Macie の検出結果のタイプ

Amazon Macie は、2 つのカテゴリの調査結果を生成します: ポリシーの調査結果と機密データの調査結果。ポリシーの検出結果は、Amazon Simple Storage Service (Amazon S3) 汎用バケットのセキュリティまたはプライバシーに関する潜在的なポリシー違反または問題の詳細なレポートです。Macie は、セキュリティとアクセスコントロールについて汎用バケットを評価およびモニタリングするための継続的な活動の一環として、ポリシーの検出結果を生成します。機密データの検出結果は、Macie が S3 オブジェクトで検出した機密データの詳細レポートです。Macie は、機密データ検出ジョブを実行したり、機密データ自動検出を実行したりするときに実行するアクティビティの一部として機密データの検出結果を生成します。

各カテゴリには特定のタイプがあります。検出結果のタイプによって、Macie が検出した問題の性質や機密データに対する洞察が得られます。検出結果の詳細では、重要度評価、影響を受けたリソースに関する情報、および Macie が問題や機密データを検出したタイミングと方法などの追加情報が示されます。各検出結果の重要度と詳細は、その検出結果のタイプと性質によって異なります。

ヒント

Macie が生成できるさまざまなカテゴリとタイプの調査結果を探索して学ぶために、検出結果のサンプルを作成 。検出結果のサンプルでは、データ例とプレースホルダー値を使用して、各タイプの調査結果に含まれる可能性のある情報の種類を示します。

ポリシー検出結果のタイプ

Amazon Macie は、S3 汎用バケットのポリシーまたは設定が、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる方法で変更されたときにポリシー検出結果を生成します。Macie がこれらの変更を検出する詳細については、Macie が Amazon S3 データセキュリティをモニタリングする方法 を参照してください。

Macie は、 AWS アカウントに対して Macie を有効にした後に変更が生じた場合にのみ、ポリシーの検出結果を生成します。例えば、Macie を有効にした後に S3 バケットのブロックパブリックアクセス設定が無効になっている場合、Macie はバケットの Policy:IAMUser/S3BlockPublicAccessDisabled 検出結果を生成します。Macie を有効にしたときにバケットのパブリックアクセスブロック設定が無効になっても引き続き無効になっている場合、Macie はバケットのポリシー：IAMUser/S3BlockPublicAccessDisabled 検出結果を生成しません。

既存のポリシー検出結果にその後の出現を検出すると、Macie はその後の出現に関する詳細を追加し、出現カウント数を加えて検出結果を更新します。Macie は 90 日間検出結果を保存します。

Macie は、S3 汎用バケットに対して次のタイプのポリシー検出結果を生成できます。

Policy:IAMUser/S3BlockPublicAccessDisabled

バケットレベルのパブリックアクセスブロック設定がバケットに対し無効になりました。バケットへのアクセスは、アカウントのブロックパブリックアクセス設定、アクセスコントロールリスト (ACLs）、およびバケットのバケットポリシーによって制御されます。

S3 バケットのブロックパブリックアクセス設定の詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 ストレージへのパブリックアクセスのブロックを参照してください。

Policy:IAMUser/S3BucketEncryptionDisabled

バケットのデフォルトの暗号化設定は、Amazon S3 マネージドキーを使用して新しいオブジェクトを自動的に暗号化するデフォルトの Amazon S3 暗号化動作にリセットされました。

2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトの暗号化の基本レベルとして、Amazon S3 マネージドキー (SSE-S3) によるサーバー側の暗号化を自動的に適用します。オプションで、 キーによるサーバー側の暗号化 (-KMS) SSEまたは AWS KMS キーによる二層式サーバー側の暗号化 (-) を使用するようにバケットのデフォルトの暗号化設定を設定できます AWS KMS DSSEKMS。S3 バケットのデフォルト暗号化設定とオプションについては、Amazon Simple Storage Service ユーザーガイドのS3 バケットのデフォルトのサーバー側の暗号化動作の設定を参照してください。

Macie が 2023 年 1 月 5 日より前にこのタイプの検出結果を生成した場合、その検出結果では、デフォルトの暗号化設定が影響するバケットでは無効になっていたことが示されます。つまり、バケットの設定では、新しいオブジェクトに対するデフォルトのサーバー側の暗号化動作が指定されていなかったということです。バケットのデフォルトの暗号化設定を無効にする機能は、Amazon S3 ではサポートされなくなりました。

Policy:IAMUser/S3BucketPublic

バケットの ACLまたは バケットポリシーが変更され、匿名ユーザーまたはすべての認証された AWS Identity and Access Management （IAM) ID によるアクセスが許可されました。

S3 バケットの ACLsおよび バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「アクセス管理」を参照してください。

Policy:IAMUser/S3BucketReplicatedExternally

レプリケーションが有効になっており、組織の外部 (一部ではない) AWS アカウント の のバケットにオブジェクトをレプリケートするように設定されています。組織は、Macie の招待を通じて、 AWS Organizations または Macie の招待によって、関連アカウントのグループとして一元管理される Macie アカウントのセットです。

特定の条件下では、Macie は、外部 のバケットにオブジェクトをレプリケートするように設定されていないバケットに対して、このタイプの検出結果を生成することがあります AWS アカウント。これは、Macie が毎日の更新サイクル の一部として Amazon S3 からバケットとオブジェクトのメタデータを取得した後、過去 24 AWS リージョン 時間以内に宛先バケットが別の に作成された場合に発生する可能性があります。この検出結果を調べるには、まずインベントリデータを更新することから始めてください。その後、バケットの詳細を確認します。詳細には、そのバケットが他のバケットにオブジェクトをレプリケートするよう設定されているかどうかが示されます。バケットがそのように設定されている場合、詳細には宛先バケットを所有する各アカウントのアカウント ID が表示されます。

S3 バケットのレプリケーション設定の詳細については、Amazon Simple Storage Service ユーザーガイドのオブジェクトのレプリケーションを参照してください。

Policy:IAMUser/S3BucketSharedExternally

バケットの ACLまたは バケットポリシーが変更され、組織の外部 (一部ではない) AWS アカウント の とバケットを共有できるようになりました。組織は、Macie の招待を通じて、 AWS Organizations または Macie の招待によって、関連するアカウントのグループとして一元管理される一連の Macie アカウントです。

場合によっては、Macie は外部AWSアカウントと共有されていないバケットに対してこのタイプの検出結果を生成することがあります。これは、Macie がバケットポリシー内の Principal 要素と、ポリシーの Condition 要素内の特定のAWS グローバル条件コンテキストキーまたは Amazon S3 条件キーとの関係を完全に評価できない場合に発生する可能性があります。適用可能な条件キーはaws:PrincipalAccount、、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:PrincipalTag、aws:PrincipalType、aws:SourceAccountaws:SourceArn、、、aws:SourceIpaws:SourceVpc、aws:SourceVpceaws:userid、s3:DataAccessPointAccount、および ですs3:DataAccessPointArn。バケットポリシーを確認して、このアクセスが安全かつ意図されたものか判断することをお勧めします。

S3 バケットの ACLsおよび バケットポリシーの詳細については、Amazon Simple Storage Service ユーザーガイドの「アクセス管理」を参照してください。

Policy:IAMUser/S3BucketSharedWithCloudFront

バケットのバケットポリシーが変更され、バケットを Amazon CloudFront オリジンアクセスアイデンティティ (OAI）、 CloudFront オリジンアクセスコントロール (OAC）、または CloudFront OAIと の両方と共有できるようになりました CloudFront OAC。または CloudFront OAIOACは、ユーザーが 1 つ以上の指定された CloudFrontディストリビューションを介してバケットのオブジェクトにアクセスすることを許可します。

および の詳細については CloudFront OAIsOACs、Amazon S3 オリジンへのアクセスの制限」を参照してください。 CloudFront

注記

場合によっては、Macie はバケットの Policy:IAMUser/S3BucketSharedExternally 検出結果の代わりに Policy:IAMUser/S3BucketSharedWithCloudFront 検出結果を生成します。そのケースは以下のとおりです。

• バケットは、 または AWS アカウント に加えて、組織の外部にある CloudFront OAI と共有されますOAC。

• バケットのポリシーは、 の Amazon リソースネーム (ARN) の代わりに正規ユーザー ID を指定します CloudFront OAI。

これにより、バケットのポリシー検出結果はより重要度の高いものを生成します。

機密データ検出結果のタイプ

Amazon Macie は、機密データを検出するために分析する S3 オブジェクト内の機密データを検出すると、機密データの検出結果を生成します。これには、機密データ検出ジョブを実行したとき、または機密データ自動検出を実行したときに Macie が実行する分析が含まれます。

例えば、機密データ検出ジョブを作成して実行し、Macie が S3 オブジェクト内の銀行口座番号を検出すると、Macie はオブジェクトの SensitiveData:S3Object /Financial 検出結果を生成します。同様に、Macie が機密データの自動検出サイクル中に分析する S3 オブジェクト内の銀行口座番号を検出すると、Macie はオブジェクトの SensitiveData:S3Object /Financial 検出結果を生成します。

Macie がその後のジョブ実行中または機密データ自動検出サイクル中に同じ S3 オブジェクト内で機密データを検出すると、Macie はそのオブジェクトに対して新しい機密データ検出結果を生成します。ポリシー検出結果とは異なり、機密データ検捨結果はすべて、新規 (一意) として処理されます。Macie は機密データの調査結果を 90 日間保存します。

Macie は、S3 オブジェクトに対して次のタイプの機密データ検出結果を生成することができます。

SensitiveData:S3Object/Credentials

オブジェクトには、 AWS シークレットアクセスキーやプライベートキーなどの機密認証情報データが含まれています。

SensitiveData:S3Object/CustomIdentifier

オブジェクトには、1 つ以上のカスタムデータ識別子の検出基準に一致するテキストが含まれています。オブジェクトには、複数のタイプの機密データが含まれている場合があります。

SensitiveData:S3Object/Financial

オブジェクトには、銀行口座番号やクレジットカード番号など機密性の高い財務情報が含まれます。

SensitiveData:S3Object/Multiple

オブジェクトには、1 つ以上のカテゴリの機密データ (1 つ以上のカスタムデータ識別子の検出基準に一致する認証情報データ、財務情報、個人情報、またはテキストの任意の組み合わせ) が含まれます。

SensitiveData:S3Object/Personal

オブジェクトには、パスポート番号や運転免許証識別番号などの個人を特定できる情報 (PII）、健康保険や医療識別番号などの個人健康情報 (PHI）、または PIIと の組み合わせなどの機密性の高い個人情報が含まれていますPHI。

Macie が組み込まれた基準と技術で検出できる機密データのタイプの詳細については、マネージドデータ識別子の使用 を参照してください。Macie が分析できる S3 オブジェクトのタイプの詳細については、サポートされているストレージクラスとフォーマットを参照してください。