Amazon Macie の検出結果に含まれる情報を教えてください

Amazon Macie の検出結果に含まれる情報を教えてください

Clock Icon2025.07.10

困っていた内容

Amazon Macie で S3 に機密情報が含まれていないかチェックしたいです。
検出結果には検出した機密情報自体は含まれますか。また、含まれない場合はどのような情報が検出結果に含まれますか。

機密情報は含まれるの?

検出した機密情報自体は含まれません。代わりに調査に役立つ情報が含まれます。

機密データ検出結果の保存と保持 - Amazon Macie

機密データの検出結果には、Macie が検出した機密データは含まれません。代わりに、監査や調査に役立つ分析レコードが提供されます。

Amazon Macie で機密情報が検出された場合は検出結果が生成されます。
検出結果には、検出時の情報(ジョブ名)やメタ情報、検出されたリソースに関する情報(バケット名やキー名)などが含まれますが、検出された機密情報自体(パスワードなど)は含まれません。

Macie Detection Findings Information 1

なお、検出結果には機密情報の特定に役立つオブジェクト内の位置情報(行番号やページ番号など)も含まれます。

例えば、上記画像の財務情報のリンク(1)をクリックすると、具体的な検出位置が確認できます。

位置情報のサンプル
{
  "count": 1,
  "occurrences": {
    "lineRanges": [
      {
        "end": 2,
        "start": 2,
        "startColumn": 1
      }
    ]
  },
  "type": "CREDIT_CARD_NUMBER"
}
検出結果全体の JSON サンプル
[
  {
    "accountId": "123456789012",
    "archived": false,
    "category": "CLASSIFICATION",
    "classificationDetails": {
      "detailedResultsLocation": "s3://sample-macie-results-bucket/AWSLogs/123456789012/Macie/ap-northeast-1/5e8ff9bf55ba3508199d22e984129be6/123456789012/11111111-1111-1111-1111-111111111111.jsonl.gz",
      "jobArn": "arn:aws:macie2:ap-northeast-1:123456789012:classification-job/5e8ff9bf55ba3508199d22e984129be6",
      "jobId": "5e8ff9bf55ba3508199d22e984129be6",
      "originType": "SENSITIVE_DATA_DISCOVERY_JOB",
      "result": {
        "additionalOccurrences": false,
        "customDataIdentifiers": {
          "detections": [],
          "totalCount": 0
        },
        "mimeType": "text/plain",
        "sensitiveData": [
          {
            "category": "FINANCIAL_INFORMATION",
            "detections": [
              {
                "count": 1,
                "occurrences": {
                  "lineRanges": [
                    {
                      "end": 2,
                      "start": 2,
                      "startColumn": 1
                    }
                  ]
                },
                "type": "CREDIT_CARD_NUMBER"
              }
            ],
            "totalCount": 1
          }
        ],
        "sizeClassified": 8900,
        "status": {
          "code": "COMPLETE",
          "reason": null
        }
      }
    },
    "count": 1,
    "createdAt": "2025-01-02T03:04:05.006Z",
    "description": "The S3 object contains financial information such as bank account numbers or credit card numbers.",
    "id": "98cb8d65-96a4-20d8-cbf5-f1668c410306",
    "partition": "aws",
    "region": "ap-northeast-1",
    "resourcesAffected": {
      "s3Bucket": {
        "allowsUnencryptedObjectUploads": null,
        "arn": "arn:aws:s3:::macie-sample-finding-bucket",
        "createdAt": "2025-01-02T03:04:05.006Z",
        "defaultServerSideEncryption": {
          "encryptionType": "NONE",
          "kmsMasterKeyId": null
        },
        "name": "macie-sample-finding-bucket",
        "owner": {
          "displayName": "John Doe",
          "id": "7009a8971cd538e11f6b6606438875e7c86c5b672f46db45460ddcd087d36c32"
        },
        "publicAccess": {
          "effectivePermission": "NOT_PUBLIC",
          "permissionConfiguration": {
            "accountLevelPermissions": {
              "blockPublicAccess": {
                "blockPublicAcls": true,
                "blockPublicPolicy": true,
                "ignorePublicAcls": true,
                "restrictPublicBuckets": true
              }
            },
            "bucketLevelPermissions": {
              "accessControlList": {
                "allowsPublicReadAccess": false,
                "allowsPublicWriteAccess": false
              },
              "blockPublicAccess": {
                "blockPublicAcls": true,
                "blockPublicPolicy": true,
                "ignorePublicAcls": true,
                "restrictPublicBuckets": true
              },
              "bucketPolicy": {
                "allowsPublicReadAccess": false,
                "allowsPublicWriteAccess": null
              }
            }
          }
        },
        "tags": [
          {
            "key": "Division",
            "value": "HR"
          },
          {
            "key": "Team",
            "value": "Recruiting"
          }
        ]
      },
      "s3Object": {
        "bucketArn": "arn:aws:s3:::macie-sample-finding-bucket",
        "eTag": "6d84a9ae99910a7be5458a15c82a968c",
        "extension": "txt",
        "key": "financial.txt",
        "lastModified": "2021-08-18T18:35:25.000Z",
        "path": "macie-sample-finding-bucket/financial.txt",
        "publicAccess": false,
        "serverSideEncryption": {
          "encryptionType": "NONE",
          "kmsMasterKeyId": null
        },
        "size": 8900,
        "storageClass": "STANDARD",
        "tags": [
          {
            "key": "Division",
            "value": "HR"
          },
          {
            "key": "Team",
            "value": "Recruiting"
          }
        ],
        "versionId": ""
      }
    },
    "sample": true,
    "schemaVersion": "1.0",
    "severity": {
      "description": "High",
      "score": 3
    },
    "title": "The S3 object contains financial information",
    "type": "SensitiveData:S3Object/Financial",
    "updatedAt": "2025-01-02T03:04:05.006Z"
  }
]

参考資料

機密データの検出結果は次のような詳細を提供できます。

  • Microsoft Excel ワークブック、CSV ファイル、または TSV ファイルのセルまたはフィールドの列番号と行番号。
  • JSON または JSON Lines ファイル内のフィールドまたは配列へのパス。
  • CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号。
  • Adobe Portable Document Format (PDF) ファイル内のページのページ番号。
  • Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.