Amazon Macieを利用すると、データのセキュリティまたはプライバシーに関する潜在的な問題を解決する事ができます。
また、機密情報の検出だけでなく、情報の可視化やデータの評価なども可能です。
本記事では、Amazon Macieの概要について紹介します。
- Amazon Macieとは
- 利用料金
- Amazon S3バケットの可視化
- ジョブの作成
- 検出結果の確認
- アクションの実行
- (参考)マルチアカウント環境におけるAmazon Macieの管理
- おわりに
Amazon Macieとは
機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービスです。
主に以下の特徴があります。
- Amazon S3バケットの使用状況の可視化と評価
- バケットの使用状況とバケットポリシーの可視化
- 機微情報*1の検出
- ジョブによる検出
- 柔軟な検出範囲と条件の設定
- AWSマネージド定義とカスタム定義の両方を利用可能
- スケーラビリティと集中管理の両立
- AWS Organizations対応
- 検出結果に対する対応の実行の自動化
- 詳細な結果(Findings)の出力とイベントによるAWSサービスとの連携
- 管理APIの提供
利用料金
利用料金と要素
利用料金の要素とコストは以下となります。
- Amazon S3バケット数
- バケット/月:0.10USD/1バケット
- 対象機密データ検出を実現するための検査対象データ
- 無料利用枠:スキャンに関して1か月1GBまで無料
- 最初の 50 TB/月:1.25USD/GB
- 追加の 450 TB/月:0.63USD/GB
- 500 TB 以上/月:0.31USD/GB
- 自動機密データ検出でサポートされているすべてのオブジェクト
- オブジェクト/月:0.012USD/100Kオブジェクト
利用料金の計算例
以下のシナリオで実際に計算してみます。
- Amazon S3バケット9個を持つアカウント
- バケットに合計176.2Kのオブジェクト(サポートされるすべてのオブジェクト)がある
- Macieは150GBのデータを検査して自動機密データ検出を実施
計算結果です。
9×0.10USD(0.10USD/月/1バケット)+176.2÷100×0.012USD (0.012USD/100Kオブジェクト)+(150-1) ×1USD (1USD/GB,1GB分無料利用枠)= 0.9USD+0.02USD+149USD= 149.92USD/月
料金の詳細は下記のドキュメントをご確認ください。
Amazon S3バケットの可視化
Amazon Macieではアカウントの全Amazon S3バケットをスキャンするのではなく、スキャンが必要なバケットを指定する仕組みです。*2
Amazon Macieの管理画面ではAmazon S3バケットの状況サマリーやバケット詳細を確認して対象バケットを指定することが可能です。
ジョブの作成
対象S3バケットの選択
機微情報を検出するためジョブを作成する必要があります。「Macie>S3バケット」画面からジョブが作成可能です。
機微情報を検出したい対象のS3バケットを選択してジョブを作成します。
スコープ設定
スコープでは、[スケジュール実行][サンプリング深度][オブジェクト条件]を設定します。
主にジョブの実行スケジュールやスキャン対象のオブジェクトを設定します。
識別子設定
マネージド識別子
AWSがマネージして提供する機微情報検出用の定義です。利用者によるカスタマイズができません。
Amazon Macieのジョブを実行すると自動で検出が行われます。*3
カスタムデータ識別子
利用者が検出定義を作成して独自の検出を行うことが可能です。キーワードと正規表現のパターンマッチングを作成する必要があります。
また、ジョブ単位に指定を行う必要があります。
設定したカスタムデータ識別子が正常に動作しているか、評価することも可能です。
検出結果の確認
ファイル単位で検出結果が出力され、なにも検出されなかった場合は出力されません。
1つのファイルに複数の機微情報が含まれる場合は、1つの検出結果が出力され、詳細にいくつデータがあったか表示されます。
何行目に含まれたという情報は検出結果に含まれません。
不要な表示を減らし管理を容易にするために、検出結果を非表示化することも可能です。
検出結果フィルター表示する画面で指定した条件のFindingsを自動アーカイブするSuppression Ruleを作成して検出結果を非表示化することが可能です。
アクションの実行
検出結果を選択して、アクションメニューからJSONへのエクスポートが可能です。
ブラウザ経由でローカルにダウンロードされます。また、同じ内容をAmazon S3に自動保存する設定をすることも可能です。
Amazon Macieの検出結果は30日間のみ保管されているので、長期間保管したい場合はAmazon S3に保存することが推奨されています。
(参考)マルチアカウント環境におけるAmazon Macieの管理
マスターアカウントの Amazon Macie でジョブを作成して、メンバーアカウントで実行できます。
手動によるメンバーアカウント追加の場合1000アカウント、AWS Organizations 構成の場合は5000アカウントまでサポートしています。
マスターアカウントでは、メンバーアカウントのS3情報もも表示することが可能です。
おわりに
Amazon Macieは機微情報を検出するためによく利用されますが、複数アカウントを利用している場合にAmazon S3バケットを一括で可視化することが可能です。
機微情報を検出しない場合は、利用料金もAmazon S3バケット数の料金のみ課金されます。
用途としては、機微情報の検出だけではないので、実装を検討している方の参考になれば幸いです。
*1:個人情報、クレジットカード、銀行口座番号などの保護が必要な情報、特許情報、設計技術など競合他社に知られてはいけない情報
*2:※Amazon Macieはリージョンごとのサービスなので、リージョンごとに設定が必要
*3:識別子ごとにサポートされている国や地域があるので確認が必要