目次
Amazon Macie の導入と運用
参考になった
1
レビュー投稿日の情報になります
株式会社Linc’well / oamam
メンバー / SRE
最終更新日投稿日
| ツールの利用開始時期 | 事業形態 |
|---|---|
| 2025年3月 | B to B B to C |
| ツールの利用開始時期 | 2025年3月 |
|---|---|
| 事業形態 | B to B B to C |
導入の背景・解決したかった問題
導入背景
S3 バケットに保存されているファイルにどのような機密データが含まれているかを把握し、セキュリティリスクを減らす必要があった。
導入の成果
これまで不透明だったバケットオブジェクト内の機密情報の有無や種類が可視化されるようになり、早期発見・リスク回避できるようになった
導入時の苦労・悩み
コストの見積り
フルスキャンを行うと約 $2,000 ほどの費用が発生すると試算され、事前に予算と効果を精査する必要があった。
カスタムデータ識別子の設計
組織特有のデータを検出するため、正規表現やキーワードを組み合わせたルール設計が必要だった。
運用方針の決定
検知結果に対して、できるだけシンプルに分析と対応を進められる方法を考える必要があった。
導入に向けた社内への説明
上長・チームへの説明
Macie に関する基本知識の整理
- 識別子
- スキャン方式
現状把握
- 現状の S3 の情報整理
- コスト見積もり
- 無料トライアルの実施可否
運用設計
- 検出結果の整理と開発チームへのエスカレーション
- 不要な検出の抑制
以上のような項目について調査・検証・議論を繰り返しながら導入した。詳細はこちらを参照
活用方法
- Macie コンソールでジョブやバケット、検知タイプ別に検出結果を確認する
- 検出結果と既知の機密情報を比較して、未知の機密情報を洗い出す
- 誤検知ではない、もしくは目視では判断できない場合、開発チームに実態調査を依頼する
- 実態を調査して既知であることが確認できたら、既知の機密情報一覧に追記する
- 未知の機密情報である場合、個別対応を実施する
- バケットに対する識別子のチェックが不要であることが確定した場合は、その識別子のチェックをアーカイブする
よく使う機能
- ジョブ
- 検出結果検索
ツールの良い点
- スキャンタイミングや対象をある程度コントロールできること
- 推定コストが表示されること
ツールの課題点
- 日本の規格に合ったマネージドデータ識別子が少ない
- 検索結果がわかりづらい
ツールを検討されている方へ
- 検知したいマネージドデータ識別子があるか確認する
- カスタムデータ識別子の正規表現やキーワードルールで検知できるか検証する
今後の展望
- 誤検知の抑制
- 検知結果の通知
株式会社Linc’well / oamam
メンバー / SRE
株式会社Linc’well / oamam
メンバー / SRE
レビューしているツール
目次
- 導入の背景・解決したかった問題
- 活用方法