AWS認定資格 WEB問題集&徹底解説
AIプラクティショナー
AWSサービスの一つであるAmazon Macieはどんな内容なのでしょうか?また、AWS認定資格のAIプラクティショナー(AIF)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
Amazon Macieは、Amazon S3に保存された機密データを機械学習と自動化によって検出・分類・保護するデータセキュリティサービスです。個人識別情報(PII)・クレジットカード番号・AWSアクセスキーなどの機密データをS3バケット全体から自動的に検出し、データプライバシーリスクを可視化します。
GDPRやHIPAA等のコンプライアンス要件への対応、またS3バケットの過度なパブリックアクセスや暗号化設定の問題を検出するポリシー評価にも利用されます。
2. 主な特徴と機能
2.1 機密データの自動検出と分類
Macieは以下のカテゴリの機密データをS3オブジェクト内から自動検出します。
- 個人識別情報(PII): 氏名・住所・電話番号・メールアドレス・マイナンバー・社会保障番号(SSN)等。
- 金融データ: クレジットカード番号・銀行口座番号等。
- 認証情報: AWSアクセスキー・秘密鍵・パスワード等。
- 医療情報: HIPAA対象の健康情報(PHI)等。
2.2 Findingsの種類
- SensitiveData Findings: 機密データが検出されたことを示す検出結果(例: バケット内のCSVファイルにSSNが含まれる)。
- Policy Findings: S3バケットのセキュリティポリシー違反を示す検出結果(例: バケットがパブリックになった・暗号化が無効化された・ブロックパブリックアクセスが解除された)。
2.3 自動機密データ検出(Automated Sensitive Data Discovery)
組織内の全S3バケットを継続的にサンプリングして機密データの有無を評価。すべてのオブジェクトをフルスキャンするのではなく、代表サンプルを分析して効率的にカバレッジを維持します。
2.4 カスタムデータ識別子
AWSが提供するマネージド識別子に加え、正規表現(regex)とキーワード・近接設定で組織固有の機密データパターンを定義できます(例: 社員番号・内部プロジェクトコード等)。
2.5 S3バケット全体のインベントリと評価
組織内の全S3バケットのパブリックアクセス設定・暗号化・共有設定・バケットポリシーを評価したインベントリダッシュボードを提供。リスクの高いバケットを一目で識別できます。
2.6 Security Hub統合・Organizations対応
FindingsをASFF形式でSecurity Hubに自動送信。Organizationsと統合して委任管理者アカウントから組織全体のS3セキュリティを一元管理できます。
3. アーキテクチャおよび技術要素
- Macieを有効化→ S3バケットのインベントリ評価とPolicy Findingsの生成が開始。
- 検出ジョブ(Classification Job)を作成→ 指定バケット・オブジェクト範囲でSensitiveData Findingsを生成。または自動機密データ検出を有効化して継続的サンプリング。
- FindingsをSecurity Hubに送信 / EventBridgeでSNS通知・Lambda自動修復をトリガー。
4. セキュリティと認証・認可
- S3専用: MacieはS3に特化したデータセキュリティサービス(他のストレージサービスは対象外)。
- Findingsの暗号化: Findings自体をKMSキーで暗号化して保護可能。
- IAMアクセス制御: MacieへのアクセスはIAMポリシーで制御。
- allow list(許可リスト): 既知の安全なデータパターン(テストデータ等)を許可リストに登録して誤検知を抑制。
5. 料金形態
- S3バケット評価: 評価するS3バケット数に応じた月次固定費用。
- 自動機密データ検出: 処理対象オブジェクト数に応じた従量課金。
- 検出ジョブ: スキャンされたオブジェクトのデータ量(GB)に応じた課金。
- 初回有効化から30日間の無料トライアルあり。
6. よくあるアーキテクチャ・設計パターン
- PII漏洩の自動検出と通知: Macieで定期的な検出ジョブを設定→ PII検出時にEventBridge → SNS でセキュリティチームに通知→ S3バケットポリシーを自動修正。
- パブリックバケット検出(Policy Findings): バケットがパブリック公開された瞬間にPolicy Findingsが生成→ EventBridge → Lambda でパブリックアクセスブロックを自動有効化。
- コンプライアンス対応(GDPR/HIPAA): 全S3バケットのMacie継続スキャンでPII/PHIの保存状況を把握し、データローカライゼーション要件や保護要件への準拠を確認。
7. 設定・デプロイ手順(ハンズオン例)
- Amazon Macieコンソール→「Macieを有効にする」。
- 「S3バケット」タブで全バケットのインベントリと評価スコアを確認。
- 「検出ジョブを作成」→ スキャン対象バケット・スケジュール・管理識別子/カスタム識別子を設定。
- ジョブ完了後「Findings」タブでSensitiveData/Policy Findingsを確認。
- EventBridgeルールでFindingsをトリガーし自動通知・修復を設定。
8. 試験で問われやすいポイント
8.1 Macieの役割
- Q: S3バケット内の機密データ(PII・クレジットカード番号・AWSキー等)を自動検出するAWSサービスは?
A: Amazon Macie(機械学習と自動化でS3オブジェクトを分類・機密データを検出。Security HubにFindingsを送信)。
8.2 Findingsの2種類
- Q: MacieのSensitiveData FindingsとPolicy Findingsの違いは?
A: SensitiveData Findings = S3オブジェクト内に機密データが含まれることを検出。Policy Findings = S3バケットのセキュリティポリシー違反(パブリック公開・暗号化無効化等)を検出。
8.3 カスタムデータ識別子
- Q: 組織固有のデータパターン(社員番号等)をMacieで検出するには?
A: カスタムデータ識別子を作成(正規表現+キーワード・近接設定)。マネージド識別子と組み合わせて検出ジョブに適用。
8.4 対象ストレージ
- Q: MacieはどのAWSストレージサービスに対応しているか?
A: Amazon S3のみ(EBS・EFS・RDS等は対象外)。
8.5 GuardDuty・Inspectorとの違い
- Q: Macie・GuardDuty・Inspectorはそれぞれ何を検出するか?
A: Macie=S3の機密データ検出・分類。GuardDuty=不審な操作・脅威行動の検出。Inspector=EC2/Lambda/ECRの脆弱性(CVE)スキャン。