【Security Hub修復手順】[Macie.2]Macie自動機密データ検出を有効にする必要があります

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

平井裕二

2024.07.22

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Macie.2] Macie 自動機密データ検出を有効にする必要があります

[Macie.2] Macie automated sensitive data discovery should be enabled

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

本コントロールは、Amazon Macie 管理者アカウントでの機密データの自動検出が有効になっているかどうかをチェックします。
Macie 管理者アカウントで機密データの自動検出が有効になっていない場合、コントロールは失敗します。
このコントロールは管理者アカウントにのみ適用されます。

ドキュメントには記載がありませんが、私の環境では、Macieがそもそも有効になっていない場合、本コントロールは失敗にはなりませんでした。

Amazon Macieは、機械学習とパターンマッチングを活用して、S3バケット内のオブジェクトに含まれる機密情報を検出し、データセキュリティリスクを可視化するセキュリティサービスです。さらに、それらのリスクに対して自動保護も可能です。

Macieが検出する機密情報には、S3バケットに保存されているAWSのシークレットアクセスキー、クレジットカード番号、個人を特定できる情報（PII）などが含まれます。Macieは、これらのデータを自動的に検出し、レポートを作成します。
Macieの概要は、以下の記事をご参照ください。

Macieは、S3バケット内のオブジェクトを分析するために、機械学習やパターンマッチングなどの組み込まれた基準と手法を使用して機密データを検出します。

これらの基準と手法は「マネージドデータ識別子」と呼ばれ、個人を特定できる情報（PII）、財務情報、認証情報など、多くの国や地域で重要視される様々な種類の機密データを検出できます。

Macieは、マネージドデータ識別子を使用して、主に以下のカテゴリの機密データを検出します

認証情報：プライベートキーやAWSシークレットアクセスキーなど
財務情報：クレジットカード番号や銀行口座番号など
個人情報：
- PHI（Protected Health Information）：医療保険や医療識別番号など
- PII（Personally Identifiable Information）：運転免許証番号やパスポート番号など

自動検出を有効化することで、インベントリデータを毎日評価して自動検出の対象となる S3 オブジェクトを特定し、潜在的な脅威を早期に特定して保護を可能にします。これにより、セキュリティリスクを低減できます。

ただし、マネージドデータ識別子のうち、住所など国ごとに形式が異なるデータの多くが日本に対応していないことに注意が必要です。
そのため、本コントロールへの対応は必須ではなく、組織のセキュリティ要件に応じて判断するとよいです。

国ごとに対応しているマネージドデータ識別子の機密データタイプは、以下のAWSドキュメントにまとめられています。

ステークホルダー（リソースの作成者や管理している部署などの関係者）に以下の点を確認します。

AWSマネジメントコンソールからMacieサービスページに移動し、自動検出をクリックします。
機密データ自動検出のステータスの「有効化」をクリックします。
「機密データ検出を有効化しますか?」というメッセージが表示されますので、「有効化」をクリックします。有効化後、Macieが自動的にS3バケットの分析を開始します。
有効化後、48時間以内に検出結果が表示されるとメッセージが出ました。
Security Hubページに戻り、対象のコントロール（Macie.2）のステータスが「合格（PASSED）」に変更されたことを確認します。この更新には数時間かかる場合があります。