# SEC 7.どのようにデータを分類していますか?
分類方法を確立すると、重要度と機密性に基づいてデータをカテゴリ別に分類して、各カテゴリに適した保護と保持方法でデータを管理できるようになります。
**Topics**
+ [SEC07-BP01 ワークロード内のデータを特定する](sec_data_classification_identify_data.md)
+ [SEC07-BP02 データ保護コントロールを定義する](sec_data_classification_define_protection.md)
+ [SEC07-BP03 識別および分類を自動化する](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 データのライフサイクル管理を定義する](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 ワークロード内のデータを特定する
ワークロードが処理するデータの型と分類、関連するビジネスプロセス、データの保管場所、データ所有者を理解することは非常に重要です。また、ワークロードに適用する法的要件やコンプライアンス要件、そしてどのようなデータコントロールを適用すべきなのかを理解する必要があります。データの特定は、データ分類作業の最初のステップです。
**このベストプラクティスを活用するメリット:**
データ分類により、ワークロード所有者は、機密データを保存する場所を特定し、そのデータへのアクセス方法や共有方法を決定できます。
データ分類は、次の質問への回答となります:
+ **どのようなタイプのデータを持っていますか?**
次のようなデータが考えられます:
+ 企業秘密、特許、または契約合意などの知的財産 (IP)。
+ 個人と結びついた医療履歴情報を含む医療記録などの、保護対象医療情報 (PHI)。
+ 氏名、住所、生年月日、国民 ID または登録番号などの個人を特定できる情報 (PII)。
+ 会員番号 (PAN)、カード会員名、有効期限、サービスコード番号などクレジットカードのデータ。
+ 機密性の高いデータはどこに保存しますか?
+ データにアクセス、変更、削除できる人は誰ですか?
+ データの誤った取扱いを防ぐためには、ユーザーのアクセス許可を把握することが不可欠です。
+ **作成、読み取り、更新、削除 (CRUD) 操作を実行できるのは誰ですか? **
+ 誰がデータに対するアクセス許可を管理できるかを理解することにより、アクセス許可が昇格する可能性を考慮します。
+ **データが意図せずに開示されたり、変更または削除された場合、ビジネスに対してどのような影響が生じますか? **
+ データが変更、削除、または誤って開示された場合のリスク結果を理解します。
これらの質問に対する回答を把握することにより、次のようなアクションを取ることができます。
+ 機密データの範囲 (機密データの場所の数など) を縮小し、機密データへのアクセスを承認済みユーザーのみに限定します。
+ 暗号化、データ紛失防止、およびアイデンティティやアクセス管理など、適切なデータ保護メカニズムとテクニックを実装できるよう、さまざまなデータ型について理解を深めます。
+ データの正しいコントロール目的を提供することにより、コストを最適化します。
+ データの型や量、機密度の異なるデータをどのように隔離しているかなど、規制当局や監査人からの質問に自信を持って答えることができます。
**このベストプラクティスが確立されていない場合のリスクレベル**: 高
## 実装のガイダンス
データ分類は、データの機密性を識別する行為です。タグ付けを行って、データを簡単に検索し、追跡できるようにすることもあります。また、データ分類を行うと、データの重複を減らし、ストレージやバックアップのコストを削減すると同時に、検索プロセスを高速化できます。
Amazon Macie などのサービスを使用して、機密データの検出と分類両方を大規模に自動化します。Amazon EventBridge や AWS Config など他のサービスは、暗号化されていない Amazon Simple Storage Service (Amazon S3) バケットや Amazon EC2 EBS ボリュームまたはタグが付いていないデータリソースなどのデータセキュリティの問題に対する修復を自動化するために使用できます。AWS サービス統合の完全なリストについては、「[EventBridge ドキュメント](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html)」を参照してください。
[顧客のメール、サポートチケット、製品レビュー、およびソーシャルメディアなどの構造化されていないデータで PII を検出する](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html)ことは、[Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/) を使うことにより実現します。これは、機械学習 (ML)を用いて構造化されていないテキストで人、場所、感情、話題などのインサイトや関係性を見つけ出す自然言語処理 (NLP) サービスです。データ識別に役立つ AWS サービスのリストについては、「[AWS サービスを使って PHI と PII データを検出する一般的テクニック](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/)」を参照してください。
データ分類と保護をサポートするもう 1 つの方法は、[AWS リソースのタグ付け](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)です。タグ付けを行うと、リソースの管理、特定、整理、検索、およびフィルタリングに使用できる AWS リソースにメタデータを割り当てることができます。
場合によっては、特定のワークロードやサービスが既知のデータ分類のプロセスまたは伝送を保存することが期待されている場合など、リソース全体 (S3 バケットなど) にタグを付けるよう選択することがあります。
適切な場合、管理業務とセキュリティメンテナンスを行いやすくするため、個別のオブジェクトではなく S3 バケットにタグ付けをすることもできます。
### 実装手順
**Amazon S3 内の機密データを検出する: **
1. 開始する前に、Amazon Macie コンソールと API オペレーションにアクセスするための適切なアクセス権限があることを確認してください。さらに詳しい情報については、「[Amazon Macie の開始方法](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)」を参照してください。
1. Amazon Macie を使用して、機密データが [Amazon S3 内にある場合は自動化されたデータ検出を実行します](https://aws.amazon.com/s3/)。
+ [Amazon Macie の開始方法](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)ガイドを使って、機密データ検出結果のリポジトリを設定し、機密データの検出ジョブを作成します。
+ [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) (Amazon Macie を使って、S3 バケットで機密データをプレビューする方法)
デフォルトでは、Macie が、自動化された機密データの検出に推奨されるマネージドデータ識別子のセットを使用して、オブジェクトを分析します。分析は、アカウントまたは組織に対して自動化された機密データ検出を実行する際に Macie が特定のマネージドデータ識別子、カスタムデータ識別子、許可リストを使うように設定することにより、カスタマイズすることができます。特定のバケット (たとえば、通常 AWS ログデータを保存する S3 バケットなど) を除外することにより、分析の対象範囲を調整できます。
1. 自動化された機密データ検出を設定するには、「[Performing automated sensitive data discovery with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html)」 (Amazon Macie を使って自動化された機密データ検出を実行する) を参照してください。
1. また、[Automated Data Discovery for Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/) (Amazon Macie の自動化されたデータ検出) も検討してください。
**Amazon RDS 内の機密データを検出する: **
[Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) データベース内のデータ検出の詳細については、「[Enabling data classification for Amazon RDS database with Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/)」(Macie で Amazon RDS データベースのデータ分類を有効化する) を参照してください。
**DynamoDB 内の機密データを検出する: **
+ [Detecting sensitive data in DynamoDB with Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) (Macie を使って DynamoDB 内で機密データを検出する) では、Amazon Macie を使って、Amazon S3 にエクスポートしてスキャンすることで、 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) テーブル内で機密データを検出する方法を説明しています。
**AWS パートナーのソリューション**
+ 広範囲の AWS Partner Network の使用を検討してください。AWS パートナーには、AWS サービスと直接統合する広範囲のツールとコンプライアンスフレームワークがあります。パートナーは、組織のニーズを満たすのに役立つカスタマイズされたガバナンスとコンプライアンスのソリューションを提供します。
+ データ分類におけるカスタマイズされたソリューションについては、「[Data governance in the age of regulation and compliance requirements](https://aws.amazon.com/big-data/featured-partner-solutions-data-governance-compliance/)」(規制およびコンプライアンス要件時代のデータガバナンス) を参照してください。
AWS Organizations を使用してポリシーを作成およびデプロイすることにより、組織が採用するタグ付け標準を自動的に適用できます。タグポリシーを使用すると、有効なキー名と各キーに対して有効な値を指定できます。モニタリングのみの選択も可能で、既存のタグを評価し、クリーンアップする機会を提供します。タグが選択した標準を満たすと、タグポリシーで適用をオンにして、非準拠のタグが作成されるのを防ぐことができます。詳細については、[Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) (AWS Organizations のサービスコントロールポリシーを使用して、認可に使用するリソースタグを保護する) および [preventing tags from being modified except by authorized principals](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin) (タグを許可されたプリンシパル以外が変更できないようにする) のサンプルポリシーを参照してください。
+ [AWS Organizations](https://aws.amazon.com/organizations/) でタグポリシーの使用を開始するには、より高度なタグポリシーに移行する前に、「[Getting started with tag policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)」(タグポリシーの開始方法) を参照してください。組織単位 (OU) または組織全体に拡大する前に、単純なタグポリシーを単一のアカウントにアタッチした場合の効果を理解することにより、タグポリシーの遵守を適用する前にタグポリシーの効果を確認することができます。[Getting started with tag policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) (タグポリシーの開始方法) には、より高度なポリシー関連タスクの実行方法へのリンクが記載されています。
+ データ分類をサポートする他の [AWS サービスおよび機能](https://docs.aws.amazon.com/whitepapers/latest/data-classification/using-aws-cloud-to-support-data-classification.html#aws-services-and-features)を評価することを検討してください。これらは、[データ分類](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)ホワイトペーパーに列挙されています。
## リソース
**関連するドキュメント:**
+ [Getting started with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) (Amazon SQS の開始方法)
+ [Automated data discovery with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html) (Amazon Macie を使用した自動データ検出)
+ [Getting started with tag policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) (タブポリシーの開始方法)
+ [Detecting PII entities](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) (PI エンティティの検出)
**関連ブログ:**
+ [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) (Amazon Macie を使って、S3 バケットで機密データをプレビューする方法)
+ [Performing automated sensitive data discovery with Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/) (Amazon Macie を使って自動化された機密データ検出を実行する)
+ [Common techniques to detect PHI and PII data using AWS Services](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) (AWS のサービスを使って PHI と PII データを検出する一般的なテクニック)
+ [Detecting and redacting PII using Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/) (Amazon Comprehend を使用した PII の検出と再編集)
+ [Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) (AWS Organizations のサービスコントロールポリシーを使用して、認可に使用するリソースタグを保護する)
+ [Enabling data classification for Amazon RDS database with Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) (Macie で Amazon RDS データベースのデータ分類を可能にする)
+ [Detecting sensitive data in DynamoDB with Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) (Macie を使った DynamoDB の機密データの検出)
**関連動画:**
+ [Event-driven data security using Amazon Macie](https://www.youtube.com/watch?v=onqA7MJssoU) (Amazon Macie を使用したイベント駆動型データセキュリティ)
+ [Amazon Macie for data protection and governance](https://www.youtube.com/watch?v=SmMSt0n6a4k) (データ保護とガバナンスのための Amazon Macie)
+ [Fine-tune sensitive data findings with allow lists](https://www.youtube.com/watch?v=JmQ_Hybh2KI) (許可リストで機密データ検出を微調整する)
# SEC07-BP02 データ保護コントロールを定義する
分類レベルに従ってデータを保護します。たとえば、関連するレコメンデーションを使用してパブリックとして分類されたデータを保護すると同時に、追加のコントロールで機密データを保護します。
リソースタグ、機密性ごと (および注意事項、エンクレーブ、関心のあるコミュニティごと) の個別の AWS アカウント 、IAM ポリシー、AWS Organizations SCP、AWS Key Management Service (AWS KMS)、AWS CloudHSM を使用することで、暗号化によるデータ分類と保護のポリシーを定義および実装できます。たとえば、非常に重要なデータを含む S3 バケット、または、秘密データを処理する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを含むプロジェクトがある場合、それらに `「Project=ABC」` を付けることができます。直属のチームのみがこのプロジェクトコードの意味を知っていて、属性ベースのアクセス統制手段を使用する方法を提供します。キーポリシーと許可を使用して AWS KMS 暗号化キーへのアクセスレベルを定義し、安全なメカニズムを通じて適切なサービスだけが機密コンテンツにアクセスできるようにします。タグに基づいて承認決定を判断する場合、AWS Organizations 内のタグポリシーを使用して、タグの許可が適切に定義されていることを確認する必要があります。
**このベストプラクティスを活用しない場合のリスクレベル:** 高
## 実装のガイダンス
+ データの識別および分類スキーマを定義する: データの識別と分類は、保存するデータの潜在的な影響とタイプ、およびデータにアクセスできるユーザーを評価するために実行されます。
+ [AWS ドキュメント](https://docs.aws.amazon.com/)
+ 利用可能な AWS のコントロールを確認する: 使用しようとしているか、使用を計画している AWS サービスについて、セキュリティコントロールを確認します。多くのサービスには、ドキュメントにセキュリティセクションがあります。
+ [AWS ドキュメント](https://docs.aws.amazon.com/)
+ AWS コンプライアンスリソースを特定する: 支援のために使用できる AWS のリソースを特定します。
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## リソース
**関連するドキュメント:**
+ [AWS ドキュメント](https://docs.aws.amazon.com/)
+ [データ分類に関するホワイトペーパー](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie の開始方法](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [欠落テキスト](https://aws.amazon.com/compliance/)
**関連動画:**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 識別および分類を自動化する
データの識別と分類を自動化すると、適切な統制を実装するのに役立ちます。人が直接アクセスするよりも自動化した方が、人為的ミスや開示リスクは小さくなります。など、 [Amazon Macie](https://aws.amazon.com/macie/)などの、機械学習を使用して AWS の機密データを自動的に検出、分類、保護するツールの利用を評価する必要があります。Amazon Macie は個人識別情報 (PII) や知的財産などの機密データを 認識し、このデータへのアクセスや移動の状況を可視化するダッシュボードやアラートを提供します。
**このベストプラクティスが確立されていない場合のリスクレベル:** ミディアム
## 実装のガイダンス
+ Amazon Simple Storage Service (Amazon S3) インベントリを使用する: Amazon S3 インベントリは、オブジェクトのレプリケーションと暗号化ステータスの監査とレポートに使用できるツールの 1 つです。
+ [Amazon S3 インベントリ](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Amazon Macie を検討する: Amazon Macie は、機械学習を使用して Amazon S3 内に保存されているデータを自動的に検出、分類します。
+ [Amazon Macie](https://aws.amazon.com/macie/)
## リソース
**関連するドキュメント:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 インベントリ](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [データ分類に関するホワイトペーパー](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie の開始方法](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**関連動画:**
+ [Introducing the New Amazon Macie (新しい Amazon Macieの紹介)](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 データのライフサイクル管理を定義する
定義されるライフサイクル戦略は、機密性レベル、また法的および組織の要件に基づいている必要があります。データを保持する期間、データ破壊プロセス、データアクセス管理、データ変換、データ共有などの側面を考慮する必要があります。データ分類方法を選択するときは、可用性とアクセスのバランスを取ります。また、各レベルにとって安全でありながら使いやすい方式を採用するために、複数レベルのアクセスと微妙な差異も実装する必要がります。常に多層防御方式を採用し、データおよびデータの変換、削除、コピーのメカニズムに人間がアクセスする機会を減らします。例えば、アプリケーション認証を厳格にし、遠距離操作を実行するために必要なアクセス許可をユーザーでなくアプリケーションに付与します。さらに、ユーザーが信頼できるネットワークパスからアクセスしていることを確認して、復号鍵へのアクセスを要求します。ユーザーにデータへの直接アクセス権を付与するのではなく、ダッシュボードや自動レポートなどのツールを使用して、データからの情報をユーザーに提供します。
**このベストプラクティスを活用しない場合のリスクレベル:** 低
## 実装のガイダンス
+ データタイプを識別する: ワークロードに保存または処理するデータのタイプを特定します。そのデータは、テキスト、イメージ、バイナリデータベースなどが考えられます。
## リソース
**関連するドキュメント:**
+ [データ分類に関するホワイトペーパー](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie の開始方法](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**関連動画:**
+ [新しい Amazon Macie の導入](https://youtu.be/I-ewoQekdXE)