Amazon Macie で S3 の機密データを自動検出 - PII 検出とデータセキュリティ態勢の管理
Macie による S3 バケットの機密データ検出、カスタムデータ識別子、Security Hub 統合を解説します。
Macie の概要
Macie は S3 バケット内の機密データを自動検出・分類するデータセキュリティサービスです。「どの S3 バケットに機密データが保存されているか」「そのバケットのセキュリティ設定は適切か」を自動的に評価します。100 種類以上のマネージドデータ識別子で PII やクレジットカード番号を検出し、カスタム識別子で組織固有の機密データにも対応します。Organizations との統合で、管理アカウントから全メンバーアカウントの S3 バケットを一元的にスキャンできるため、数百アカウント規模の環境でも運用負荷を集約できます。
データ検出とセキュリティ態勢
機密データ検出ジョブは S3 バケットのオブジェクトをサンプリングまたは全件スキャンし、マネージドデータ識別子で PII を検出します。日本語の氏名、住所、電話番号、マイナンバーにも対応しています。カスタムデータ識別子は正規表現 (例: 社員番号のパターン) とキーワード (例: 「社外秘」) を組み合わせて定義します。S3 バケットインベントリは全バケットの暗号化設定、パブリックアクセスブロック、共有設定を一覧表示し、セキュリティリスクの高いバケットを特定します。検出結果の重大度は Macie が自動分類し、「HIGH」はクレジットカード番号やパスポート番号のように即座に悪用されうるデータ、「MEDIUM」はメールアドレスのように単体では直接的な被害に結びつきにくいデータに分類されます。
自動検出と分類
Macie の自動機密データ検出は、アカウント内の全 S3 バケットを継続的にサンプリングスキャンし、機密データの存在を推定します。フルスキャンジョブと比較してコストが低く、組織全体の機密データの分布を把握するのに適しています。マネージドデータ識別子は 100 種類以上の機密データパターン (クレジットカード番号、社会保障番号、パスポート番号、API キー) を検出します。カスタムデータ識別子で正規表現とキーワードを定義し、組織固有の機密データ (社員番号、顧客コード) を検出します。許可リストで誤検出を抑制し、テストデータや公開情報を除外します。 データセキュリティの理解をさらに深めたい場合はAmazon の専門書も活用できます。
ユースケースとコンプライアンス対応
Macie が特に威力を発揮するのは GDPR、PCI DSS、個人情報保護法などのコンプライアンス対応です。GDPR 第 30 条は「処理活動の記録」を要求しており、個人データがどこに保管されているかを常に把握する義務があります。Macie の自動検出を有効化すると、S3 に新たにアップロードされた個人データを継続的に検知し、データマッピングの最新性を維持できます。PCI DSS ではカード番号 (PAN) の保存場所を厳密に管理する必要があり、Macie のマネージドデータ識別子がカード番号パターンを検出して想定外のバケットへの流出を警告します。また、データレイク構築時のデータカタログ化にも応用でき、Lake Formation と組み合わせて機密列にタグを自動付与し、列レベルのアクセス制御を適用するパターンが有効です。
運用設計のベストプラクティスと落とし穴
Macie 導入の初期段階で最も多い失敗は、全バケットに対してフルスキャンジョブを一度に実行し、想定外のコストが発生するケースです。推奨手順は、まず自動機密データ検出 (サンプリングベース) を有効化して全体の機密データ分布を把握し、検出スコアが高いバケットのみに対してフルスキャンジョブをスケジュールする 2 段階アプローチです。許可リストの設計も重要で、テスト環境のダミーデータや公開済み API キーを除外しないと、大量の誤検出がアラート疲れを引き起こします。EventBridge 連携のアクション設計では、検出された機密データの重大度に応じて段階的に対処します。HIGH はパブリックアクセスの即時ブロックと Security Hub への自動連携、MEDIUM はセキュリティチームへの通知と 48 時間以内の確認、LOW は週次レポートへの集約が実践的な運用パターンです。スキャン対象から CloudTrail ログバケットや ALB アクセスログなど、IP アドレスを含むが機密度の低いバケットを除外すると、ノイズとコストの両方を削減できます。
Macie の料金
Macie の料金はバケット評価 (1 バケットあたり月額約 0.10 ドル) と機密データ検出 (スキャンしたデータ量、1 GB あたり約 1 ドル) で構成されます。自動機密データ検出はサンプリングベースで、フルスキャンより大幅に低コストです。30 日間の無料トライアルで実際のコストを確認できます。スキャン対象のバケットを機密データが含まれる可能性の高いバケットに限定し、ログバケットやバックアップバケットを除外することでコストを管理します。検出結果は Security Hub に集約され、追加料金なしで一元管理できます。大規模環境ではバケット数が数千に達することがあり、バケット評価だけで月額数百ドルになるため、Organizations の委任管理者機能で対象アカウントを絞り込む設計も有効です。
まとめ
Macie の導入は、まず自動機密データ検出を有効化してアカウント全体の S3 バケットをサンプリングスキャンし、機密データの分布を把握することから始めます。リスクの高いバケット (パブリックアクセス可能、暗号化なし) を優先的にフルスキャンし、EventBridge 連携で検出結果に対する自動対応 (パブリックアクセスのブロック、セキュリティチームへの通知) を構築します。GDPR や個人情報保護法への対応で、組織内のどこに個人データが存在するかを把握する必要がある場合に特に有効です。