翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
S3 バケットの機密スコア
アカウントで機密データの自動検出が有効になっている場合、Amazon Macie はアカウントでモニタリングおよび分析する各 Amazon Simple Storage Service (Amazon S3) 汎用バケットに対して機密スコアを自動的に計算して割り当てます。機密スコアは、S3 バケットに含まれる可能性のある機密データの量を定量的に表したものです。そのスコアに基づいて、Macie は各バケットに機密ラベルも割り当てます。機密ラベルは、バケットの機密スコアを定性的に表したものです。これらの値は、Amazon S3 データ資産内の機密データがどこにあるかを判断し、そのデータの潜在的なセキュリティリスクを特定して監視するための参照ポイントとして役立ちます。
デフォルトでは、S3 バケットの機密スコアとラベルには、Macie がそれまでにバケットに対して実行した機密データ自動検出活動の結果が反映されています。作成、実行した機密データ検出ジョブの結果は反映されません。さらに、スコアもラベルも、バケットやバケットのオブジェクトが組織にもたらす緊急性や重要度を暗示したり、提示したりするものではありません。ただし、バケットに手動で最大スコア(100)を割り当てることでバケットの計算スコアを上書きできます。これにより、バケットに機密ラベルも割り当てられます。
機密スコアリングの寸法と範囲
Amazon Macie の計算上、S3 バケットの機密スコアは 2 つの主要な寸法の交差点を定量的に測定したものです。
-
Macie がバケット内で検出した機密データ量 これは主に、Macie がバケット内で検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。
-
Macie がバケット内で分析したデータ量 これは主に、Macie がバケット内で分析したユニークオブジェクトの数と、バケット内の固有オブジェクトの総数との比較から算出されます。
S3 バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルも決まります。機密ラベルは、スコアを機密または非機密など定性的に表したものです。Amazon Macie コンソールでは、バケットの機密スコアによって、次の図に示すように Macie ユーザーがデータ視覚化でバケットを表すために使う色も決まります。
機密スコアの範囲は-1から100す(次の表を参照)。S3 バケットのスコアへの入力を評価するには、Macie がバケットに関して提供する機密データ検出統計やその他詳細情報を参照します。
| 機密スコア | 機密ラベル | 追加情報 |
|---|---|---|
| -1 | 分類エラー |
オブジェクトレベルの分類エラーのため (オブジェクトレベルの権限設定、オブジェクトコンテンツ、クォータに関する問題) 、Macie はまだバケットのオブジェクトを分析していません。 Macie がバケット内の 1 つ以上のオブジェクトを分析しようとしたときに、エラーが発生しました。例えば、オブジェクトが不正な形式のファイルであったり、Macie がアクセスできない、あるいは使用を許可されていないキーでオブジェクトが暗号化されている場合などです。バケットのカバレッジデータは、エラーの調査と修正に役立ちます。詳細については、機密データ自動検出カバレッジの評価を参照してください。 Macie はバケット内のオブジェクトの分析を引き続き試みます。Macie がオブジェクトを正常に分析すると、Macie はバケットの機密スコアとラベルを更新して、分析結果を反映します。 |
| 1-49 | 非機密 |
この範囲で 49のような高いスコアは、Macie がバケット内で分析したオブジェクトが比較的少ないことを示します。1のような低いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクト総数に対して) を分析し、それらのオブジェクトに含まれる機密データのタイプと出現が比較的少ないことを示します。 スコア 1 は、バケットにオブジェクトが保存されていないか、バケット内のすべてのオブジェクトにゼロ (0) バイトのデータが含まれていることを示すこともできます。バケットの詳細にあるオブジェクトの統計は、それに該当するか判断するのに役立ちます。詳細については、S3 バケットの詳細の確認を参照してください。 |
| 50 | 分析が未完了 |
Macie はまだバケットのオブジェクトを分析していない、または分析を試みていません。Macie は、アカウントの自動検出を最初に有効にしたとき、またはバケットがバケットインベントリに追加されたときに、このスコアをバケットに自動的に割り当てます。 スコアが50の場合、バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトにアクセスできなくなっている可能性もあります。これは通常、制限の厳しいバケットポリシーが原因です。Macie はバケットに関するサブセットのみの情報を提供できるので、バケットの詳細がそれに該当するか判断するのに役立ちます。この問題の対処方法については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。 |
| 51-99 | 機密 |
この範囲で、99のような高いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクトの総数に対して) を分析し、それらのオブジェクトに含まれる機密データの多くのタイプと出現を検出したことを示します。51のような低めのスコアは、Macie がバケット内で中程度の数のオブジェクト (バケット内のオブジェクトの総数と比較して) を分析し、それらのオブジェクト内の機密データのタイプと出現を少なくとも数種類検出したことを示します。 |
| 100 | 機密 |
スコアは手動でバケットに割り当てられ、計算されたスコアは上書きされました。Macie はこのスコアをバケットに割り当てません。 |
機密スコアの監視
アカウントの機密データ自動検出を最初に有効化するときに、Amazon Macie は各 S3 バケットに 50 の機密スコアを自動的に割り当てます。また、Macie は、バケットがバケットインベントリに追加されるときに、このスコアをバケットに割り当てます。そのスコアに基づいて、各バケットの機密ラベルは分析が未完了です。例外は空のバケットです。これは、オブジェクトを保存しないか、バケット内のすべてのオブジェクトにゼロ (0) バイトのデータが含まれているバケットです。その場合、Macie はバケットに1のスコアを割り当て、バケットの機密ラベルは非機密とします。
アカウントの機密データの自動検出が毎日進行するにつれて、Macie は S3 バケットの機密スコアとラベルを更新して分析結果を反映します。例:
-
Macie がオブジェクト内の機密データを検出しない場合、必要に応じてMacie はバケットの機密スコアを下げ、バケットの機密ラベルを更新します。
-
Macie がオブジェクト内の機密データを検出すると、必要に応じて Macie はバケットの機密スコアを上げ、バケットの機密ラベルを更新します。
-
その後変更されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データ検出をバケットの機密スコアから削除し、バケットの機密ラベルを更新します。
-
その後削除されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データをバケットの機密スコアから削除し、バケットの機密ラベルを更新します。
-
以前は空だったバケットにオブジェクトが追加され、Macie がそのオブジェクトに機密データを検出した場合、必要に応じて Macie はバケットの機密スコアを上げ、バケットの機密ラベルを更新します。
-
バケットの権限設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得またはアクセスができなくなっている場合、Macie はバケットの機密スコアを50に変更し、バケットの機密ラベルを分析が未完了に変更します。
Amazon S3 に保存するデータ量によって、アカウントの機密データ自動検出を有効にしてから、48 時間以内に分析結果が表示されるようになります。
アカウントの機密スコアリング設定を調整できます。これにより、すべての S3 バケットのその後の分析の設定が変わります。個々の S3 バケットの設定を調整することもできます。アカウントレベルの設定では、特定の許可リスト、カスタムデータ識別子、またはマネージドデータ識別子を分析に含めたり除外したりすることができます。分析から特定のバケットを除外することもできます。詳細については、「アカウントの自動検出設定の設定」を参照してください。
特定の S3 バケットのスコアリング設定を調整するには、バケットのスコアに特定のタイプの機密データを含めるか除外します。バケットに自動計算されたスコアを割り当てるかどうかも指定できます。詳細については、個々の S3 バケットの自動検出の管理を参照してください。
