Security-JAWS 第6回勉強会で「ざっくりわかるAmazon Macie」を話しました  #secjaws

Security-JAWS 第6回勉強会で「ざっくりわかるAmazon Macie」を話しました #secjaws

Clock Icon2017.08.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

2017年8月24日(木)に開催されたSecurity-JAWS 第6回勉強会で、「ざっくりわかるAmazon Macie」というタイトルでお話しました。会場は株式会社ラックさん。

21078426_1382980725143362_6819455779869658261_n

登壇資料

内容

概要

・8月14日、AWS Summit 2017 New Yorkにて発表された新サービス。
・読みはメイシー。
・機械学習を使ってAWSに保存されている機密データを自動的に発見、分類、通知する。

できること

・特定のS3バケットを監視できる。
 ・S3バケット内のファイル(オブジェクト)の中身を読み、リスクを判別し、分類する。
 ・ファイルの中身はメモリにストリーミングして分析する。
 ・複雑でより深い分析が必要な場合は、完全なコピーをダウンロードし、分析し、分析が終わったら削除され、メタデータのみ保持される。
 ・完全なコピーがS3以外の場所にも(一時的に)保持されることは認識しておいたほうがいい。
・特定のアカウントのCloudTrailを監視できる
 ・記録されたAPIログを分類する。
・異常を検知したら警告を出す。
 ・CloudWatch Eventsに関連付けて通知ができる。
 ・CloudWatch Events経由で保護制御(アクセス取り消し、パスワードリセットなど)ができる。
・バージニアリージョンとオレゴンリージョンで使える
 ・英語向けに最適化されている。

できないこと

・S3とCloudTrail以外は監視できない。
 ・今年後半に他のデータストアもサポート予定とのこと。Amazon EC2、Amazon DynamoDB、Amazon RDS、Amazon EFS、AWS Glue。
・異常の検知はできるが保護はできない。
 ・あくまで発見、分類、通知。
 ・保護はCloudWatch Events経由で行う。
・(現時点では)バージニアリージョンとオレゴンリージョン以外では使えない。
・(現時点では)英語しか使えない。

ファイルの分類タイプ

コンテンツタイプ

・ファイルのヘッダに埋め込まれている識別子によってリスクレベルを1-10に振り分ける
・[Settings]-[Content types]で確認可能。
・コンテンツタイプの追加や修正はできない。

拡張子

・拡張子を確認してオブジェクト分類を行う
・[Settings]-[File extensions]で確認可能。
・拡張子の追加や修正はできない

テーマ

・予めいくつかのテーマ(キーワード)が用意されている
・そのキーワードを元にファイルを検索してテーマごとに1-10のリスクレベルを設定する
・[Settings]-[Themes]で確認可能。
・テーマの追加や修正はできない

正規表現

・Macieが正規表現を用いて特定のデータパターンを検出してリスクレベルを振り分る
・正規表現の追加や修正はできない

Personally Identifiable Information (PII)

・NIST-80-122やFIPS 199などに基づいた個人識別が可能なデータを認識する
 ・氏名
 ・郵送先住所
 ・メールアドレス
 ・クレジットカード番号
 ・IPアドレス(IPv4およびIPv6)
 ・運転免許証ID(米国)
 ・国識別番号(米国)
 ・生年月日
・認識した要素をhigh / middle / lowのリスクに振り分ける

Support Vector Machine-Based(SVM)分類

・ファイルのメタデータ(ドキュメント長やエンコーディング、ヘッダなど)とその中身をnグラム分析し、結果を元にファイルを分類する
 ・電子書籍
 ・暗号化キー
 ・Eメール
 ・財務データ
 ・アプリケーションログ
 ・DBダンプ
 ・ソースコード...

通知からの保護

ブログに書きました。

ユースケース

・機密データに誤って設定されたアクセス権限の検知
・ソースコードに含まれたAPI キーの検知
・機密データの保存およびアクセスが適切に行われていることの検証
・データを保管するS3バケットの権限の不正変更の検知
・不注意によるデータ公開
・内部者による脅威
・対象を絞った攻撃
・通常とは異なるIPアドレスからの大量の機密データダウンロードの検知
・通常アクセスしないはずのユーザーアカウントからの機密データダウンロードの検知
・企業全体で共有されているリスクの高いドキュメント(個人情報、知的財産、労務情報など)の不正アップロードの検知

価格

・コンテンツの分類
 ・最初の1GB: 無料
 ・それ以降: $5/GB
・CloudTrailイベント処理
 ・最初の100,000件: 無料
 ・それ以降: $4/1,000,000件
・データ保持
 ・最初の30日間: 無料
 ・それ以降: $0.05/処理GB

まとめ

・リスク分析の観点から全ユーザー有効にしたほうが良い
・他のリージョン、他の言語への対応に期待大
・CloudWatch Events -> Lambdaでの保護パターンも今後ノウハウが蓄積されていくはず
・ぜひ使ってみてください!

さいごに

Amazon Macieは全ての環境で有効にすべきだと思うくらい、重要なサービスになると思います。他リージョンや他言語への対応に期待しています!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.