機密データの自動検出の仕組み - Amazon Macie
主要コンポーネント考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

機密データの自動検出の仕組み

で Amazon Macie を有効にすると AWS アカウント、Macie は現在の でアカウントの AWS Identity and Access Management (IAM) サービスにリンクされたロールを作成します AWS リージョン。このロールのアクセス許可ポリシーにより、Macie はユーザーに代わって他の を呼び出し AWS のサービス 、 AWS リソースをモニタリングできます。このロールを使用することで、Macie は リージョン内の Amazon Simple Storage Service (Amazon S3) 汎用バケットの完全なインベントリを生成し、維持します。インベントリには、バケット内の各 S3 バケットとオブジェクトに関する情報が含まれます。ユーザーが組織の Macie 管理者である場合、インベントリにはメンバーアカウントが所有するバケットに関する情報が含まれます。詳細については、「複数のアカウントの管理」を参照してください。

Macie アカウントで機密データの自動検出が有効になっている場合、Macie はインベントリデータを毎日評価して、自動検出に適する S3 オブジェクトを識別します。評価の一環として、Macie は代表的なオブジェクトのサンプルを選択して分析します。次に、Macie は Amazon S3 から選択した各オブジェクトの最新バージョンを取得して分析し、各オブジェクトに機密データがないか検査します。

分析が毎日進むにつれて、Macie は Amazon S3 データについて提供する統計、インベントリデータ、およびその他の情報を更新します。Macie は、検出した機密データや実行した分析の記録も作成します。結果として得られるデータは、Macie がアカウントのためにモニタリングおよび分析するすべての Amazon S3 S3 データ資産内の機密データを検出した場所に関するインサイトを提供します。データは、データのセキュリティとプライバシーを評価し、より詳細な調査を行う場所を決定し、修復が必要なケースを特定するのに役立ちます。

機密データの自動検出の仕組みについては、以下の動画をご覧ください。

機密データ自動検出を設定して使用するには、アカウントがスタンドアロンの Macie アカウントまたは組織の Macie 管理者アカウントである必要があります。

主要コンポーネント

Amazon Macie は、さまざまな機能と技術を組み合わせて、Amazon S3 データの機密データ自動検出を実行します。これらは、Macie が セキュリティとアクセスコントロールのためにAmazon S3 データをモニタリングすることに役立てるために使用する機能や手法と連動します。

分析する S3 オブジェクトの選択

Macie は毎日 Amazon S3 インベントリデータを評価して、機密データ自動検出による分析の対象となる S3 オブジェクトを識別します。ユーザーが組織の Macie 管理者である場合、これには、メンバーアカウントが所有する S3 バケットのインベントリデータが含まれます。

評価の一環として、Macie はサンプリング技術を使用して、分析する代表的な S3 オブジェクトを選択します。この手法は、メタデータが類似していて内容が類似している可能性が高いオブジェクトのグループを定義します。グループは、バケット名、プレフィックス、ストレージクラス、ファイル名拡張子、最終更新日などのディメンションに基づいています。次に、Macie は各グループから代表的なサンプルセットを選択し、選択した各オブジェクトの最新バージョンを Amazon S3 から取得し、選択した各オブジェクトを分析して、オブジェクトに機密データが含まれているかどうかを判断します。分析が完了すると、Macie はオブジェクトのコピーを破棄します。

サンプリング戦略では、分散分析が優先されます。一般的に、Amazon S3 のデータエステートは幅優先のアプローチを採用しています。毎日、S3 オブジェクトの代表的なセットは、Amazon S3 データエステート内のすべての分類可能なオブジェクトの合計ストレージサイズに基づいて、可能な限り多くの汎用バケットから選択されます。例えば、Macie が 1 つのバケット内のオブジェクトの機密データをすでに分析して検出し、別のバケット内のオブジェクトをまだ分析していない場合、後者のバケットは分析の優先度が高くなります。このアプローチにより、Amazon S3 データの機密性に関する幅広い洞察をより迅速に得ることができます。データエステートの規模にもよりますが、アカウントの機密データ自動検出を有効にしてから 48 時間以内に分析結果が表示されるようになります。

また、サンプリング戦略では、さまざまなタイプの S3 オブジェクトや、最近作成または変更されたオブジェクトの分析も優先されます。単一のオブジェクトサンプルが決定的であるとは限りません。したがって、さまざまなオブジェクトのセットを分析することで、S3 バケットに含まれる機密データのタイプと量をよりよく理解できます。さらに、新しいオブジェクトまたは最近変更されたオブジェクトに優先順位を付けると、バケットインベントリへの変更に分析を適応させるのに役立ちます。例えば、前回の分析の後にオブジェクトが作成または変更された場合、それらのオブジェクトはその後の分析で優先度が高くなります。逆に、オブジェクトが以前に分析され、その分析以降に変更されていない場合、Macie はそのオブジェクトを再度分析しません。このアプローチは、個々の S3 バケットの感度ベースラインを確立するのに役立ちます。その後、アカウントの継続的な段階的な分析が進むにつれて、個々のバケットの感度評価が予測可能な速度でますます深く、詳細になります。

分析範囲の定義

デフォルトでは、Macie はインベントリデータを評価し、分析する S3 オブジェクトを選択するときに、アカウントのためにモニタリングおよび分析するすべての S3 汎用バケットを含めます。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。

特定の S3 バケットを分析から除外できます。例えば、 AWS CloudTrail イベントログなどの AWS ログデータを保存するバケットを除外できます。バケットを除外するには、アカウントまたはバケットの機密データ自動検出設定を変更できます。これを行うと、Macie は次の日次評価および分析サイクルが始まるときにバケットの除外を開始します。分析から除外できるバケットは 1,000 個までです。

S3 バケットを除外すると、後で再度含めることができます。そのためには、アカウントまたはバケットの機密データ自動検出設定を再度変更してください。Macie は、次の日次評価と分析のサイクルが始まるとバケットの検出を開始します。

検出して報告する機密データのタイプを決定する

デフォルトでは、Macie は機密データの自動検出に推奨されるマネージドデータ識別子のセットを使用して S3 オブジェクトを検査します。これらのマネージドデータ識別子のリストについては、機密データの自動検出のデフォルト設定 を参照してください。

特定の種類の機密データに焦点を当てるように分析を調整できます。そのためには、アカウントの機密データ自動検出設定を以下のいずれかの方法で変更します。

  • マネージドデータ識別子は、特定の種類の機密データ (たとえば、クレジットカード番号、 AWS シークレットアクセスキー、または特定の国または地域のパスポート番号) を検出するように設計された組み込み型の基準と手法のセットです。詳細については、マネージドデータ識別子の使用を参照してください。

  • カスタムデータ識別子を追加またはその後削除する - カスタムデータ識別子は、機密データを検出するために定義する基準のセットです。カスタムデータ識別子を使用すると、従業員 ID、顧客アカウント番号、内部データの分類など、組織の特定のシナリオ、知的財産、または専有データを反映する機密データを検出できます。詳細については、カスタムデータ識別子の構築を参照してください。

  • 許可リストを追加または削除する — Macie では、S3 オブジェクトで Macie に無視させたいテキストまたはテキストパターンを許可リストで指定します。通常、組織の公開名や電話番号など、特定のシナリオや環境における機密データの例外や、組織がテストに使用するサンプルデータなどです。詳細については、許可リストでの機密データの例外の定義を参照してください。

設定を変更した場合、Macie は次の日次分析サイクルの開始時に変更を適用します。

バケットレベルの設定を調整して、特定のタイプの機密データをバケットの機密性の評価に含めるかどうかを決定することもできます。この方法の詳細は、個々の S3 バケットの機密データ自動検出の管理を参照してください。

機密スコアの計算

デフォルトでは、Macie はアカウントのモニタリングと分析を行う S3 汎用バケットごとに機密スコアを自動的に計算します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。

Macie では、機密スコアは、Macie がバケット内で検出した機密データの量と Macie がバケット内で分析したデータの量という 2 つの主要なディメンションの共通集合を定量的に測定したものです。バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルが決まります。機密ラベルは、バケットの機密スコアを定性的に表したものです。例えば、機密、非機密、分析が未完了などです。Macie が定義する機密性スコアとラベルの範囲の詳細については、S3 バケットの機密スコア を参照してください。

重要

S3 バケットの機密スコアとラベルは、バケットまたはバケットのオブジェクトが組織に対して緊急性または重要性を意味する、または示すものではありません。代わりに、潜在的なセキュリティリスクの特定とモニタリングに役立つ参照ポイントを提供することを目的としています。

アカウントの機密データ自動検出を最初に有効にすると、Macie は自動的に50の機密スコアと分析が未完了ラベルを各 S3 バケットに割り当てます。ただし、空のバケットは例外です。空のバケットは、オブジェクトを保存しないバケット、またはバケットのすべてのオブジェクトにゼロ (0) バイトのデータが含まれているバケットです。バケットの場合、Macie はバケットに1のスコアを割り当て、バケットには非機密ラベルを割り当てます。

アカウントの自動検出が進むと、Macie は分析の結果を反映するように機密スコアとラベルを更新します。例:

  • Macie がオブジェクト内の機密データを検出しない場合、必要に応じてMacie はバケットの機密スコアを下げ、バケットの機密ラベルを更新します。

  • Macie がオブジェクト内の機密データを検出すると、必要に応じて Macie はバケットの機密スコアを上げ、バケットの機密ラベルを更新します。

  • その後変更されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データ検出をバケットの機密スコアから削除し、バケットの機密ラベルを更新します。

  • その後削除されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データをバケットの機密スコアから削除し、バケットの機密ラベルを更新します。

特定のタイプの機密データをバケットのスコアに含めたり除外したりすることで、個々の S3 バケットの感度スコアリング設定を調整できます。最大スコア(100) をバケットに手動で割り当てることで、バケットの計算スコアを上書きすることもできます。最大スコアを割り当てると、バケットには機密というラベルが付けられます。詳細については、個々の S3 バケットの自動検出の管理を参照してください。

メタデータ、統計、結果の生成

アカウントで機密データの自動検出が有効になっている場合、Macie はアカウントでモニタリングおよび分析する S3 汎用バケットに関する追加のインベントリデータ、統計、およびその他の情報を自動的に生成して維持します。お客様が組織の Macie 管理者である場合、これには、お客さまのメンバーアカウントが所有するバケットが含まれます。

追加情報には、Macie がお客様のアカウントに対してこれまでに実行した機密データ自動検出アクティビティの結果がキャプチャされます。また、個々のバケットのパブリックアクセスや共有アクセス設定など、Macie が提供する Amazon S3 データに関するその他の情報を補足するものでもあります。追加情報には以下が含まれます。

  • Macie が機密データを検出したバケットの総数や、それらのバケットのうちパブリックにアクセスできるバケットの数など、集約されたデータ機密性統計。

  • Amazon S3 データエステート全体のデータ機密性をインタラクティブかつ視覚的に表現します。

  • Macie がバケット内で分析したオブジェクトのリスト、Macie がバケット内で検出した機密データのタイプ、Macie が検出した各タイプの機密データの発生回数など、分析の現在の状態を示すバケットレベルの詳細情報。

詳細については、機密データの自動検出の統計と結果の確認を参照してください。

追加情報には、Amazon S3 データのカバレッジの評価とモニタリングに役立つ統計と詳細も含まれています。データエステート全体とバケットインベントリ内の個々の S3 バケットの分析ステータスを確認できます。Macie が特定バケット内のオブジェクトを分析できなかった問題を特定することもできます。問題を修正すれば、その後の分析サイクルで Amazon S3 データのカバレッジを拡大できます。詳細については、機密データ自動検出カバレッジの評価を参照してください。

Macie は、お客様のアカウントの機密データの自動検出を実行しながら、この情報を自動的に再計算して更新します。たとえば、Macie がオブジェクト内の機密データを検出し、その後変更または削除された場合、Macie は該当するバケットのメタデータを更新します。つまり、分析対象オブジェクトのリストからそのオブジェクトを削除し、Macie がオブジェクト内で検出した機密データを削除し、スコアが自動的に計算された場合は機密スコアを再計算し、必要に応じて新しいスコアを反映するように機密ラベルを更新します。

Macie は、メタデータと統計に加えて、検出した機密データと実行した分析のレコードを生成します。機密データの検出結果は、Macie が個々の S3 オブジェクトで検出した機密データを報告し、機密データの検出結果は、個々の S3 オブジェクトの分析に関する詳細をログに記録します。

考慮事項

Amazon Macie を使用して Amazon S3 データの機密データの自動検出を実行する場合は、次の点に注意してください。

  • 自動検出設定は、現在の にのみ適用されます AWS リージョン。したがって、結果の分析とデータは、現在のリージョンの S3 汎用バケットとオブジェクトにのみ適用されます。追加のリージョンの自動検出を実行し、結果データにアクセスするには、追加の各リージョンで自動検出を有効化して設定します。

  • ユーザーが組織の Macie 管理者である場合:

    • 現在のリージョンのアカウントで Macie が有効になっている場合にのみ、メンバーアカウントの自動検出を実行できます。メンバーアカウントは、自分のアカウントの自動検出を実行できません。

    • メンバーアカウントは、S3 バケットに適用される自動検出設定にはアクセスできません。Macie 管理者だけがこれらの設定にアクセスできます。

    • メンバーアカウントは、Macie が自分の S3 バケットに直接提供する機密データ検出統計やその他の結果にはアクセスできません。例えば、メンバーアカウントは Amazon Macie コンソールを使用して S3 バケットの機密スコアを確認することはできません。Macie 管理者だけがこのデータにアクセスできます。

  • S3 バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得する、またはバケットのオブジェクトにアクセスするのを妨げるようにしている場合、Macie はバケットの自動検出を実行できません。Macie は、バケットを所有する AWS アカウント のアカウント ID、バケットの名前、および毎日の更新サイクルの一部として Macie がバケットとオブジェクトのメタデータを最後に取得した日時。バケットインベントリでは、これらのバケットの機密スコアは50で、その機密ラベルの分析が未完了です。

    このような状況にある S3 バケットをすばやく特定するには、自動検出カバレッジデータを参照してください。詳細については、機密データ自動検出カバレッジの評価を参照してください。特定のバケットの問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。たとえば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。

  • 選択と分析の対象となるには、S3 オブジェクトを汎用バケットに保存し、分類可能な である必要があります。分類可能なオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っています。詳細については、サポートされているストレージクラスとフォーマットを参照してください。

  • S3 オブジェクトが暗号化されている場合、Macie がそれを分析できるのは Macie がアクセス可能で使用を許可されているキーを用いて暗号化されている場合のみです。詳細については、暗号化された S3 オブジェクトの分析を参照してください。暗号化設定により Macie がバケット内の 1 つ以上のオブジェクトを分析できなかったケースを特定するには、自動検出カバレッジデータを参照してください。詳細については、機密データ自動検出カバレッジの評価を参照してください。