すべてのプロダクト
Search

このプロダクト

    Data Security Center:OSSデータ漏洩検出

    ドキュメントセンター

    Data Security Center:OSSデータ漏洩検出

    最終更新日:Jan 07, 2025

    [データ検出とレスポンス] は、Data Security Center (DSC) によって提供される付加価値機能です。この機能は、AccessKeyペアベースのアクセスシナリオでオブジェクトストレージサービス (OSS) バケット内のAccessKeyペアの漏洩を検出するOSSデータ漏洩を提供します。OSSデータ漏洩機能は、GitHubのソースコードと承認されたOSSバケット内のAlibaba CloudアカウントまたはResource Access Management (RAM) ユーザーのAccessKeyペアをチェックします。これは、AccessKeyペアが漏洩しているかどうかを識別するのに役立ちます。 AccessKeyペアの漏洩が検出された場合、DSC は、漏洩したAccessKeyペアまたは自己管理型インテリジェンスの異常なAccessKeyペアを使用するバケットおよびオブジェクトへのアクセスを行い、AccessKeyペアベースのアクセスに対してアラートを生成します。できるだけ早くAccessKeyペア漏洩イベントを表示して処理することをお勧めします。このトピックでは、OSSデータ漏洩機能の仕組みと使用方法について説明します。

    概要

    DSC では、次のインテリジェンスソースに基づいてAccessKeyペアの漏洩を特定し、漏洩したAccessKeyペアまたは異常なAccessKeyペアがバケットおよびオブジェクトへのアクセスに使用されたときにアラートを生成できます。 DSCは、AccessKeyペア、バケット、およびオブジェクトのガバナンス機能を提供します。これにより、データ漏洩をできるだけ早く特定して処理し、データセキュリティを向上させることができます。

    AccessKeyペア漏洩の検出

    検出項目

    説明

    検出範囲

    データ検出およびレスポンス機能が購入されたAlibaba Cloudアカウントと、Alibaba CloudアカウントのRAMユーザー。

    サポートされているインテリジェンスソース

    • GitHub: GitHubのソースコード。ほとんどの場合、AccessKeyペアは従業員によって許可なくアップロードされ、誤って開示されます。

    • OSSバケット: OSSデータ漏洩機能がアクセスを許可されているOSSバケット。この機能は、バケットオブジェクト内のプレーンテキストのAccessKeyペアを検出します。

      現在のAlibaba Cloudアカウント内のすべてのOSSバケットへのアクセスを許可できます。

    • 自己管理型インテリジェンス: AccessKeyペアを自己管理型インテリジェンスに追加できます。追加操作は、現在のAlibaba CloudアカウントとAlibaba CloudアカウントのRAMユーザーに適用されます。

    • 脅威インテリジェンス: DSCは、Alibaba Cloudで生成されたデータベースインスタンス、データベースアカウント、およびAccessKeyペアに関する情報を収集します。

    DSC で複数アカウント管理機能を有効にすると、メンバーとそのRAMユーザーのAccessKeyペアを追加および確認できます。メンバーのすべてのOSSバケットへのアクセスをデータ検出およびレスポンス機能に許可できます。

    DSC で複数アカウント管理機能を有効化および使用する方法の詳細については、「複数アカウント管理機能の使用」をご参照ください。

    AccessKeyペアベースのアクセスのアラートイベント

    DSC は、漏洩したAccessKeyペア、または自己管理型インテリジェンスもしくは脅威インテリジェンスのAccessKeyペアを使用する、承認済みバケットおよびオブジェクトへのすべてのアクセスを集約し、詳細なアラートイベントを生成します。

    項目

    説明

    アラート集約ロジック

    • アラートディメンション: AccessKeyペアを使用してバケットにアクセスすると、アラートが生成されます。

    • アラートの時間範囲: アラートの時間範囲は、データ検出およびレスポンス機能を有効にした時点から最新の検出時間までです。現在の検出時間と次の検出時間を表示するには、DSCコンソールにログインし、Data Detection and Response > [OSSデータ漏洩 (accesskeyペアシナリオ)] を選択し、[現在のチェック時間][次のチェック時間] を表示します。

    • 検出とレポートの頻度: DSCは、毎日 04:00 (UTC+8) に前日のアクセスログを検出、分析、およびレポートします。

    • 検出停止時間: データ検出およびレスポンス機能が無効になっている場合、またはクォータが使い果たされた場合、検出は停止されます。

    アラートイベント情報

    DSCコンソールには、アラート時間、インテリジェンスソース、AccessKeyペアが属するアカウント、アクセスされたバケットの名前、アクセスされたオブジェクトの数など、AccessKeyペア漏洩のアラートイベントに関する主要情報が表示されます。

    識別テンプレートを使用して機密データ識別タスクを実行すると、バケットとバケット内のオブジェクトの機密レベルも表示されます。これにより、セキュリティ管理者は潜在的な脅威をできるだけ早く把握できます。

    異常なAccessKeyペアベースのアクセスのアラート通知

    異常なAccessKeyペアベースのアクセスのアラート通知を構成できます。アラートイベントが報告されると、DSCは特定の受信者にアラート通知を送信して、脅威インテリジェンスを提供します。これにより、受信者はバケット内のオブジェクトの潜在的な漏洩を迅速に特定できます。

    アラート通知の停止時間: AccessKeyペア漏洩イベントが処理された場合、または影響を受けるAccessKeyペアがホワイトリストに追加された場合、アラート通知は送信されなくなります。アラートを表示するには、DSCコンソールにログインし、Data Detection and Response > [OSSデータ漏洩 (accesskeyペアシナリオ)] を選択します。

    対応策

    DSC は、AccessKeyペアの処理やバケットとオブジェクトのガバナンスなど、一連の対応策を提供します。たとえば、影響を受けるAccessKeyペアを無効にして不正アクセスを防止したり、影響を受けるオブジェクトに厳格なアクセス ポリシーを構成したりできます。これにより、DSCは保護機能の向上、データ漏洩や攻撃からの効果的な保護、およびビジネス継続性の確保に役立ちます。

    関連機能

    OSSデータ漏洩 (AccessKeyペアシナリオ) 機能にOSSバケットへのアクセスを許可すると、次の機能を使用して、異常なAccessKeyペアベースのアクセスイベントを追跡できます。たとえば、データインサイト機能を使用して、アクセスされたオブジェクトに機密情報が含まれているかどうかを確認したり、データ監査機能を使用して、異常なAccessKeyペアベースのアクセスイベントを監視したりできます。イベントに関する情報には、クライアントのIPアドレスと操作タイプが含まれます。これは、データ漏洩の分析と特定に役立ちます。

    機能の説明

    機能

    説明

    データインサイト

    • データ検出およびレスポンス機能を購入し、DSCに必要なデータ資産へのアクセスを許可した後、最初の1か月間は、DSCは主要な識別テンプレートを使用して機密データ分類タスクを作成および実行し、承認済み資産をスキャンして機密データを分類します。デフォルトでは、主要な識別テンプレートはインターネット業界分類テンプレートです。

      説明

      デフォルトのデータ識別タスクは、DSCコンソールには表示されません。

    • データ検出およびレスポンス機能を購入した後の翌月以降は、DSCは機密データ分類タスクを作成または実行しなくなります。機密データを分類する場合は、カスタムデータ識別タスクを作成し、有効な識別テンプレートを使用して機密データをスキャンする必要があります。

    詳細については、「識別タスクを使用して機密データを識別する」をご参照ください。

    データ監査

    必要なデータ資産に対してクラウドネイティブ監査ログ収集機能を有効にして、関連アクティビティを分析し、潜在的な悪意のある動作や不正アクセスを追跡できます。詳細については、「データ監査モードの設定と有効化」をご参照ください。

    • デフォルトでは、クラウドネイティブ監査ログ収集機能は、データ検出およびレスポンス機能がアクセスを許可されているデータ資産に対して有効になっています。監査モードは、[構成] > [資産構成] タブの [データ検出とレスポンス] > [データ監査] ページに表示されます。

      [資産センター] ページ、Data Detection and Response > [OSSデータ漏洩 (accesskeyペアシナリオ)] ページ、および Data Detection and Response > [データベース漏洩] ページで同時に特定のデータ資産へのDSCのアクセスを許可し、データ監査機能を無効にする場合は、データ資産に対する [データ検出とレスポンス] 機能の権限を取り消す必要があります。

    • データ検出およびレスポンス機能を有効にすると、購入したOSS保護容量の1 TBごとに毎月 50 GBのログストレージが無料で提供されます。DSCは、購入したデータベースインスタンスクォータのデータベースインスタンスごとに毎月 200 GBのログストレージを提供します。ログストレージ容量が不足している場合は、監査ログが確実に収集されるように、容量を手動で増やす必要があります。詳細については、「ログストレージ管理」をご参照ください。

    サービス有効期間

    • データインサイトとデータ監査機能の有効期間を表示するには、Data Detection and Response > [OSSデータ漏洩 (accesskeyペアシナリオ)] を選択し、[すぐに承認] をクリックします。[資産承認構成] パネルで、有効期間を表示できます。

    • DSCの [付加価値プラン] エディションを使用していて、後でデータインサイトとデータ監査機能を使用する場合は、DSCをエンタープライズ版にアップグレードする必要があります。 詳細については、「DSCの購入」をご参照ください。

    シナリオ

    • ソースコード保護

      ソフトウェア開発中に、開発者がAccessKeyペアを含むコードをパブリックGitHubリポジトリにプッシュしてしまう可能性があります。これは、機密情報の漏洩につながる可能性があります。DSCは、オープンソースコードを監視し、セキュリティリスクをできるだけ早く特定し、開発者に潜在的なセキュリティの脅威を防ぐための対策を講じるよう通知できます。

    • クラウドストレージセキュリティ

      構成エラーによりOSSバケットが公開され、不正アクセスにつながる可能性があります。バケットのオブジェクトにAccessKeyペアが含まれている場合、機密資格情報が開示される可能性があります。DSCは、構成エラーによって引き起こされるAccessKeyペアの漏洩を検出し、クラウドデータを漏洩から保護できます。

    • 自己管理型インテリジェンス監視

      DSCでは、AccessKeyペアを自己管理型インテリジェンスに追加して、AccessKeyペアを使用してアクセスされるオブジェクトを監視し、不正アクセスを追跡し、機密情報が漏洩しているかどうかを特定できます。

    • セキュリティコンプライアンス

      厳格なセキュリティコンプライアンス基準を遵守する必要がある企業にとって、資格情報の漏洩監視は基本的な要件です。DSCを使用すると、資格情報の使用状況を監視して、業界のセキュリティ基準、法律、および規制を遵守できます。

    • リアルタイムセキュリティ分析と対応

      DSCは、AccessKeyペアの漏洩に関するアラートを送信して、セキュリティチームができるだけ早く対応できるようにします。セキュリティチームは、漏洩した資格情報を追跡し、潜在的な影響を評価し、リスクを軽減するための対策を講じることができます。

    • 権限管理とリスク評価

      DSCは、AccessKeyペアの漏洩を検出し、O&MチームとセキュリティチームがAccessKeyペアの使用状況を管理および監査できるようにします。これは、きめ細かい権限管理とリスク評価の実装に役立ちます。

    DSCのデータ検出およびレスポンス機能は、セキュリティリスクの検出と処理を容易にします。これは、攻撃のリスクを軽減し、運用のセキュリティを確保するのに役立ちます。

    使用プロセス

    1. [データ検出とレスポンス] 機能を購入します。この機能は付加価値機能です。請求ルールと購入方法の詳細については、「データ検出およびレスポンス機能を有効にする」をご参照ください。

    2. 関連する準備を完了します。

      • DSC は、OSS同期構成機能を提供します。この機能を使用すると、データ識別タスクによって識別された機密レベルタグをOSSにバケット内のオブジェクトのタグとして同期できます。機密レベルタグに基づいてオブジェクトのアクセス制御を容易にするために、OSS同期構成機能を有効にすることをお勧めします。詳細については、「機密レベルタグをOSSオブジェクトに同期する」をご参照ください。

      • 処理されていないAccessKeyペアの漏洩について、テキストメッセージまたはメールで送信できるアラート通知を構成できます。詳細については、「異常なAccessKeyペアベースのアクセスのアラート通知を構成する」をご参照ください。

    3. 検出するOSSバケットを承認し、追跡するアクセスレコードのAK情報を入力します。詳細については、「OSSバケットへのデータ検出およびレスポンス機能のアクセスを承認し、AccessKeyペアインテリジェンスを追加する」をご参照ください。

    4. [データ検出とレスポンス] 機能を購入した後の翌月以降は、DSCはデフォルトのデータ識別タスクを作成または実行しなくなります。承認されたOSS資産のカスタムデータ識別タスクを作成して実行する必要があります。詳細については、「識別タスクを使用して機密データを識別する」をご参照ください。

    5. 漏洩したAccessKeyペアに関する情報と、漏洩したAccessKeyペアおよびAccessKeyペアインテリジェンスに追加されたAccessKeyペアを使用して承認済みバケットおよびオブジェクトにアクセスしたアラートイベントを表示します。これは、リスクを特定し、リスクの影響を評価し、処理方法を選択するのに役立ちます。詳細については、「AccessKeyペアとそのアクセスアラートを表示する」をご参照ください。

    6. 特定および分析されたAccessKey漏洩情報と異常なアクセス動作に基づいて、適切な対策を選択してAccessKey漏洩を処理し、バケットとオブジェクトのアクセス制御リストを管理します。詳細については、「AccessKeyペアの漏洩と異常なアクセスアラートを処理する」をご参照ください。