Amazon Macie とは?S3 内の機密データを ML で自動検出
Amazon Macie は S3 内の機密データ(PII / クレジットカード / 認証情報)を機械学習で自動検出するサービス。GDPR / HIPAA / PCI DSS のコンプライアンスを支援し、「うっかり S3 に置いた個人情報」を発見する。組織横断のデータ可視化...
S3 内の機密データを機械学習で自動検出するサービス。クレジットカード番号・個人情報・AWS クレデンシャル等を発見。
1. 概要(端的に)
Amazon Macie は S3 内の機密データ(PII / クレジットカード / 認証情報)を機械学習で自動検出するサービス。GDPR / HIPAA / PCI DSS のコンプライアンスを支援し、**「うっかり S3 に置いた個人情報」**を発見する。組織横断のデータ可視化を実現。
2. 何ができるか
- 機密データ検出:個人情報・クレジットカード・SSN・電話・住所等
- AWS クレデンシャル検出:S3 にアクセスキーが置かれていないか
- カスタムデータ識別子:独自パターンで検出
- 継続スキャン:新規 / 変更オブジェクトを自動評価
- マルチアカウント:Organizations 統合
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | スキャン対象 GB + バケット評価料金 |
| 対象 | S3 のみ |
| 検出機能 | ML + 正規表現 + キーワード |
| コンプライアンス | GDPR / HIPAA / PCI DSS 対応支援 |
検出される情報の種類
- 個人情報(PII):氏名・住所・電話・メール
- 金融情報:クレジットカード・銀行口座
- 健康情報(PHI):医療記録・処方箋
- 認証情報:AWS アクセスキー・SSH 鍵・OAuth トークン
- 政府発行 ID:SSN・パスポート番号
4. 仕組み
Macie は S3 オブジェクトをサンプリング ベースでスキャンし、ML モデルで機密データを検出する。
動作の流れ
- Macie 有効化(バケット選択)
- インベントリ作成:全 S3 オブジェクトのカタログ
- データクラシフィケーション:機密度評価
- 継続監視:新規 / 変更を自動再評価
- Finding 生成:機密データ発見時に通知
Finding 例
重要度: HIGH
タイプ: SensitiveData:S3Object/Personal
バケット: customer-data
オブジェクト: users.csv
検出: PII(氏名、メール、電話番号)×1,000 件5. ユースケース
ユースケース 1:個人情報の所在把握
GDPR / 改正個人情報保護法対応で「どこに個人情報があるか」を可視化。
ユースケース 2:誤公開検知
公開バケットに機密情報が含まれていないかチェック。
ユースケース 3:AWS クレデンシャル流出検知
S3 にアクセスキー・秘密鍵が置かれていないか。
ユースケース 4:データ分類
機密度別に S3 バケットを分類・隔離。
6. 関連用語
- S3 — Macie の対象
- Security-Hub — 統合表示
- KMS — 暗号化との組み合わせ
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 中 | 機密データ保護の概念 |
| SAA | 中 | コンプライアンス設計 |
| DVA | 低 | 出題稀 |
| SOA | 低 | 出題ほぼなし |