はじめに
コンサルティング課の前田 征大です。
日頃は、お客様のセキュリティ関連ドキュメントのリスクアセスメントなどを担当しています。
近年、情報漏えい事故の発生が増加しており、「データ保護」の重要性がこれまで以上に高まっていると筆者は感じています。
業務では、セキュリティのフレームワークや各種ガイドライン*1を確認する機会が多いですが、データ保護に関する運用手法や必要性について筆者なりに考える機会が増えています。
さらに、AWSをはじめとしたクラウドサービスの活用が加速し、データ管理や運用方法も多様化していると筆者は認識しています。
こうした環境変化の中で、システム管理者や運用担当者の方々の中には、「どこまでデータを守れば十分なのか」「運用や責任分担をどう明確化すればよいのか」といった疑問を抱く方も少なくないのではないでしょうか。
そこで本記事では、こうした疑問にお応えすべく、データ保護対策の基本を整理し、その代表的な手法であるDLP(Data Loss Prevention)について解説します。また、AWSのDLPサービスであるAmazon Macieがどのような保護ができるか、その特徴を検証します。
- はじめに
- 対象読者
- クラウド環境におけるDLPの重要性について
- Amazon Macieとは?
- Amazon Macie検証例
- DLP対策のポイント(セキュリティコンサルタントの視点)
- おわりに
- 参考文献
対象読者
AWSの開発・保守・運用に携わる方、クラウド環境でのデータ保護やDLP導入に関心のある方
クラウド環境におけるDLPの重要性について
DLPを解説する前に、まずはデータの状態を理解することが重要です。 クラウド環境におけるデータは、「保存中」・「転送中」・「使用中」*2の3つに分類されています。 クラウド環境では、特にデータの保存・転送・使用の自由度が高いため、データがどこに分散し、誰がアクセスできるかなど、その全体像を把握しづらいという課題が生じます。
こうした複雑な状況に対応するために、DLP製品は管理者が見落としやすいリスクの可視化や、自動的なリスク通知の役割を果たします。 DLPの主な機能や役割については、「図1 DLPの主要機能」でご紹介します。
Amazon Macieとは?
前章で述べたように、クラウド上の機密データの検知やリスクの可視化は大きな課題だと筆者は感じています。
この課題を現実に支援できるAWSのサービスがAmazon Macieです。
Amazon Macieは、Amazon S3に格納されたデータを自動的にスキャンし、個人情報*3などの機密情報を検出・可視化するサービスです。
Amazon Macieは、標準で多数のPII*4識別子に対応しており、機密データの早期発見に役立ちます。
一方、S3以外のデータの保存・転送中・使用中の監視には非対応です。
また、Macie単体では検出後の自動対応(たとえばリソース隔離やアラート送信など)はできないため、自動化・他サービス連携にはAmazon EventBridgeなどの仕組みを組み合わせる必要があります。
本記事では、個人情報保護法で定義されている「個人情報」および「個人識別符号」*5を利用して、検証を行いました。
Amazon Macie検証例
今回の検証では、「図2 AWS検証構成図」のとおり、S3に格納されたデータをAmazon Macieが自動スキャンし、検知された内容がAWS Security Hubに連携・集約される流れとなっています。 なお、Security Hubは補助的な機能として利用しています。
検証は、以下手順で実施しました。
- 合成データ(例:●●.json)を作成し、指定したS3バケットに格納します。
- Amazon Macieを有効化し、該当のS3バケットのみをスキャン対象としてジョブを実行します。
- Security Hubで検出結果を確認します。
検証パターン1:個人情報の検証
本検証では、Amazon Macieの標準機能(標準識別子)を利用した一般的な個人情報の検証をします。
検証したサンプルデータは、JSON形式(リソース名:test-data-jp.json)を利用しました。
※下記は参考イメージで、実際の検証時には本データと異なる架空情報を用いています。
{ "firstName": "◆◆", "lastName": "☆☆", "address": "〒123-4567 東京都テスト区サンプル町1-1", "phoneNumber": "03-0000-0000", "email": "taro.yamada@example.com", "ssn": "123-45-6789" }
検証パターン1の結果
「図3 標準識別子検証結果」のとおり、「test-data-jp.json」内のデータに氏名・住所などを組み合わせた情報が含まれているため、検知されました。
検証パターン2:個人識別符号の検証
本検証では、Amazon Macieのカスタム機能(カスタム識別子)を利用して、個人識別符号の検証をします。
検証したサンプルデータは、JSON形式(リソース名:テストデータ_マイナンバー.json)を利用しました。
※下記は参考イメージで、実際の検証時には本データと異なる架空情報を用いています。
[ { "名前": "〇〇", "マイナンバー": "000000000000", "説明": "これは〇〇のマイナンバーです。" }, { "名前": "△△", "マイナンバー": "111111111111", "説明": "これは△△のマイナンバーです。" }, { "名前": "□□", "マイナンバー": "222222222222", "説明": "これは□□のマイナンバーです。" }, { "名前": "◇◇", "マイナンバー": "333333333333", "説明": "これは◇◇のマイナンバーです。" }, { "名前": "××", "マイナンバー": "N/A", "説明": "これは××のデータですが、マイナンバーはありません。" } ]
検証パターン2の設定および検証結果
Amazon Macieのカスタム機能(カスタム識別子)を利用する場合は、設定が必要となります。 検証パターン2で設定した内容は、「図4 カスタム識別子設定内容」のとおりです。
このカスタム機能では、「正規表現」に加えて「キーワード(コンテキスト)」も検索条件として設定できます。 例えば「12桁の数字」のようなパターンと、「マイナンバー」などのキーワードを組み合わせることで、誤検知や不要な検出の削減につなげられます。
結果は、「図5 カスタム識別子検証結果」に示したとおりです。 「テストデータ_マイナンバー.json」内のデータが、Amazon Macieで設定した「正規表現」と「キーワード(コンテキスト)」の両方に一致し、正しく検知されました。
DLP対策のポイント(セキュリティコンサルタントの視点)
今回の検証結果から分かるように、Amazon MacieはS3上の個人情報および個人識別符号を検知できる有効なツールです。
ただし、DLP対策の“実効性”を高めるにはサービスの導入だけでは不十分です。 実際の現場では、自社の業務やクラウド環境に合わせてカスタム設定やルールの定期的な見直しを実践することが重要だと感じています。
「表1 DLP対策ポイント」は、クラウド環境でDLPをより効果的に活用するための参考となる取り組みや着眼点を、セキュリティコンサルタントとしての筆者視点で整理しています。
おわりに
本記事では、DLPの特徴およびAmazon MacieによるS3データの可視化のポイント、活用上の留意点を紹介しました。
Amazon Macieを含むDLPツールは、クラウド環境での膨大なデータから「本当に守るべき情報」を自動検知し、現場の担当者が素早く課題に気づき、対応できる環境 づくりに役立ちます。
一方、データの多様化に柔軟に対応するには、ツール“だけ”に頼るのではなく、組織ごとに最適な設定・運用・改善を積み重ねていく姿勢がセキュリティ品質向上につながります。
今後もAWSサービスや法規制の進化を注視しながら、クラウド利用の現場でより実践的なデータ保護の仕組みやノウハウが広がっていくことを期待しています。
本記事が、皆さまのDLP課題の解決や、クラウドDLP活用の「次の一歩」を考える材料となれば幸いです。
参考文献
データ損失防止 (DLP) とは
https://aws.amazon.com/jp/what-is/data-loss-prevention/AWS Black Belt Online Seminar Amazon Macie
https://pages.awscloud.com/rs/112-TZM-766/images/20200812_AWS-BlackBelt-Macie.pdfMicrosoft Purview データ損失防止について
https://learn.microsoft.com/ja-jp/purview/dlp-learn-about-dlpCloud Security Alliance, Security Guidance For Critical Areas of Focus in Cloud Computing v5
(日本語訳:CSAジャパン) https://csajc1.sharepoint.com/:b:/s/CSAJapanMaterial/EUlZKxZvdmhKs4QdQW0_EmYB4Er0V0-LFPRxr1iSZ2XshQ?e=H1rEvi
