【VPC外リージョンサービス】
Macie は、情報保護サービス として、機械学習を活用し S3 内の機密データを自動的に 検出・分類・保護 するマネージドセキュリティサービスです。
S3バケット内の オブジェクト / メタデータ / アクセス制御設定 を分析し、個人情報(PII) や 機密データ(氏名・住所・クレジットカード番号・アクセストークン・認証情報など) を識別します。
データ解析には 機械学習 / パターンマッチング / 内蔵検出ルール / Custom Data Identifier(カスタムデータ識別子) を活用し、高精度なスキャンを実現します。検出結果は ダッシュボード / 検出結果レポート / アラート通知 / トレンド分析 で可視化され、リスクの高いデータや公開設定ミスを即座に把握できます。
Security Hub / CloudWatch / EventBridge などと連携し、自動対応や継続監視も可能です。機密データ検出 / データ分類 / データ可視化 / リスクスコアリング の仕組みを通じて、組織全体のデータプライバシー管理を強化し、GDPR / HIPAA / PCI DSS / ISO 27001 / SOC準拠 などのコンプライアンス要件にも対応します。情報漏えい防止とセキュリティ運用の最適化に貢献します。
重要用語
パターンマッチング
内蔵検出ルール
Custom Data Identifier
関連サービス
ユースケース
| S3内の機微データ検出 | S3バケットをスキャンして、氏名・住所・クレジットカード番号などの個人情報や機微なデータが含まれていないかを自動判定する。 |
| 誤公開バケットの発見 | パブリックアクセスが有効なバケットや意図しない権限設定がされたバケットを検出し、リスクの高いストレージを洗い出す。 |
| コンプライアンス対応レポート作成 | 個人情報や機微情報の保存状況を定期的に可視化し、プライバシー保護や各種法令対応のための証跡としてレポートを活用する。 |
ベストプラクティス
| 機密データの自動検出 | S3バケット内の個人情報などを自動検出して可視化する。 |
| 結果に基づくアクセス制御見直し | 検出結果をもとにバケットポリシーやIAMを調整する。 |
| 継続的なスキャン設定 | 新規データにも対応できるよう定期スキャンを設定する。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・サービスインフラストラクチャ ・設定情報 ・メタデータとスキャン結果 ・検出結果(Findings) |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 有効化状況や連携の監査 |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 不正なMacie API操作やS3スキャン設定変更のAPI異常検知 |
ログ・監視
| ログ出力先 | ログの種類 |
|---|---|
| S3 | 【EventBridgeからLambdaで転送】 検出結果 |
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| ClassificationJobRuns | 分類ジョブ実行数 |
| SensitiveDataFindings | 機密データ検出数 |
制限値(固定値/ハードリミット/ソフトリミット)
| ソフトリミット | 制限値 |
|---|---|
| データ分類スキャンジョブの実行数/日 | 10,000 |
| メンバーアカウント数/管理者アカウント | 5,000 |
| ユーザ定義したカスタムデータ識別子数 | 1,000 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| S3バケット評価 | S3バケットの自動検出と評価 |
| 機密データ検出 | 機密データスキャンのGB数 |