マネージド AWS セキュリティサービスによるデータセキュリティのモニタリング - Amazon Simple Storage Service

マネージド AWS セキュリティサービスによるデータセキュリティのモニタリング

いくつかのマネージド AWS セキュリティサービスは、Amazon S3 データのセキュリティとコンプライアンスのリスクを特定、評価、監視するのに役立ちます。また、こうしたリスクからデータを保護するのにも役立ちます。これらのサービスには、単一の AWS アカウント から数千の AWS アカウント にまたがる組織向けのリソースに拡張できるように設計された、自動検知、モニタリング、保護機能が含まれます。

AWS 検出および対応サービスを使うと、潜在的なセキュリティ設定ミス、脅威、または予期しない動作を特定できるため、環境内の不正または悪意のある可能性があるアクティビティに対して迅速に対応できます。AWS データ保護サービスは、データ、アカウント、ワークロードをモニタリングし、不正アクセスから保護するのに役立ちます。また、Amazon S3 のデータ資産内で個人を特定できる情報 (PII) などの機密データを発見するのにも役立ちます。

データセキュリティとコンプライアンスのリスクを特定して評価するのをサポートするため、マネージド AWS セキュリティサービスでは、検出結果を生成して、Amazon S3 データに関する潜在的なセキュリティイベントや問題を通知します。検出結果には関連する詳細は、インシデント対応のワークフローとポリシーに従ってこれらのリスクを調査、評価、対処するために使用できます。各サービスを使用して、検出結果データに直接アクセスできます。また、セキュリティインシデントやイベント管理システム (SIEM) など、他のアプリケーション、サービス、システムにデータを送信することもできます。

Amazon S3 データのセキュリティをモニタリングするには、これらのマネージド AWS セキュリティサービスの使用を検討してください。

Amazon GuardDuty

Amazon GuardDuty は、悪意のあるアクティビティがないか継続的に AWS アカウント をモニタリングし、詳細なセキュリティ検出結果を提供する脅威検知サービスです。

GuardDuty の S3 保護機能を使用すると、Amazon S3 リソースの AWS CloudTrail 管理イベントとデータイベントを分析するように GuardDuty を設定できます。それにより、GuardDuty は、悪意のあるアクティビティや疑わしいアクティビティについてこれらのイベントをモニタリングします。分析を行い、潜在的なセキュリティリスクを特定するため、GuardDuty は脅威インテリジェンスフィードと機械学習を使用しています。

GuardDuty では、Amazon S3 リソースについてさまざまな種類のアクティビティをモニタリングできます。例えば、Amazon S3 の CloudTrail 管理イベントには、ListBucketsDeleteBucketPutBucketReplication など、バケットレベルのオペレーションが含まれます。Amazon S3 のデータイベントには、GetObjectListObjectsPutObject などのオブジェクトレベルのオペレーションが含まれます。GuardDuty が異常なアクティビティや潜在的に悪意のあるアクティビティを検出すると、検出結果を生成してユーザーに通知します。

詳細については、「Amazon GuardDuty ユーザーガイド」の「Amazon GuardDuty での Amazon S3 の保護」を参照してください。

Amazon Detective

Amazon Detective は調査プロセスを簡素化し、セキュリティ調査をより迅速かつ効果的に実施できるようにします。Detective が提供する事前に作成されたデータ集計、要約、およびコンテキストは、考えられるセキュリティ問題の性質と範囲を迅速に分析および評価するのに役立ちます。

Detective は、AWS CloudTrail からの API 呼び出しや AWS の Amazon VPC フローログなど、時間ベースのイベントを自動的に抽出します。また、Amazon GuardDuty によって生成された検出結果も取り込みます。次に Detective は、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成します。

これらのビジュアライゼーションは、リソースの動作と時間の経過に伴うそれらのインタラクションに関するインタラクティブな統合ビューを提供します。この動作グラフを詳しく確認すると、失敗したログオン試行や疑わしい API コールなど、さまざまなアクションを調べることができます。また、これらのアクションが S3 バケットやオブジェクトなどのリソースにどのように影響するかを確認できます。

詳細については、「Amazon Detective 管理ガイド」を参照してください。

IAM Access Analyzer

AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) は、外部エンティティと共有されているリソースを識別するのに役立ちます。また、IAM Access Analyzer を使用して IAM ポリシーをポリシー文法やベストプラクティスに照らして検証し、AWS CloudTrail ログのアクセスアクティビティに基づいて IAM ポリシーを生成することもできます。

IAM Access Analyzer は、ロジックベースの推論を使用して、バケットポリシーなど、AWS 環境内のリソースポリシーを分析します。IAM Access Analyzer for S3 は、インターネットの任意のユーザーや他の AWS アカウント (組織外のアカウントを含む) にアクセスを許可するように S3 バケットが設定された場合、警告します。例えば、IAM Access Analyzer for S3 は、バケットのアクセスコントロールリスト (ACL)、バケットポリシー、マルチリージョンアクセスポイントポリシー、またはアクセスポイントポリシーを通じて、バケットに読み取りまたは書き込みのアクセス権が提供されていることを報告する場合があります。パブリックバケットまたは共有バケットごとに、パブリックアクセスや共有アクセスのソースとレベルを示す検出結果が送信されます。この情報を用いて、迅速で正確な是正処置を講じ、バケットへのアクセスを意図したとおりに復元できます。

詳細については、「IAM Access Analyzer for S3 を使用したバケットアクセスの確認」を参照してください。

Amazon Macie

Amazon Macie は、機械学習とパターンマッチングを使用して機密データを検出し、データセキュリティリスクを可視化し、それらのリスクに対する自動保護を可能にするデータセキュリティサービスです。

Macie を使用すると、S3 データバケット内の機密データの検出とレポートを自動化でき、組織が Amazon S3 に保存しているデータを詳細に把握できるようになります。機密データを検出するには、Macie が提供する組み込み型の基準と手法、ユーザーが定義するカスタム基準、またはこの 2 つの組み合わせを使用できます。Macie が S3 オブジェクト内の機密データを検出すると、Macie は検出結果を生成して通知します。この検出結果により、影響を受けたバケットとオブジェクト、Macie が見つけた機密データの種類と出現回数、および調査を円滑に進めるのに役立つ追加の詳細に関する情報が得られます。

Macie は、Amazon S3 データのセキュリティ体制の分析情報を提供する統計やその他のデータも提供し、セキュリティおよびアクセスコントロールのために S3 バケットを自動的に評価およびモニタリングします。Macie は、バケットがパブリックアクセス可能になっているなど、データのセキュリティまたはプライバシーに関する潜在的な問題を検出した場合、必要に応じて確認および修正するための検出結果を生成します。

詳細については、「Amazon Macie ユーザーガイド」を参照してください。

AWS Security Hub

AWS Security Hub は、セキュリティのベストプラクティスをチェックし、複数のソースからのアラートと検出結果を 1 つの形式に集約し、自動修復を可能にするセキュリティ体制管理サービスです。

Security Hub は、Amazon Detective、Amazon GuardDuty、IAM Access Analyzer、Amazon Macie などの統合 AWS Partner Network セキュリティソリューションおよび AWS のサービス からセキュリティ検出結果データを収集して提供します。また、AWS ベストプラクティスとサポートされている業界標準に基づいて、継続的な自動セキュリティチェックを実行することによって、独自の検出結果を生成します。

Security Hub はその後、プロバイダー間で結果を関連づけて統合し、最も重要な検出結果を優先化し、処理できるようにします。また、カスタムアクションもサポートされています。カスタムアクションを使用して、特定クラスの検出結果に対する応答または修復アクションを呼び出すことができます。

Security Hub を使用すると、Amazon S3 リソースのセキュリティとコンプライアンスのステータスを評価できます。これは、個々の AWS リージョン と複数のリージョンで、組織のセキュリティ体制に対するより広範な分析の一部として行うことができます。これには、セキュリティの傾向分析や最も優先度の高いセキュリティ問題の特定が含まれます。また、複数の AWS リージョン からの検出結果を集約したり、1 つのリージョンから集計した検出結果データをモニタリングおよび処理することもできます。

詳細については、「AWS Security Hub ユーザーガイド」の「Amazon Simple Storage Service コントロール」を参照してください。