなんて先入観をもっていたのですが、マネージドデータ識別子を確認してみると結構日本のソリューションでも使えそうな項目もありますね。
精査のうえ改めて導入を検討してみたいなと思いました。