Amazon Macie の調査結果のタイプ - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie の調査結果のタイプ

Amazon Macie は、2 つのカテゴリの調査結果を生成します: ポリシーの調査結果機密データの調査結果。ポリシー検出結果は、Amazon Simple Storage Service (Amazon S3) バケットのセキュリティまたはプライバシーに伴う潜在的なポリシー違反の詳細レポートです。Macie は、継続的な活動の一部としてポリシーの検出結果を作成し、セキュリティとアクセスコントロールについて S3 バケットを評価および監視します。機密データの検出結果は、Macie が S3 オブジェクトで検出した機密データの詳細レポートです。Macie は、ユーザーがアカウントに対して機密データ検出ジョブを行なったり、機密データ自動検出を実行したりする際の活動の一部として、機密データ検出結果を生成します。

各カテゴリには特定のタイプがあります。検出結果のタイプによって、Macie が検出した問題の性質や機密データに対する洞察が得られます。検出結果の詳細では、重要度評価、影響を受けたリソースに関する情報、および Macie が問題や機密データを検出したタイミングと方法などの追加情報が示されます。各検出結果の重要度と詳細は、その検出結果のタイプと性質によって異なります。

ヒント

Macie が生成できるさまざまなカテゴリとタイプの調査結果を探索して学ぶために、検出結果のサンプルを作成 。検出結果のサンプルでは、データ例とプレースホルダー値を使用して、各タイプの調査結果に含まれる可能性のある情報の種類を示します。

ポリシー検出結果のタイプ

Amazon Macie は、S3 バケットのポリシーまたは設定に対し、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる変更があったときに、ポリシーの検出結果を生成します。Macie がこれらの変更を検出する詳細については、Macie が Amazon S3 データセキュリティをモニタリングする方法 を参照してください。

Macie は、AWS アカウント に対して Macie を有効にした後に変更が生じた場合にのみ、ポリシーの検出結果を生成します。例えば、Macie を有効にした後に S3 バケットのブロックパブリックアクセス設定が無効になっている場合、Macie はバケットの Policy:IAMUser /S3 BlockPublicAccessDisabled検出結果を生成します。ただし、Macie を有効にし、引き続き無効にされたバケットのパブリックアクセスブロック設定が無効になっている場合、Macie はバケットの Policy:IAMUser /S3 BlockPublicAccessDisabled検出結果を生成しません。

既存のポリシー検出結果にその後の出現を検出すると、Macie はその後の出現に関する詳細を追加し、出現カウント数を加えて検出結果を更新します。Macie は 90 日間検出結果を保存します。

Macie は S3 バケットに対して次のタイプのポリシーの調査結果を生成できます。

Policy:IAMUser/S3BlockPublicAccessDisabled

バケットレベルのパブリックアクセスブロック設定がバケットに対し無効になりました。バケットへのアクセスは、アカウントのパブリックアクセスブロック設定、アクセスコントロールリスト (ACL)、およびバケットポリシーによって制御されます。

S3 バケットのブロックパブリックアクセス設定の詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 ストレージへのパブリックアクセスのブロックを参照してください。

Policy:IAMUser/S3BucketEncryptionDisabled

バケットのデフォルトの暗号化設定は、Amazon S3 マネージドキーを使用して新しいオブジェクトを自動的に暗号化するデフォルトの Amazon S3 暗号化動作にリセットされました。

2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトに対して、基本レベルの暗号化として Amazon S3 管理キー (SSE-S3) によるサーバーサイド暗号化を自動的に適用します。オプションで、 AWS KMSキーによるサーバー側の暗号化 (SSE-KMS) または AWS KMSキーによる二層式サーバー側の暗号化 (DSSE-KMS) を使用するように、バケットのデフォルトの暗号化設定を設定できます。S3 バケットのデフォルト暗号化設定とオプションについては、Amazon Simple Storage Service ユーザーガイドのS3 バケットのデフォルトのサーバー側の暗号化動作の設定を参照してください。

Macie が 2023 年 1 月 5 日より前にこのタイプの検出結果を生成した場合、その検出結果では、デフォルトの暗号化設定が影響するバケットでは無効になっていたことが示されます。つまり、バケットの設定では、新しいオブジェクトに対するデフォルトのサーバー側の暗号化動作が指定されていなかったということです。バケットのデフォルトの暗号化設定を無効にする機能は、Amazon S3 ではサポートされなくなりました。

Policy:IAMUser/S3BucketPublic

バケットの ACL またはバケットポリシーは、匿名ユーザーまたはすべての認証された AWS Identity and Access Management (IAM) アイデンティティによるアクセスを許可するよう変更されました。

S3 バケットの ACL およびバケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 での Identity and Access Managementを参照してください。

Policy:IAMUser/S3BucketReplicatedExternally

レプリケーションが有効化され、バケットから組織の外部 (組織の一部ではない) AWS アカウント のバケットにオブジェクトをレプリケートするよう設定されました。組織 は、AWS Organizations を通じて、またはMacie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットです。

特定の条件下で、外部 AWS アカウント のバケットにオブジェクトをレプリケートするよう設定されていないバケットに対して、Macie がこのタイプの検出結果を生成することがあります。これは、毎日の更新サイクルの一環として Macie が Amazon S3 からバケットとオブジェクトメタデータを取得した後、過去 24 時間以内に宛先バケットが別の AWS リージョン に作成された場合に発生する可能性があります。この検出結果を調べるには、まずインベントリデータを更新することから始めてください。その後、バケットの詳細を確認します。詳細には、そのバケットが他のバケットにオブジェクトをレプリケートするよう設定されているかどうかが示されます。バケットがそのように設定されている場合、詳細には宛先バケットを所有する各アカウントのアカウント ID が表示されます。

S3 バケットのレプリケーション設定の詳細については、Amazon Simple Storage Service ユーザーガイドオブジェクトのレプリケーションを参照してください。

Policy:IAMUser/S3BucketSharedExternally

バケットの ACL またはバケットポリシーが、バケットが組織の外部 (組織の一部ではない) AWS アカウント と共有されることを許可するように変更されました。組織 は、AWS Organizations を通じて、またはMacie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットです。

場合によっては、Macie は外部 AWS アカウントと共有されていないバケットに対してこのタイプの検出結果を生成することがあります。これは、Macie がバケットポリシー内の Principal 要素と、ポリシーの Condition 要素内の特定のAWS グローバル条件コンテキストキーまたは Amazon S3 条件キーとの関係を完全に評価できない場合に発生する可能性があります。該当する条件キーは aws:PrincipalAccountaws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArnaws:userids3:DataAccessPointAccount、および s3:DataAccessPointArn です。バケットポリシーを確認して、このアクセスが安全かつ意図されたものか判断することをお勧めします。

S3 バケットの ACL およびバケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドAmazon S3 での Identity and Access Managementを参照してください。

Policy:IAMUser/S3BucketSharedWithCloudFront

バケットのバケットポリシーが変更され、バケットを Amazon CloudFront オリジンアクセスアイデンティティ (OAI)、 CloudFront オリジンアクセスコントロール (OAC)、または CloudFront OAI と CloudFront OAC の両方と共有できるようになりました。 CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFrontディストリビューションを介してバケットのオブジェクトにアクセスできます。

CloudFront OAIsAmazon S3OACs」を参照してください。 CloudFront

注記

場合によっては、Macie はバケットの Policy:IAMUser /S3BucketSharedExternally 検出結果の代わりに Policy:IAMUser /S3 BucketSharedWithCloudFront検出結果を生成します。そのケースは以下のとおりです。

  • バケットは、 CloudFront OAI または OAC に加えて、組織の外部AWS アカウントにある と共有されます。

  • バケットのポリシーは、 CloudFront OAI の Amazon リソースネーム (ARN) の代わりに正規ユーザー ID を指定します。

これにより、バケットのポリシー検出結果はより重要度の高いものを生成します。

機密データ検出結果のタイプ

Macie は、機密データを検出するために分析する S3 オブジェクト内で機密データを検出するときに、機密データ検出結果を生成します。これには、機密データ検出ジョブ実行と機密データ自動検出実行の際、Macie が実行する分析が含まれます。

例えば、機密データ検出ジョブを作成して実行し、Macie が S3 オブジェクト内の銀行口座番号を検出すると、Macie はオブジェクトの SensitiveData:S3Object /Financial 検出結果を生成します。同様に、Macie が機密データの自動検出サイクル中に分析する S3 オブジェクト内の銀行口座番号を検出すると、Macie はオブジェクトの SensitiveData:S3Object /Financial 検出結果を生成します。

Macie がその後のジョブ実行中または機密データ自動検出サイクル中に同じ S3 オブジェクト内で機密データを検出すると、Macie はそのオブジェクトに対して新しい機密データ検出結果を生成します。ポリシー検出結果とは異なり、機密データ検捨結果はすべて、新規 (一意) として処理されます。Macie は機密データの調査結果を 90 日間保存します。

Macie は、S3 オブジェクトに対して次のタイプの機密データ検出結果を生成することができます。

SensitiveData:S3Object/Credentials

オブジェクトには、AWS シークレットアクセスキーやプライベートキーなどの機密性の高い認証情報データが含まれます。

SensitiveData:S3Object/CustomIdentifier

オブジェクトには、1 つ以上のカスタムデータ識別子の検出基準に一致するテキストが含まれています。オブジェクトには、複数のタイプの機密データが含まれている場合があります。

SensitiveData:S3Object/Financial

オブジェクトには、銀行口座番号やクレジットカード番号など機密性の高い財務情報が含まれます。

SensitiveData:S3Object/Multiple

オブジェクトには、1 つ以上のカテゴリの機密データ (1 つ以上のカスタムデータ識別子の検出基準に一致する認証情報データ、財務情報、個人情報、またはテキストの任意の組み合わせ) が含まれます。

SensitiveData:S3Object/Personal

オブジェクトには、パスポート番号や運転免許証識別番号などの個人を特定できる情報 (PII)、健康保険や医療識別番号などの個人の健康情報 (PHI)、または PII と PHI の組み合わせのような機密性の高い個人情報が含まれます。

Macie が組み込まれた基準と技術で検出できる機密データのタイプの詳細については、マネージドデータ識別子の使用 を参照してください。Macie が分析できる S3 オブジェクトのタイプの詳細については、サポートされているストレージクラスとフォーマットを参照してください。