翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Macie とは
<a name="what-is-macie"></a>

Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービスです。

組織の Amazon Simple Storage Service (Amazon S3) データ資産のセキュリティ体制管理に役立つように、Macie は S3 汎用バケットのインベントリを提供して、セキュリティとアクセスコントロールのためにバケットを自動的に評価および監視します。Macie は、バケットがパブリックアクセス可能になっているなど、データのセキュリティまたはプライバシーに関する潜在的な問題を検出した場合、必要に応じて確認および修正するための検出結果を生成します。

Macieはまた機密データの検出とレポートを自動化するので、組織が Amazon S3 に保存しているデータをより詳細に把握できるようになります。機密データを検出するには、Macie が提供する組み込み型の基準と手法、ユーザーが定義するカスタム基準、またはこの 2 つの組み合わせを使用できます。S3 オブジェクト内で機密データを検出すると、Macie は検出結果を生成して、検出した機密データを通知します。

検出結果に加え、Macie は Amazon S3 データのセキュリティ体制と、データ資産内に機密データが存在する可能性がある場所に関するインサイト導き出す統計やその他データを提供します。この統計と情報は、特定の S3 バケットとオブジェクトについてより詳細の調査を行う際の意思決定の際の指針となります。Amazon Macie コンソールまたは Amazon Macie API を使用して、検出結果、統計およびその他の情報を確認および分析できます。また、Macie と Amazon EventBridge との統合を活用して、他のサービス、アプリケーション、システムを使用して検出結果をAWS Security Hub CSPMモニタリング、処理、修正することもできます。

**Topics**
+ [Macie の機能](#macie-features)
+ [Macie にアクセスする](#macie-access)
+ [Macie の料金](#macie-pricing)
+ [関連サービス](#macie-related-services)

## Macie の機能
<a name="macie-features"></a>

Amazon Macie を使用して Amazon S3 で機密データを検出、監視、保護するための主要な方法をいくつか紹介します。

**機密データの検出を自動化する**  
Macie を使って、以下 2 つの方法で機密データの検出とレポートを自動化できます。[機密データ検出を自動化する](discovery-asdd.md)よう Macie を設定する方法と、[機密データ検出ジョブを作成し実行する](discovery-jobs.md)方法です。S3 オブジェクト内の機密データを検出すると、Macie は機密データの検出結果を作成します。この検出結果では、Macie によって検出された機密データの詳細なレポートが提供されます。  
機密データの自動検出により、Amazon S3 データエステート内の機密データがどこに存在するかに幅広い可視性を提供しています。このオプションでは、Macie は S3 バケットインベントリを継続的に評価し、サンプリング技術によりバケットから代表的な S3 オブジェクトを識別して選択します。その後、Macie は選択したオブジェクトを取得して分析し、機密データがないか検査します。  
機密データ検出ジョブでは、より詳細で対象を絞った分析が可能になります。このオプションを使用し、分析の幅と深さ、つまり、分析する S3 バケット、サンプリング深度、S3 オブジェクトのプロパティから派生するカスタム基準を定義します。ジョブは、オンデマンドの分析と評価用には 1 回のみ、定期的な分析、評価、監視用には継続的に実行するよう設定できます。  
どちらのオプションでも、組織が Amazon S3 に保存するデータと、そのデータのセキュリティやコンプライアンスリスクに関する包括的なビューを構築して維持できます。

**さまざまな機密データタイプを発見する**  
Macie で機密データ検出を検出するために、S3 バケット内のオブジェクトを分析するよう組み込まれた基準と手法 (機械学習やパターンマッチングなど) を使用することができます。これらの基準と手法は、[マネージドデータ識別子](managed-data-identifiers.md)と呼ばれ、複数タイプの個人を特定できる情報 (PII)、財務情報、認証情報データなど、多くの国や地域で増加している大規模な機密データタイプのリストを検出できます。  
また、[カスタムデータ識別子](custom-data-identifiers.md)を使用することもできます。カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。これらの基準は、一致するテキストパターンを定義し、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (*正規表現*) で設定されます。このタイプの識別子を使用すれば、お客様の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。Macie が提供するマネージドデータ識別子を補足できます。  
分析を微調整するには、[許可リスト](allow-lists.md)を使用することもできます。許可リストは、Macie に S3 オブジェクトで無視させたい特定のテキストやテキストパターンを定義します。これらは通常、特定のシナリオや環境における機密データの例外です。例えば、組織の代表者氏名、組織の代表電話番号、組織がテストに使用するサンプルデータなどです。

**セキュリティとアクセスコントロールについてデータを評価してモニタリングする**  
Macie を有効にすると、Macie は S3 汎用バケットのインベントリを自動的に生成して維持を開始します。また、Macie はセキュリティとアクセスコントロールのためバケットの評価と監視を開始します。Macie がバケットのセキュリティまたはプライバシーに関する潜在的な問題を検出すると、ユーザー用に [ポリシーの調査結果](findings-types.md#findings-policy-types)を作成します。  
検出結果に加えて、[ダッシュボード](monitoring-s3-dashboard.md)には Amazon S3 データの集計統計のスナップショットが表示されます。これには、パブリックアクセス可能か、他のAWS アカウントと共有されているバケットの数など、主要な指標の統計が含まれます。各統計をドリルダウンして、そのサポートデータを確認できます  
Macie はインベントリ内の個別のバケット詳細情報と統計も提供します。データには、バケットのパブリックアクセスと暗号化設定の内訳、およびバケット内の機密データを検出するために Macie が分析できるオブジェクトのサイズと数が含まれます。特定のフィールドで [インベントリの参照](monitoring-s3-inventory.md)、またはインベントリの並べ替えおよびフィルタリングを行うことができます。

**調査結果を確認して分析する**  
Macie において検出結果とは、Macie が S3 オブジェクト内で検出した機密データ、または S3 汎用バケットのセキュリティまたはプライバシーに関する潜在的な問題の詳細なレポートのことです。各検出結果では、重要度評価、影響するリソースに関する情報、および Macie がデータや問題を検出したタイミングや方法などの追加の詳細が示されます。  
[検出結果を確認、分析、管理](findings.md)するには、Amazon Macie コンソールで**検出結果**ページを使用できます。これらのページでは、調査結果をリスト化し、個別の調査結果の詳細を提供します。また、調査結果のグループ化、フィルタリング、並べ替え、および抑制のための複数のオプションも提供します。Amazon Macie API を使用して、検出結果を取得して確認することもできます。API を使用する場合、データを別のアプリケーション、サービス、またはシステムに渡して、より詳細な分析、長期保存、またはレポートの作成を行うことができます。

**他のサービスおよびシステムを用いた調査結果のモニタリングと処理**  
他のサービスやシステムとの統合をサポートするために、Macie [は調査結果をイベントとして Amazon EventBridge に発行](findings-monitor-events-eventbridge.md)します。EventBridge は、AWS Lambda関数や Amazon Simple Notification Service (Amazon SNS) トピックなどのターゲットに検出結果データをルーティングできるサーバーレスイベントバスサービスです。EventBridge を使用すると、既存のセキュリティやコンプライアンスワークフローの一部として、ほぼリアルタイムで検出結果を監視、処理できます。  
[調査結果をAWS Security Hub CSPMに発行する](securityhub-integration.md)ように Macie を設定することもできます。Security Hub CSPM は、AWS環境全体のセキュリティ体制を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立つサービスです。Security Hub CSPM を使用すると、組織のセキュリティ体制の広範な分析の一環として、検出結果をより簡単に評価および処理できますAWS。複数の から検出結果を集約しAWS リージョン、1 つのリージョンから集約された検出結果データを評価して処理することもできます。

**複数の Macie アカウントを集中管理する**  
AWS環境に複数のアカウントがある場合は、環境内のアカウントの [Macie を一元管理](macie-accounts.md)できます。これを行うには、Macie を と統合AWS Organizationsするか、Macie でメンバーシップの招待を送受信します。  
複数アカウント設定では、指定された Macie 管理者が特定のタスクを実行し、同じ組織のメンバーであるアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。タスクには、メンバーアカウントが所有する S3 バケットに関する情報の確認、それらのバケットのポリシー検出結果の確認、機密データのためのバケット検査が含まれます。アカウントが を介して関連付けられている場合AWS Organizations、Macie 管理者は組織内のメンバーアカウントに対して Macie を有効にすることもできます。

**リソースをプログラムで開発して管理する**  
Amazon Macie コンソールに加えて、[Amazon Macie API](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html) を使用してMacie を操作することができます。Amazon Macie API は、Macie の設定、データ、リソースへの包括的でプログラムによるアクセスを提供します。  
Macie とプログラムでやり取りするには、HTTPS リクエストを Macie に直接送信するか、最新バージョンのAWSコマンドラインツールまたはAWS SDK を使用できます。 は、PowerShell、Java、Go、Python、C\$1\$1、.NET などのさまざまな言語とプラットフォームのライブラリとサンプルコードで構成されるツールと SDKs AWSを提供します。

## Macie にアクセスする
<a name="macie-access"></a>

Amazon Macie はほとんどの で利用できますAWS リージョン。Macie が現在利用可能なリージョンの一覧については、AWS 全般のリファレンスの [Amazon Macie エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。の 管理AWS リージョンの詳細についてはAWS アカウント、「 *AWS アカウント管理リファレンスガイド*」の[「アカウントAWS リージョンで を有効または無効に](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)する」を参照してください。

各リージョンで、次のいずれかの方法で Macie を使用できます。

**AWS マネジメントコンソール**  
AWS マネジメントコンソールは、 リソースの作成と管理AWSに使用できるブラウザベースのインターフェイスです。そのコンソールの一部として、Amazon Macie コンソールは Macie アカウント、データ、リソースへのアクセスを提供します。Macie コンソールを使えば、S3 バケットに関する統計やその他情報の確認、機密データ検出ジョブの実行、検出結果の確認と分析など多くのタスクを実行することができます。

**AWSコマンドラインツール**  
AWSコマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行して、Macie タスクとAWSタスクを実行できます。コマンドラインを使用すると、コンソールを使用するよりも高速で便利になります。コマンドラインツールは、タスクを実行するスクリプトを作成する場合にも便利です。  
AWSには、AWS Command Line Interface(AWS CLI) と の 2 セットのコマンドラインツールが用意されていますAWS Tools for PowerShell。のインストールと使用の詳細についてはAWS CLI、 [AWS Command Line Interfaceユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)を参照してください。Tools for PowerShell のインストールおよび使用の方法については、[AWS Tools for PowerShellユーザーガイド](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html)を参照してください。

**AWS SDK**  
AWSはSDKs を提供します。SDKs は、Macie やその他の への便利でプログラムによるアクセスを提供しますAWS のサービス。SDK は、暗号署名によるリクエスト、エラーの管理、リクエストの自動再試行などのタスクも処理します。AWS SDKs」を参照してください。 [AWS](https://aws.amazon.com/developer/tools/)

**Amazon Macie REST API**  
Amazon Macie REST API は、Macie アカウント、データ、リソースへの包括的なプログラムによるアクセスを提供します。この API を使用すると、HTTPS リクエストを Macie に直接送信できます。ただし、AWSコマンドラインツールや SDKs とは異なり、この API を使用するには、アプリケーションがリクエストに署名するためのハッシュの生成などの低レベルの詳細を処理する必要があります。この API の詳細については、[Amazon Macie API リファレンス](https://docs.aws.amazon.com/macie/latest/APIReference/welcome.html)を参照してください。

## Macie の料金
<a name="macie-pricing"></a>

他のAWS製品と同様に、Amazon Macie を使用するための契約や最低契約金はありません。

Macie の料金は、セキュリティとアクセスコントロール用 S3 バケット評価と監視、機密データ自動検出用 S3 オブジェクト監視、オブジェクト内機密データの検出と報告用 S3 オブジェクト分析、といったいくつかの体系に基づいて設定されています。詳細については、[Amazon Macie 料金表](https://aws.amazon.com/macie/pricing/)を参照してください。

Macie の使用コストを理解して予測するために、Macie はアカウントの推定使用コストを提供します。Amazon Macie コンソールで[これらの見積もりを確認](account-mgmt-costs-review.md)して、Amazon Macie API でそれらにアクセスできます。サービスの使用方法によっては、Amazon S3 からバケットデータを取得したり、カスタマーマネージドを使用して分析のためにオブジェクトAWS KMS keysを復号化したりするなど、他の を特定の Macie 機能AWS のサービスと組み合わせて使用すると、追加コストが発生する場合があります。

Macie を初めて有効にすると、AWS アカウントは Macie の 30 日間の無料トライアルに自動的に登録されます。これには、AWS Organizationsで組織の一部として有効化されている個別のアカウントが含まれます。無料トライアル期間中は、該当する で Macie を使用して S3 バケットのセキュリティとアクセスコントロールを評価およびモニタリングAWS リージョンしても料金はかかりません。アカウントの設定によっては、無料トライアルに Amazon S3 データの機密データ自動検出実行が含まれる場合もあります。無料トライアルには、S3 オブジェクト内機密データ検出とレポートのための機密データ検出ジョブ実行は含まれません。

無料トライアル終了後の Macie の使用コストを理解して予測できるように、Macie はトライアルの間の Macie の使用状況に基づく推定使用コストを提供します。使用状況データには、無料トライアルが終了するまでの残り時間も示されます。Amazon Macie コンソールでこのデータを表示して、Amazon Macie API でそのデータにアクセスできます。詳細については、「[無料トライアルに参加する](account-mgmt-free-trial.md)」を参照してください。

## 関連サービス
<a name="macie-related-services"></a>

のデータ、ワークロード、アプリケーションをさらに保護するにはAWS、以下を Amazon Macie AWS のサービスと組み合わせて使用することを検討してください。

**AWS Security Hub CSPM**  
AWS Security Hub CSPMは、AWSリソースのセキュリティ状態を包括的に把握し、セキュリティ業界標準とベストプラクティスに照らしてAWS環境をチェックするのに役立ちます。これは、複数のAWS のサービス(Macie を含む) およびサポートされているAWS Partner Network (APN) 製品からセキュリティ検出結果を消費、集約、整理、優先順位付けすることによって部分的に行われます。Security Hub CSPM は、セキュリティの傾向を分析し、AWS環境全体で最も優先度の高いセキュリティ問題を特定するのに役立ちます。  
Security Hub CSPM の詳細については、[AWS Security Hub「 ユーザーガイド](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)」を参照してください。Macie と Security Hub CSPM を一緒に使用する方法については、「」を参照してください[を使用した Macie の検出結果の評価 AWS Security Hub CSPM](securityhub-integration.md)。

**Amazon GuardDuty**  
Amazon GuardDuty は、Amazon S3 AWS CloudTrailのデータイベントAWSログや CloudTrail 管理イベントログなど、特定のタイプのログを分析して処理するセキュリティモニタリングサービスです。悪意のある IP アドレスやドメインのリストなどの脅威インテリジェンスフィードを使用し、機械学習を使用して、AWS環境内の予期しないアクティビティ、潜在的に不正なアクティビティ、悪意のあるアクティビティを特定します。  
GuardDuty の詳細については、[Amazon GuardDuty ユーザーガイド](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)を参照してください。

その他のAWSセキュリティサービスの詳細については、[「 のセキュリティ、アイデンティティ、コンプライアンスAWS](https://aws.amazon.com/products/security/)」を参照してください。