セキュリティ

Amazon Macie で S3 の機密データを自動検出 - PII 検出とデータセキュリティ態勢の管理

Macie による S3 バケットの機密データ検出、カスタムデータ識別子、Security Hub 統合を解説します。

約 1 分で読めます

Macie の概要

Macie は S3 バケット内の機密データを自動検出・分類するデータセキュリティサービスです。「どの S3 バケットに機密データが保存されているか」「そのバケットのセキュリティ設定は適切か」を自動的に評価します。100 種類以上のマネージドデータ識別子で PII やクレジットカード番号を検出し、カスタム識別子で組織固有の機密データにも対応します。

データ検出とセキュリティ態勢

機密データ検出ジョブは S3 バケットのオブジェクトをサンプリングまたは全件スキャンし、マネージドデータ識別子で PII を検出します。日本語の氏名、住所、電話番号、マイナンバーにも対応しています。カスタムデータ識別子は正規表現 (例: 社員番号のパターン) とキーワード (例: 「社外秘」) を組み合わせて定義します。S3 バケットインベントリは全バケットの暗号化設定、パブリックアクセスブロック、共有設定を一覧表示し、セキュリティリスクの高いバケットを特定します。

自動検出と分類

Macie の自動機密データ検出は、アカウント内の全 S3 バケットを継続的にサンプリングスキャンし、機密データの存在を推定します。フルスキャンジョブと比較してコストが低く、組織全体の機密データの分布を把握するのに適しています。マネージドデータ識別子は 100 種類以上の機密データパターン (クレジットカード番号、社会保障番号、パスポート番号、 API キー) を検出します。カスタムデータ識別子で正規表現とキーワードを定義し、組織固有の機密データ (社員番号、顧客コード) を検出します。許可リストで誤検出を抑制し、テストデータや公開情報を除外します。 データセキュリティの理解をさらに深めたい場合はAmazon の専門書も活用できます。

Macie の料金

Macie の料金はバケット評価 (1 バケットあたり月額約 0.10 ドル) と機密データ検出 (スキャンしたデータ量、1 GB あたり約 1 ドル) で構成されます。自動機密データ検出はサンプリングベースで、フルスキャンより大幅に低コストです。30 日間の無料トライアルで実際のコストを確認できます。スキャン対象のバケットを機密データが含まれる可能性の高いバケットに限定し、ログバケットやバックアップバケットを除外することでコストを管理します。検出結果は Security Hub に集約され、追加料金なしで一元管理できます。

まとめ

Macie の導入は、まず自動機密データ検出を有効化してアカウント全体の S3 バケットをサンプリングスキャンし、機密データの分布を把握することから始めます。リスクの高いバケット (パブリックアクセス可能、暗号化なし) を優先的にフルスキャンし、EventBridge 連携で検出結果に対する自動対応 (パブリックアクセスのブロック、セキュリティチームへの通知) を構築します。GDPR や個人情報保護法への対応で、組織内のどこに個人データが存在するかを把握する必要がある場合に特に有効です。

関連するサービス

Amazon MacieS3 バケット内の機密データを機械学習で自動検出・保護するサービスAmazon S3スケーラブルなオブジェクトストレージサービスAWS Security HubAWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス

関連する記事

Amazon GuardDuty で実現する脅威検出 - ML ベースの異常検知とインシデント対応GuardDuty による脅威検出の仕組み、検出結果の分類、Security Hub との統合によるインシデント対応を解説します。AWS Security Hub で一元管理するセキュリティ態勢 - 検出結果の集約と自動対応GuardDuty・Inspector・Macie の検出結果を ASFF で集約し、セキュリティ標準の自動評価でスコアを定量化する。EventBridge 連携の自動修復も紹介します。Amazon Macie による機密データの自動検出 - S3 バケットの PII スキャンとデータ保護Amazon Macie による S3 バケット内の機密データ (PII、金融情報、認証情報) の自動検出と、検出結果に基づくデータ保護戦略を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

Amazon MacieS3 バケット内の機密データ (個人情報、クレジットカード番号など) を機械学習で自動検出し、データセキュリティリスクを可視化するサービスAmazon Macie による機密データの自動検出 - S3 バケットの PII スキャンとデータ保護Amazon Macie による S3 バケット内の機密データ (PII、金融情報、認証情報) の自動検出と、検出結果に基づくデータ保護戦略を解説します。データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。AWS セキュリティサービスの統合力 - GuardDuty から Detective まで SIEM 不要のネイティブ脅威検出GuardDuty、Security Hub、Detective、Macie の連携によるネイティブ脅威検出の仕組みを解説し、Azure Sentinel との設計思想の違いを比較します。