翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Macie を使用して CloudWatch Logs で機密データを保護する
*Anisha Salunkhe、Omar Franco、David Guardiola、Amazon Web Services*
## 概要
このパターンは、包括的なセキュリティモニタリングワークフローを実装することでAmazon Macie を使用して Amazon CloudWatch Logs ロググループの機密データを自動的に検出する方法を示しています。このソリューションは、Amazon Data Firehose を使用して CloudWatch Logs エントリを Amazon Simple Storage Service (Amazon S3) にストリーミングします。Macie は、このバケットを定期的にスキャンして、個人を特定できる情報 (PII)、財務データ、その他の機密コンテンツがないか調べます。インフラストラクチャは、必要なすべての AWS のサービス および 設定をプロビジョニングする AWS CloudFormation テンプレートを介してデプロイされます。
CloudWatch Logs には、機密性の高いユーザー情報が誤って含まれる可能性があるアプリケーションデータが含まれていることがよくあります。これにより、コンプライアンスとセキュリティのリスクが発生する可能性があります。従来のログモニタリングアプローチには、機密データの自動検出機能がありません。これにより、潜在的なデータ漏洩をリアルタイムで特定して対応することが困難になる可能性があります。
このパターンは、ログ記録システム内の機密データの自動検出とアラートを提供することで、セキュリティチームとコンプライアンス責任者がデータの機密性を維持するのに役立ちます。このソリューションは、Amazon Simple Notification Service (Amazon SNS) 通知によるプロアクティブなインシデント対応を可能にし、機密データを安全な Amazon S3 バケットに自動的に分離します。検出パターンをカスタマイズし、ワークフローを既存のセキュリティオペレーションプロセスと統合できます。
## 前提条件と制限
**前提条件**
+ アクティブな AWS アカウント
+ CloudFormation スタックを作成するアクセス許可
+ モニタリングする CloudWatch Logs ロググループ
+ Amazon SNS から通知を受け取るためのアクティブな E メールアドレス
+ [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) へのアクセス
+ (オプション) [インストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)および[設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)されている AWS Command Line Interface (AWS CLI) へのアクセス
**制限事項**
+ Macie にはサービスクォータが適用されます。詳細については、[Macie ドキュメントの「Macie のクォ](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html)ータ」を参照してください。
## アーキテクチャ
**ターゲットアーキテクチャ**
次の図は、Macie を使用して機密データの CloudWatch Logs ログエントリを調べるためのワークフローを示しています。
ワークフローには以下のステップが表示されます。
1. CloudWatch Logs ロググループは、サブスクリプションフィルターの対象となるログを生成します。
1. サブスクリプションフィルターは、ログを Amazon Data Firehose に転送します。
1. ログは、Amazon Data Firehose 配信ストリームを通過するときに AWS Key Management Service (AWS KMS) キーで暗号化されます。
1. 配信ストリームは、Amazon S3 のエクスポートされたログバケットにログを配信します。
1. 毎日午前 4 時に、Amazon EventBridge は、エクスポートされたログバケット内の機密データの Macie スキャンを開始する AWS Lambda 関数を開始します。
1. Macie がバケット内の機密データを識別すると、Lambda 関数はエクスポートされたログバケットからログを削除し、 で暗号化します AWS KMS key。
1. Lambda 関数は、データ分離バケットに機密データを含むログを分離します。
1. 機密データを識別すると、Amazon SNS トピックが開始されます。
1. Amazon SNS は、機密データを含むログに関する情報を含む E メールアドレスに E メール通知を送信します。
**デプロイされたリソース**
CloudFormation テンプレートは、次のリソースをターゲットにデプロイ AWS アカウント します AWS リージョン。
+ 2 つの Amazon S3 [バケット](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#BasicsBucket):
+ CloudWatch Logs データを保存するためのエクスポートされたログバケット
+ 機密情報を保存するデータ分離バケット
+ Macie の検出結果に応答する Amazon EventBridge [ルール](https://docs.aws.amazon.com/macie/latest/user/findings-monitor-events-eventbridge.html)
+ イベントを開始し、Amazon S3 バケットにログをエクスポートするAWS Lambda [関数](https://docs.aws.amazon.com/lambda/latest/dg/concepts-basics.html#gettingstarted-concepts-function)
+ Amazon SNS [トピック](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)と[サブスクリプション](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html)
+ Amazon Data Firehose [ストリーム](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html#key-concepts)
+ Macie [セッション](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-session)
+ Macie [カスタムデータ識別子](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-cdi)
+ CloudWatch Logs [サブスクリプションフィルター](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html)
+ バケットに保存されているログを暗号化するためのAWS KMS [キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)
+ ソリューションに必要な AWS Identity and Access Management (IAM) [ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)と[ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
## ツール
**AWS のサービス**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) は、 AWS リソースをセットアップし、迅速かつ一貫してプロビジョニングし、 AWS アカウント および 全体のライフサイクルを通じてリソースを管理するのに役立ちます AWS リージョン。
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) を使用すると、すべてのシステム、アプリケーション、および からのログを一元化 AWS のサービス できるため、ログをモニタリングして安全にアーカイブできます。
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) は AWS のサービス、サポートされているサードパーティーサービスプロバイダーが所有する他の HTTP エンドポイント、カスタム HTTP エンドポイント、HTTP エンドポイントにリアルタイムのストリーミングデータを配信するのに役立ちます。
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) は、アプリケーションをさまざまなソースのリアルタイムデータに接続できるようにするサーバーレスイベントバスサービスです。例えば、 AWS Lambda 関数、API 送信先を使用する HTTP 呼び出しエンドポイント、その他のイベントバスなどのソースです AWS アカウント。
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) は、データの保護に役立つ暗号化キーの作成と制御に役立ちます。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) は、機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にします。
+ 「[Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)」は、ウェブサーバーやメールアドレスなど、パブリッシャーとクライアント間のメッセージの交換を調整および管理するのに役立ちます。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。
**コードリポジトリ**
このパターンのコードは、GitHub [sample-macie-for-securing-cloudwatch-logs](https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs) リポジトリで入手できます。
## ベストプラクティス
CloudFormation ドキュメントの[CloudFormation ベストプラクティス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html)に従ってください。
## エピック
### 解決策をデプロイする
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| コードリポジトリを複製します。 | 次のコマンドを入力し、リポジトリのクローンをローカルのワークステーションに作成します。git clone https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs
| アプリ開発者 |
| (オプション) CloudFormation テンプレートを編集します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | アプリ開発者 |
| オプション 1 – コマンドラインパラメータを含むスクリプトを使用してデプロイします。 | 次のコマンドを入力して、コマンドラインパラメータを使用してソリューションをデプロイします。 の値は Amazon Macie がまだ有効になっていない`true`場合のみ`enable-macie`です。./scripts/test-macie-solution.sh --deploy-stack \
--stack-name \
--email \
--enable-macie \
--region \
--resource-name \
--bucket-name
| AWS 全般 |
| オプション 2 – 環境変数を含むスクリプトを使用してデプロイします。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS 全般 |
| オプション 3 – を使用してデプロイします AWS CLI。 | を使用してソリューションをデプロイするには、次のコマンドを入力します。 の値は AWS CLI Amazon Macie がまだ有効になっていない`true`場合のみ`EnableMacie`です。aws cloudformation create-stack \
--region us-east-1 \
--stack-name macie-for-securing-cloudwatch-logs \
--template-body file://app/main.yml \
--capabilities CAPABILITY_IAM \
--parameters \
ParameterKey=ResourceName,ParameterValue= \
ParameterKey=BucketName,ParameterValue= \
ParameterKey=LogGroupName,ParameterValue= \
ParameterKey=SNSTopicEndpointEmail,ParameterValue= \
ParameterKey=EnableMacie,ParameterValue=
| |
| オプション 4 – を通じてデプロイします AWS マネジメントコンソール。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS 全般 |
| デプロイステータスをモニタリングし、デプロイを確認します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS 全般 |
| Amazon SNS サブスクリプションを確認します。 | Amazon [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToHttp.confirm.html)ドキュメントのAmazon SNSサブスクリプションの確認」の指示に従って、Amazon SNS サブスクリプションを確認します。 | アプリ開発者 |
### ソリューションをテストする
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| オプション 1 – 自動レポートを使用してテストします。 | デフォルトのスタック名を使用した場合は、次のコマンドを入力してソリューションをテストします。./scripts/test-macie-solution.sh \
--full-test
カスタムスタック名を使用した場合は、次のコマンドを入力してソリューションをテストします。./scripts/test-macie-solution.sh \
--full-test \
--stack-name
カスタムスタック名とカスタムパラメータを使用した場合は、次のコマンドを入力してソリューションをテストします。./scripts/test-macie-solution.sh --full-test \
--stack-name \
--region \
--log-group
| AWS 全般 |
| オプション 2 – ターゲット検証でテストします。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS 全般 |
### クリーンアップ
| タスク | 説明 | 必要なスキル |
| --- | --- | --- |
| オプション 1 – 自動クリーンアップを実行します。 | デフォルトのスタック名を使用した場合は、次のコマンドを入力してスタックを削除します。./scripts/cleanup-macie-solution.sh \
--full-cleanup
カスタムスタック名を使用した場合は、次のコマンドを入力してスタックを削除します。./scripts/cleanup-macie-solution.sh \
--full-cleanup \
--stack-name
カスタムスタック名とカスタムパラメータを使用した場合は、次のコマンドを入力してスタックを削除します。./scripts/cleanup-macie-solution.sh \
--full-cleanup \
--stack-name \
--region \
--disable-macie
| AWS 全般 |
| オプション 2 – step-by-stepクリーンアップを実行します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS 全般 |
| クリーンアップを確認します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS 全般 |
## トラブルシューティング
| 問題 | ソリューション |
| --- | --- |
| CloudFormation スタックのステータスは **CREATE\_FAILED** と表示されます。 | CloudFormation テンプレートは、CloudWatch Logs にログを発行するように設定されています。でログを表示 AWS マネジメントコンソール できるため、Amazon EC2 インスタンスに接続する必要はありません。詳細については、[「コンソールで CloudFormation ログを表示する](https://aws.amazon.com/blogs/devops/view-cloudformation-logs-in-the-console/)」(AWS ブログ記事) を参照してください。 |
| CloudFormation `delete-stack` コマンドは失敗します。 | 一部のリソースは、削除する前に空にしなければなりません。たとえば、バケットまたはセキュリティグループを削除するには、Amazon S3 バケットのすべてのオブジェクト、または Amazon EC2 セキュリティグループのすべてのインスタンスを削除する必要があります。詳細については、Amazon S3 ドキュメントの[「スタックの削除が失敗](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails)する」を参照してください。 |
| パラメータを解析する際のエラー。 | AWS CLI または CloudFormation コンソールを使用して値を渡す場合は、引用符を追加します。 |
## 関連リソース
+ [ストレージのアーキテクチャのベストプラクティス](https://aws.amazon.com/architecture/storage/?docs3_bp1&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all) (AWS ウェブサイト)
+ [メトリクスフィルター、サブスクリプションフィルター、フィルターログイベント、Live Tail のフィルターパターン構文](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) (CloudWatch Logs ドキュメント)
+ [Amazon CloudWatch を使用したログ記録とモニタリングの設計と実装](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html) (AWS 規範ガイダンス)
+ [トラブルシューティング CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) (CloudFormation ドキュメント)