AWSデータセキュリティ関連サービス解説:Lake Formation、Macie
AWSのデータ分析系サービスの紹介シリーズ第3回では、データの安全性に関するサービスに焦点を当て、AWS Lake Formationを用いたアクセス制御とデータ管理、Amazon Macieによる機密データの検出と保護について解説します。それぞれのサービスの概要を説明した後、AWS DEAの問題を基にしたケーススタディを通じて、プライバシー保護やコンプライアンス遵守に関する理解を深めていきたいと思います。
その他のデータ分析関連の記事はこちら
AWS Lake Formation
AWS Lake Formationは、フルマネージドでセキュアなデータレイク構築サービスです。このサービスを利用することで、データの収集、整理、カタログ化が簡素化され、安全でスケーラブルなデータレイクを迅速に作成することができます。
主な機能・特徴
-
データの取り込みと構造化
自動的にデータを取り込み、成形・暗号化して既存のAmazon S3バケットに登録します。これにより、データの整理が容易になります。
-
セキュリティ&コントロール
適切なユーザーやグループに対して正しいデータへのアクセス制御を定義できます。また、データベース、表、列の単位で制御が可能です。
-
協調&利用
メタデータカタログを利用して、データの検索や定義確認が行えます。すべてのアクセスはIAMポリシーによってチェックされるため、高いセキュリティが保たれます。
-
監視&監査
アクセス要求や発生したポリシー例外を記録し、アクティビティ履歴を通じて詳細な変更ログやデータの入手経路をレビューすることができます。
-
行レベルのアクセスコントロール
テーブル内のデータに対して行レベルのきめ細かな制御を行いたい場合には、AWS Lake Formationのアクセスコントロール機能を使用することができます。この機能を利用することで、IAMでは実現しきれないテーブル内のデータに対するきめ細かな制御が可能になります。
このように、AWS Lake Formationを活用することで、データレイクの構築と管理がより効率的かつ安全に行えるようになります。詳細については、行レベルのアクセスコントロールによるデータレイクの保護(AWS) をご覧ください。
ケーススタディ
あるデータエンジニアは、AWS上に一元化されたメタデータのストレージソリューションをデプロイする必要があります。このソリューションには、信頼性と拡張性が求められ、データベース、テーブル、列、行、セルのレベルでのきめ細かなアクセス許可を管理できる機能が必要です。また、運用上のオーバーヘッドを最小限に抑えることも重要です。
データレイクとデータカタログを作成する
この要件を満たすために、データエンジニアはAWS Lake Formationを使用してデータレイクとデータカタログを作成することを選択しました。AWS Lake Formationを利用することで、以下の利点が得られます。
-
きめ細かなアクセス管理
AWS Lake Formationを使用すると、データベース、テーブル、列、行、セルのレベルでセキュリティを実装できます。これにより、ユーザーやグループに対して適切なアクセス許可を適用することが可能です。
-
データフィルターの活用
AWS Lake Formationデータフィルターを作成することで、特定のデータに対するアクセスを効果的に管理できます。これにより、必要なデータにのみアクセスできるようになり、セキュリティが向上します。
-
信頼性とスケーラビリティ
このソリューションは、AWSのインフラストラクチャ上で動作するため、高い信頼性とスケーラビリティを提供します。データの増加に応じて、システムを容易に拡張することができます。
-
運用オーバーヘッドの最小化
フルマネージドなサービスであるため、運用上のオーバーヘッドを最小限に抑えることができ、データエンジニアはより戦略的な業務に集中することができます。
このように、AWS Lake Formationを活用することで、データエンジニアは一元化されたメタデータのストレージソリューションを効率的にデプロイし、信頼性の高いデータ管理を実現することができます。
Amazon Macie
Amazon Macieは、大規模な機密データを検出し、保護するためのサービスです。このサービスは、データセキュリティを強化し、コンプライアンスを確保するために役立ちます。
主な機能・特徴
-
Amazon S3セキュリティの継続的な評価
Amazon Macieは、S3環境を継続的に評価し、全アカウントのデータセキュリティ態勢を要約して提供します。これにより、セキュリティリスクを迅速に把握することができます。
-
フルマネージドの機密データタイプ
このサービスは、個人情報(PII)やGDPR、PCI DSS、HIPAAなど、増加する機密データタイプのリストを保持しています。これにより、さまざまな規制に対応したデータ保護が可能となります。
-
専用または独自のデータタイプを調査
正規表現を使用してカスタム定義のデータタイプを追加する機能があり、ビジネス固有の機密データを検出することができます。これにより、特定のニーズに応じたデータ管理が実現します。
-
マルチアカウントのサポートとAWS Organizationsとの統合
1つのAWS Macie管理者アカウントで、すべてのメンバーアカウントを管理できます。これにより、複数のアカウントを効率的に監視し、管理することが可能です。
これらの機能により、Amazon Macieは企業のデータセキュリティを強化し、コンプライアンスの確保に貢献します。
利用シーン
-
データセキュリティ体制を強化
Amazon Macieは、S3環境全体で機密データを検出し、データセキュリティリスクの可視性と自動修復を向上させます。
-
コンプライアンスのために機密データを検出
データ分析をスケジュールすることで、機密データが検出され、保護されていることを証明できます。これにより、コンプライアンスの維持が容易になります。
-
移行中の機密データを保護
データインジェスト中に、機密データが適切に保護されているかどうかを判断することができます。
-
ビジネスクリティカルなデータの可視性を向上
Amazon Macieは、S3バケットに保存されているすべての機密データを自動的かつ継続的に監視し、ビジネスクリティカルなデータの可視性を向上させます。
ケーススタディ
ある企業では、ユーザーが分析用に生成したデータをAmazon S3のデータレイクに収集しています。このデータには、個人を特定できる情報(PII)が含まれているため、企業は分析を行う前にPIIをマスクする必要があります。このため、データエンジニアは新規データと既存データを特定し、自動的にマスキングするソリューションを設計する必要があります。
課題
企業は、運用上のオーバーヘッドを最小限に抑えつつ、PIIを検出した際にリアルタイムでマスキングアプリケーションを起動できる仕組みを求めています。また、データエンジニアは識別されたデータの概要を提供しなければなりません。
解決策
この要件を満たすために、企業はAWSアカウントでAmazon Macieを有効にします。MacieはS3バケット内のデータを分析し、機密データが含まれているかどうかを判別できます。分析結果に基づいて、マネジメントコンソールで調査結果を確認することが可能です。
さらに、MacieはEventBridgeのデフォルトイベントバスに送信されるイベントを作成する機能も持っています。データエンジニアは、Macieが生成する結果をフィルタリングするルールを作成し、EventBridgeを通じてマスキングアプリケーションを呼び出すことができます。これにより、PIIが検出された場合に即座にマスキング処理が行われ、運用上のオーバーヘッドを最小限に抑えることができます。
このソリューションにより、企業は安全かつ効率的にデータを扱うことができ、分析に必要なデータを適切にマスクする体制を整えることができます。
おわりに
ここまで、AWS Lake FormationとAmazon Macieの特徴と活用方法について詳しくご紹介しました。AWS Lake Formationは、フルマネージドでセキュアなデータレイクを構築するサービスで、データの収集や整理を簡素化し、アクセス制御を強化します。 一方、Amazon Macieは、機密データを検出し保護するためのサービスであり、データセキュリティを強化し、コンプライアンスを確保するために役立ちます。これらのサービスを活用することで、企業はデータの安全性を高め、プライバシー保護やコンプライアンス遵守を実現することができます。
次回は、リアルタイムデータ処理とストリーミングの活用について取り上げ、Amazon Kinesis、Amazon SQS、AWS Step Functionsの各サービスについてご紹介します!
Kyriosでは、AWS Glueをはじめ、データ分析プラットフォームの構築・運用を支援しています。詳細は、下記のページをご覧ください。
