AWSセキュリティ

Amazon Macieとは

機械学習を使ってS3バケット内の機密データ(個人情報・クレジットカード番号・AWSシークレットキー等)を自動検出・分類・保護するデータセキュリティサービス。

バケットの公開設定・暗号化状態・アクセスポリシーを継続的に評価し、リスクのあるバケットを特定する。検出結果はSecurity Hubに統合でき、EventBridgeでアラートを自動化できる。

試験での問われ方

「S3に格納された個人情報(PII)や機密データを検出したい」「GDPRやPCI DSSのコンプライアンス対応」シナリオではMacieを選ぶ。GuardDutyは脅威検出、MacieはS3データ分類という役割の違いを明確にしておく。

Macieの検出対象はS3のみである点が引っかけ。MacieはS3のオブジェクト内容をスキャンして機密データを分類することに特化しており、EBSやRDSなど他のストレージは対象外という割り切りがそのまま「S3専用」という出題になる。

検出結果(Finding)はEventBridgeに発行されるため、Security Hubに集約して他のセキュリティFindingとまとめたうえでEventBridge→SNS/Lambdaで通知・自動修復につなぐ構成が定番だ。複数アカウントではOrganizations経由で委任管理者を立て、組織全体のS3を一元的に評価する。

公式ドキュメントを読む →

このサービスが登場する演習問題(2問)

関連サービス