Amazon S3 の機密データの検出

このページでは、Amazon S3 で使用する Sensitive Data Protection の検出について説明します。この機能は、Enterprise ティアで Security Command Center を有効にしたお客様のみご利用いただけます。

Sensitive Data Protection の検出機能を使用すると、S3 に保存されているデータの種類とデータの機密性レベルを確認できます。S3 データをプロファイリングすると、ファイルストアのデータ プロファイルが生成されます。このプロファイルには、S3 バケットに関する分析情報とメタデータが含まれます。S3 バケットごとに、ファイル ストアのデータ プロファイルには次の情報が含まれます。

  • バケットに保存するファイルの種類(ファイルクラスタに分類)
  • バケット内のデータの機密レベル
  • 検出された各ファイル クラスタの概要(検出された機密情報の種類を含む)

各ファイルストア データ プロファイルの分析情報とメタデータの一覧については、ファイルストア データ プロファイルをご覧ください。

検出サービスの詳細については、データ プロファイルをご覧ください。

ワークフロー

Amazon S3 データのプロファイリングの概要は次のとおりです。

  1. Security Command Center で、Amazon Web Services(AWS)のコネクタを作成します。[Sensitive Data Protection 検出の権限を付与する] チェックボックスがオンになっていることを確認し、手順に沿って、機密データ検出の権限を持つコネクタを構成します。

    [機密データの保護の検出に権限を付与する] が選択されていないコネクタがすでにある場合は、既存の AWS コネクタに機密データ検出の権限を付与するをご覧ください。

  2. global リージョンまたは検出スキャン構成と生成されたすべてのデータ プロファイルを保存するリージョンに検査テンプレートを作成します。

  3. Amazon S3 の検出スキャン構成を作成する

    Sensitive Data Protection は、指定したスケジュールに従ってデータをプロファイリングします。

料金

Amazon S3 データをプロファイリングすると、検出の料金に記載されている Sensitive Data Protection の料金が発生します。また、Sensitive Data Protection が行うリクエストS3 からインターネットへのデータ転送に対しても課金されます。

検出サービスがデータをプロファイリングすると、S3 バケット内のデータのサンプルがスキャンされます。Discovery はヒューリスティクス メソッドを使用して、各バケットと特定のファイル内でサンプリングするデータの量を決定します。このプロセスでは、一部のデータが Google Cloud に転送され、Sensitive Data Protection のコンテンツ検査サービスを使用して検査されます。断続的なエラーが発生しない場合、ほとんどの場合、各バケットで転送およびスキャンされるデータは 30 GB を超えません。各バケットでサンプリングされるデータは 30 GB 未満にできます。

Sensitive Data Protection からのリクエスト

機密データの保護は、S3 バケットのプロファイリング プロセスで次のオペレーションを実行します。

  • プロファイルされた S3 バケットごとに 1 日あたり約 50 件の LIST リクエスト。
  • プロファイリングされたバケット内のファイルごとに約 10 件の GET リクエスト。通常、Sensitive Data Protection は 100,000 回未満の GET 呼び出しを行います。コストを最適化する際にこの値に依存しないでください。この値は将来変更される可能性があります。

AWS が 1,000 リクエストごとに請求する料金は、S3 バケットのリージョンによって異なります。詳細については、Amazon S3 の料金に関するドキュメントリクエストとデータの取得をご覧ください。

S3 からインターネットへのデータ転送

Sensitive Data Protection が S3 データをプロファイリングすると、データは S3 からインターネットに転送されたと見なされます。AWS の料金が発生する場合があります。詳細については、Amazon S3 の料金ドキュメントAmazon S3 からインターネットへのデータ転送をご覧ください。

計算の例

米国東部(北部)の 10 個の S3 Standard バケットのプロファイルを作成するとします。バージニア)リージョンにログインしていることを確認します。検出オペレーションに直接関連する Amazon の費用は、次のように見積もることができます。

例: リクエストとデータの取得

バケットあたりの推定リクエスト数 10 バケットのリクエスト数の推定値 Amazon レート 小計
LIST 50 500 呼び出し 1,000 回あたり $0.005 0.005
GET 28,000 280,000 呼び出し 1,000 回あたり $0.0004 0.112
合計 0.117

例: Amazon S3 からインターネットへのデータ転送

バケットあたりのサンプリングされたデータ
Amazon レート バケットあたりの料金
最大 30 GB $0.09/GB $2.70 まで

データ所在地に関する検討事項

Amazon S3 データをプロファイリングする計画を立てる際は、次の点を考慮してください。

  • データ プロファイルは、検出スキャン構成とともに保存されます。一方、Google Cloud データをプロファイリングする場合、プロファイルはプロファイリング対象のデータと同じリージョンに保存されます。

  • 検査テンプレートを global リージョンに保存する場合、検出スキャン構成を保存するリージョンで、そのテンプレートのインメモリ コピーが読み取られます。

  • S3 データは変更されません。データのインメモリ コピーは、検出スキャン構成を保存するリージョンで読み取られます。ただし、機密データの保護では、パブリック インターネットに到達した後のデータの通過場所について保証はされません。データは SSL で暗号化されます。

次のステップ