SEC 7: どのようにデータを分類していますか?

分類方法を確立すると、重要度と機密性に基づいてデータをカテゴリ別に分類して、各カテゴリに適した保護と保持方法でデータを管理できるようになります。

リソース

Introducing the New Amazon Macie
Data Classification Whitepaper
Getting started with Amazon Macie

ベストプラクティス:

• ワークロード内のデータを特定する: これには、データのタイプと分類、関連するビジネスプロセス、データ所有者、該当する法的要件およびコンプライアンス要件、データの保存場所、および結果として実行が必要な統制が含まれます。これには、データが一般公開されることを意図しているかどうか、データが顧客個人識別情報 (PII) などの内部使用のみかどうか、データが知的財産である、法的な秘匿特権がある、機密性が高いと特記されているなど、より制限されたアクセス用であるかどうかを示す分類が含まれます。

• データ保護コントロールを定義する: 分類レベルに従ってデータを保護します。たとえば、関連するレコメンデーションを使用してパブリックとして分類されたデータを保護すると同時に、追加のコントロールで機密データを保護します。

• 識別および分類を自動化する: データの識別と分類を自動化して、手動操作による人為的ミスのリスクを軽減します。

• データのライフサイクル管理を定義する: 定義されるライフサイクル戦略は、機密性レベル、また法的および組織の要件に基づいている必要があります。データを保持する期間、データ破壊、データアクセス管理、データ変換、データ共有などの側面を考慮する必要があります。

改善計画

ワークロード内のデータを特定する

Amazon Macie を使用したデータの検出を検討する: Amazon Macie は、個人識別情報 (PII) や知的財産などの機密データを認識します。
Amazon Macie

データ保護コントロールを定義する

データの識別および分類スキーマを定義する: データの識別と分類は、保存するデータの潜在的な影響とタイプ、およびデータにアクセスできるユーザーを評価するために実行されます。
AWS Documentation

利用可能な AWS のコントロールを確認する: 使用しようとしているか、使用を計画している AWS サービスについて、セキュリティコントロールを確認します。多くのサービスには、ドキュメントにセキュリティセクションがあります
AWS Documentation

AWS コンプライアンスリソースを確認する: サポートに役立つ AWS のリソースを確認します。
https://aws.amazon.com/compliance/

識別および分類を自動化する

Amazon S3 インベントリを使用する: Amazon S3 インベントリ Amazon S3 インベントリは、オブジェクトのレプリケーションと暗号化ステータスの監査とレポートに使用できるツールの 1 つです。
Amazon S3 Inventory

Amazon Macie を検討する: Amazon Macie は、機械学習を使用して Amazon S3 内に保存されているデータを自動的に検出、分類、保護します。
Amazon Macie

データのライフサイクル管理を定義する

データタイプを識別する: ワークロードに保存または処理するデータのタイプを特定します。そのデータは、テキスト、イメージ、バイナリデータベースなどです。