[アップデート]Macieの新規項目が追加！AWS Security Hub のセキュリティ標準に新たに1つのチェック項目が追加されました(2024/2/19)

あしざわです。

みなさん、Security Hubの運用されていますか？

Security Hubドキュメントに更新があり、2024/2/19に新規コントロールが追加されたようです。

今回追加されたコントロールは以下1件のみでした。

• [Macie.2] Macie automated sensitive data discovery should be enabled

このコントロールは『AWS 基礎セキュリティのベストプラクティス v1.0.0』にも追加されています。

参照：AWS Foundational Security Best Practices (FSBP) standard - AWS Security Hub

このブログでは、以下の形式でコントロールに関する情報をまとめます。

項目	概要
重要度	Security Hubが定める検出結果の重要度を表します。Critical > High > Medium > Lowの順に重要度が高いことを示します。
概要	コントロールでチェックされる内容を簡単にまとめています。
参考ドキュメント	コントロールについて考える上で、参考になる公式ドキュメントやブログサイトなどのリンクをまとめています。

Amazon Macie

[Macie.2]Macie automated sensitive data discovery should be enabled

重要度

High

概要

Macieの機密データ自動検出機能が有効化されているかチェックします。無効化されている場合は違反となります。

機密データ自動検出は、AWSアカウント上のS3バケットをチェックして機密データが含まれるオブジェクトを自動で検出する機能です。

この機能はMacieを有効化するとデフォルトで有効化されるオプションなので、このコントロールで違反となっている場合は、明示的に無効化されている可能性があります。確認しましょう。

参考ドキュメント

最後に

2/19に追加された新しいSecurity Hubコントロール1件についてまとめました。

今回のアップデートで、前回の12月に追加された[Macie.1] Macie should be enabledに続いて、Macieに関するコントロールが新しく1つ追加されました。

[Macie.1]はMacieのサービス有効化に関する項目でしたが、[Macie.2]はサービスを有効化した上でのオプション（機密データ自動検出機能）の有効化に関するチェック項目です。

Macieを利用するときは機密データ自動検出機能を無効化せず運用してほしいというAWSからのメッセージを感じますね。

[Macie.2]のコントロールはMacie自体を有効化していないとチェック対象にならないため、以下の流れで検討を進めていくことになると思います。

1. Macieを有効化するかを決める([Macie.1]に準拠するか？)
2. Macieを有効化する方針に決めた場合…
   1. 機密データ自動検出機能を利用するかを決める([Macie.2]に準拠するか？)
3. Macieを利用しない方針に決めた場合…
   1. Macie.2を検討する必要はない

Macieの日本語対応(特にデータ識別子)について、対応できていない状況に変わりはないため、現状の日本のサービスの大半のユースケースでは利用しない方向になるのではと想定しています。

引き続きですが、今後のMacieの日本語対応に期待したいです。

以上です。