[レポート] Automate data discovery with Amazon Macie #reInvent #SEC215
こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。
本記事はAWS re:Invent 2022のセッション「Automate data discovery with Amazon Macie」のセッションレポートです。
本記事では、ラスベガス現地から参加した際の写真を掲載しているため、スライド画像などが少し粗くなってしまっておりますが、なんとなく現地の雰囲気が伝われば幸いです。
セッション概要
Building a data protection strategy is crucial, and it starts with knowing what data you have and which data needs to be protected. Would you like a cost-effective solution to identify and alert you to sensitive data? Amazon Macie is a data protection service that uses machine learning and pattern matching to discover, protect, and improve visibility into your sensitive data in Amazon S3. This session provides an overview of Amazon Macie and a demo of the new intelligent data sampling feature. Hear from Oportun on how they are using Amazon Macie to automate sensitive information detection.
スピーカー
Himanshu Verma Principal Worldwide Security Specialist AWS
Anuj Gupta Principal Solution Architect AWS
Carlos Carols Director, Data Security Oportun
センシティブなデータディスカバリーの問題点とユースケース
- 組織やお客様はクラウドジャーニーを歩んでいる
- 日々、膨大な量のデータが作成され、顧客の機密データや個人を特定できる情報(PII)の特定が困難になっている
- さらに、グローバルに事業展開している企業では、グローバルな規制への準拠が必要な場合もある
- GDPRやCCPAのような地域的な規制への対応など、どのような規制にも対応しなければなりません
- 満たすためにはセンシティブデータの特定、対策を行い、センシティブデータの保護が必要
- センシティブデータの特定は、オンプレミスからの移行、新規プロジェクトに関わらない重要な課題である
Macieとは何か
- Amazon Macieは2020年に再ローンチしたサービス
- センシティブなデータを大規模に発見することにフォーカスしたサービス
- 機械学習とパターンマッチングを活用しセンシティブデータの特定おを行う
- 大きく2つの特徴がある
- Amazon S3とネイティブに統合されていること
- バケットとオブジェクトのインベントリを中心に、データ・セキュリティのポスチャマネジメントを提供する
- AWS Organizationsと連携し組織全体で利用することが勧められている
- 管理権限を持つアカウントは委任できる
- アカウントレベルで有効にすると、アカウントにあるすべてのS3バケットのインベントリを1つの場所に収集できる
- バケットのインベントリだけでなく、バケットポリシーの変更も監視している
- 暗号化ポリシーやアクセスコントロールポリシーに変更があった場合、リアルタイムでハイライト表示
- インテリジェント・サンプリングという機能を使って、毎日定期的にセンシティブなデータを自動的に発見するようになった
- 調査結果は、ポリシーの調査結果だけでなく、機密データの調査結果もコンソールで閲覧可能
- EventBridgeやSecurity Hubとも統合できる
- [New!]大規模な機密データの自動検出
- 新しいアカウントでこの機能を有効にすると、自動的にS3からインベントリーを取り込み、定期的にセンシティブなデータの評価が開始される
- センシティブ・データ・ディスカバリー・ジョブでターゲットバケットを選択可能
- 機密データをスキャンする必要がある場合、そのバケット内のすべてのデータをスキャン可能
- ジョブを設定し、毎日、毎週、毎月のいずれかにスケジュール化することも可能
- バケット内のどの程度をスキャンするかというオブジェクト基準も定義可能
- クレジットカード番号や銀行口座番号などの個人を特定できる情報など、幅広い種類のデータ識別子を管理し、お客様にマネージドに提供することができる
- 調査結果をもとに独自のカスタムダッシュボードを作成したり、イベントベースのアクションを実行して対応策を講じたり、データ保護活動を行ったりすることができる
- イベントベースのアクションを実行して対応策はデータに対して直接行える
アップデートについて
- 特定のバケットの機密データを検出するために、Macieスキャンジョブを作成しなければならないことがよくあった
- どのバケットを優先してスキャン実行し、機密データを検出するかを特定するために、顧客はある程度推測する必要があるが、1000ものバケットや10~数百のAWSアカウントを持っている場合はどうなるのか
- 今回のアップデートにより、すべてのs3バケットにあるすべてのデータベースアカウントにおいて、より広範囲に、継続的に機密データを発見することができる
- 機能を有効にするだけで すべてのアカウントで必要な幅広い可視性を提供
- データベースアカウント内の機密データを発見するための継続的なスキャンをサポート
- 検出するデータを絞ることでコストの最適化も行える
- 修復には優先順位をつけることができる
結果の表示方法について
実際にデモ画面を見ながら仕様の解説を行った
- 管理者アカウントに実際にリンクされているアカウントが6つ
- 6つのアカウントの中に合計107個のバケットがある
- 実際のワークロードの場合、数十から数百のAWSアカウントを持っているかもしれませんし、数百から千のs3バケットを持っている可能性がある
- 組織が大きくなるにつれて、機密データを発見したり、機密データがどこにあるのかを把握するのは複雑になってくる
ヒートマップ
- 異なるアカウントに100以上のバケットを持っており、バケットを異なる色で表示したヒートマップが提供されてている
- それぞれの四角がS3バケットを表しており、S3や特定のS3バケットに対してジョブを実行しなくても、どこに集中させるべきか視覚的に示してくれる
- どのアカウントなのか?そのアカウントでいくつのバケツが発見されたか?どのバケツに機密データがあるのか?が表示されている
- ヒートマップを利用することで、特定のアカウントに機密データがあるバケツがいくつあるのか、大まかに把握することができる
- それぞれのバケツの色は何かを表しているので、特定のアカウントIDをクリックすると、その特定のアカウントの調査フォーカスできる
- 赤色が濃いほど、異なるデータタイプのセンシティブデータが多いことを意味している
- 青色はオブジェクトをスキャンしているが、今のところ機密データを発見していないことを表していている。青色が濃いほど、スキャンしたデータの数が多い
除外機能
- バケットを除外するオプションが用意されている
- 検証用の目的で作成されたバケットに対してスキャンを除外するなどがユースケースの1つ
- 機密データを発見する識別子に関しても除外設定が可能
- 独自のカスタムデータ識別子を作成するオプションも用意されている
感想
「Macieとは」から「新機能について」まで解説されており、Macieについてより詳しくなれたと思いました。
実際に自分でも新機能を触ってみて、どのような機能なのか試してみたいと思います。
弊社アップデートブログもご覧いただけると嬉しいです。
以上、AWS事業本部コンサルティング部のたかくに(@takakuni_)でした!