Macie の概念と用語

Amazon Macie では、一般的な AWS 概念と用語に基づいて構築し、これらの追加用語を使用します。

アカウント

AWS リソースと、それらのリソースにアクセスできる ID AWS アカウント を含む標準。

Macie を使用するには、 AWS アカウント 認証情報 AWS を使用して にサインインし、Macie を使用する AWS リージョン を選択し、そのリージョン AWS アカウント で に対して Macie を有効にします。詳細については、「Macie の使用開始」を参照してください。

Macie には次の 3 タイプのアカウントがあります。

• 管理者アカウント — このタイプのアカウントは、組織の Macie アカウントを管理します。組織は、関連するアカウントのグループとして集中管理されるアカウントのセットです。

• メンバーアカウント — このタイプのアカウントは、組織の Macie 管理者アカウントに関連付けられ、管理されます。

• スタンドアロンアカウント — このタイプのアカウントは、管理者アカウントでもメンバーアカウントでもありません。組織の一部ではありません。

Macie アカウントを組織に追加するには 2 つの方法があります。1 つは Macie を AWS Organizations に統合する方法と、Macie メンバーシップの招待を送信および受け入れる方法です。詳細については、複数のアカウントの管理を参照してください。

管理者アカウント

Macie では、組織の Macie アカウントを管理するアカウントです。Macie では、組織は、関連するアカウントのグループとして集中管理されるアカウントのセットです。

Macie 管理者アカウントのユーザーは、Amazon Simple Storage Service (Amazon S3) のインベントリデータ、ポリシーの検出結果、および組織内のすべてのアカウントの特定の Macie 設定とリソースにアクセスできます。また、自動機密データ検出を実行し、機密データ検出ジョブを実行し、アカウントが所有する S3 バケット内の機密データを検出することもできます。アカウントがどのように管理者アカウントとして指定されるかによっては、組織内の他のアカウントに対して追加のタスクを実行できる場合もあります。

詳細については、複数のアカウントの管理を参照してください。

許可リスト

Macie では、許可リストによって、Macie が機密データの S3 オブジェクトを検査する際に無視するテキストまたはテキストパターンを特定します。

Macie では、無視する特定の単語やその他のタイプの文字シーケンスをリストするプレーンテキストファイルと、無視するテキストパターンを定義する正規表現(正規表現)の 2 つのタイプの許可リストを作成できます。オブジェクトに許可リストのエントリまたはパターンに一致するテキストが含まれている場合、Macie は、機密データ検出結果、統計、その他のタイプの結果でそのテキストを報告しません。これは、テキストがマネージドデータ識別子またはカスタムデータ識別子の基準と一致する場合も当てはまります。

詳細については、「許可リストでの機密データの例外の定義」を参照してください。

機密データの自動検出

Macie が継続的に実行する一連の自動分析アクティビティで、S3 バケットから代表的なオブジェクトを特定して選択し、選択したオブジェクトに機密データがないかを検査します。

各ジョブは、その検出された機密データと実行された分析のレコード (機密データの調査結果と 機密データの検出結果) を作成します。Macie は、Amazon S3 データに関して提供する統計やその他の情報も更新します。

詳細については、「機密データ自動検出を実行する」を参照してください。

AWS Security Finding 形式 (ASFF)

に発行または生成された検出結果の内容の標準化された JSON 形式 AWS Security Hub。ASFF には、セキュリティ問題のソース、影響を受けるリソース、および調査結果のステータスに関する詳細が含まれます。

詳細については、AWS Security Hub ユーザーガイドの AWS Security Finding 形式 (ASFF)を参照してください。Security Hub への Macie の調査結果の公開の詳細については、 AWS Security Hubを使用して検出結果を評価するを参照してください。

分類可能なバイト数またはサイズ

Macie が提供する S3 バケット統計では、S3 バケット内のすべての分類可能なオブジェクトの合計ストレージサイズ。

バケットでバージョニングが有効化されている場合、この値は、バケット内の分類可能な各オブジェクトの最新バージョンのストレージサイズに基づきます。オブジェクトが圧縮ファイルの場合、この値はファイル解凍後のファイルの内容の実際のサイズを反映しません。

詳細については、S3 バケットインベントリを確認するおよびAmazon S3 のセキュリティ体制を評価するを参照してください。

分類可能なオブジェクト

Macie が分析して機密データを検出できる S3 オブジェクト。

S3 バケット統計を計算する際、Macie はオブジェクトのストレージクラスとファイル名拡張子に基づいてオブジェクトを分類可能と判断します。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。

詳細については、S3 バケットインベントリを確認するおよびサポートされているストレージクラスとフォーマットを参照してください。

機密データを検出する場合、Macie はオブジェクトのストレージクラス、ファイル名拡張子、内容に基づいてオブジェクトを分類可能と判断します。オブジェクトが分類可能であるのは:サポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っていて、Macie がオブジェクトからデータを抽出および分析できる場合。

詳細については、機密データの検出およびサポートされているストレージクラスとフォーマットを参照してください。

カスタムデータ識別子

機密データを検出するために定義する基準のセット。

基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) から設定されています。文字シーケンスは次のようになります。

• 正規表現に一致するテキストに近接している必要がある単語またはフレーズであるキーワード、または

• 単語を無視は、結果から除外する単語またはフレーズです。

検出基準に加えて、カスタムデータ識別子が生成する機密データ結果のカスタム重要度設定を定義できます。

詳細については、カスタムデータ識別子の構築を参照してください。

フィルタールール

Amazon Macie コンソールで検出結果を分析するために作成して保存する属性ベースのフィルタ条件のセット。フィルタールールは、特定のタイプの機密データを報告する重要度の高い検出結果など、特定の特性を持つ検出結果の一貫した分析を実行するのに役立ちます。

詳細については、「フィルタールールを定義する」を参照してください。

検出結果

Macie が検出した S3 汎用オブジェクト内の機密データ、または S3 バケットのセキュリティまたはプライバシーに関する潜在的な問題の詳細なレポート。各結果では、重要度評価、影響を受けたリソースに関する情報、Macie がデータや問題を見つけたタイミングなどの詳細が示されます。

Macie は 2 つのカテゴリの結果を生成します。1 つは 機密データの調査結果 ( Macie が S3 オブジェクトで検出した機密データ)で、もう 1 つは ポリシーの検出結果(Macie が S3 バケットのセキュリティとアクセス制御の設定で検出した潜在的な問題に関するポリシー結果) です。各カテゴリには、特定のタイプの調査結果があります。

詳細については、「調査結果のタイプ」を参照してください。

イベントの

機密データの検出結果または ポリシーの検出結果の詳細を含む Amazon EventBridge イベント。

Macie は、機密データの調査結果とポリシーの調査結果をイベントとして Amazon EventBridge に自動的に発行します。イベントは、 AWS イベントの EventBridge スキーマに準拠する JSON オブジェクトです。これらのイベントを使用して、他のアプリケーション、サービス、およびシステムを使用して、検出結果をモニタリングし、処理し、アクションを取ることができます。

詳細については、Amazon EventBridge を使用した検出結果の処理および検出結果の Amazon EventBridge イベントスキーマを参照してください。

ジョブ

機密データ検出ジョブを参照してください。

マネージドデータ識別子

特定のタイプの機密データを検出するように設計された、組み込み型の基準と手法のセットです。機密データの例としては、特定の国または地域のクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号などがあります。これらの識別子は、多くの国や地域の機密データタイプの大規模かつ増加しているリストを検出できます。

詳細については、マネージドデータ識別子の使用を参照してください。

メンバーアカウント

組織の指定された Macie 管理者アカウントによって管理される Macie アカウント。組織は、相互に関連付けられ、特定の の関連アカウントのグループとして一元管理される Macie アカウントのセットです AWS リージョン。

アカウントは、Macie を のアカウントの組織と統合 AWS Organizations するか、Macie メンバーシップの招待を受け入れるという 2 つの方法でメンバーアカウントになることができます。

メンバーアカウントをお持ちの場合、Macie 管理者はメンバーアカウントの Amazon S3 インベントリデータ、ポリシーの検出結果、特定の Macie 設定とリソースにアクセスできます。管理者は、自動機密データ検出を実行し、機密データ検出ジョブを実行し、S3 バケット内の機密データを検出することもできます。また、アカウントがメンバーアカウントになった経緯によっては、アカウントに対し追加のタスクを実行できる場合もあります。

詳細については、複数のアカウントの管理を参照してください。

組織

相互に関連付けられ、特定の の関連アカウントのグループとして一元管理されている一連の Macie アカウント AWS リージョン。

各組織は、指定された Macie 管理者アカウントと 1 つ以上の関連付けられたメンバーアカウントで設定されています。管理者アカウントは、メンバーアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。組織を作成するには、Macie を AWS Organizations と統合する方法と、Macie 内でメンバーシップ招待を送信および受け入れる方法の 2 つの方法があります。

詳細については、複数のアカウントの管理を参照してください。

ポリシーの検出結果

S3 汎用バケットのセキュリティとアクセスコントロールの設定に関する潜在的なポリシー違反または問題の詳細なレポート。詳細には、重要度評価、影響を受けたリソースに関する情報、いつ Macie が問題を見つけたかが含まれます。

Macie は、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる方法で S3 汎用バケットのポリシーまたは設定が変更されたときにポリシーの検出結果を生成します。Macie は、Amazon S3 データの継続的なモニタリングアクティビティの一部としてこれらの結果を生成します。Macie はいくつかのタイプのポリシー結果を生成できます。

詳細については、調査結果のタイプおよびデータのセキュリティとプライバシーのモニタリングを参照してください。

サンプルの検出結果

検出結果のサンプルでは、データ例とプレースホルダー値を使用して、各タイプの調査結果に含まれる可能性のある情報の種類を示します。

詳細については、検出結果のサンプルの使用を参照してください。

機密データの調査結果

Macie が S3 オブジェクトで検出した機密データの詳細なレポート。詳細には、重要度評価、影響を受けたリソースに関する情報、Macie が見つけた機密データのタイプと出現回数、およびいつ Macie が機密データを検出したかが含まれます。

Macie は、機密データ検出ジョブを実行したり、自動機密データ検出を実行したりするときに分析する S3 オブジェクト内に機密データを検出した場合に、機密データの検出結果を生成します。Macie は、いくつかのタイプの機密データの検出結果を生成することができます。

詳細については、調査結果のタイプおよび機密データの検出を参照してください。

機密データ検出ジョブ

ジョブとも呼ばれ、Macie が S3 オブジェクト内の機密データを検出して報告するために実行する一連の自動処理および分析タスクです。ジョブを作成するときは、ジョブを実行する頻度を指定し、ジョブの分析の範囲と性質を定義します。

各ジョブは、その検出された機密データと実行された分析のレコード (機密データの調査結果と 機密データの検出結果) を作成します。Macie は Amazon CloudWatch Logs にログデータも公開しています。

詳細については、機密データ検出ジョブの実行を参照してください。

機密データの検出結果

Macie が S3 オブジェクトに対して実行した分析の詳細を記録して、オブジェクトに機密データが含まれているかどうかを判断するレコード。Macie はこれらのレコードを生成して JSON Lines (.jsonl) ファイルに書き込み、暗号化して指定した S3 バケットに保存します。レコードは標準化されたスキーマに準拠しています。

[機密データ検出ジョブ]を実行するか、Macie が [自動機密データ検出]を実行すると、Macie は分析の範囲に含まれるオブジェクトごとに機密データ検出結果を作成します。これには、以下が含まれます。

• Macie が機密データを検出し、したがって機密データの検出結果を生成するオブジェクト。

• Macie が機密データを検出せず、したがって機密データの検出結果を生成しないオブジェクト。

• アクセス許可の設定や、サポートされていないファイルまたはストレージ形式の使用などのエラーまたは問題により、Macie が分析できないオブジェクト。

詳細については、「機密データ検出結果の保存と保持」を参照してください。

セッション

特定の AWS アカウント の特定の の Macie サービスを表すリソース AWS リージョン。は、各リージョンに 1 つの Macie セッションのみを持つ AWS アカウント ことができます。

Macie を初めて有効にすると、サービスにより現在のリージョンのアカウントで Macie セッションが生成されます。また、そのセッションに一意の識別子が割り当てられます。このセッションにより、Macie はリージョン内でアカウントを運用できるようになります。

スタンドアロンアカウント

組織の管理者でもメンバーアカウントでもない Macie アカウント。アカウントは組織の一部ではありません。

抑制された検出結果

抑制ルールによって自動的にアーカイブされた検出結果。つまり、Macie が検出結果を生成したときにその検出結果が抑制ルールの条件と一致したため、Macie は検出結果ステータスを自動的に アーカイブ済みに変更しました。

詳細については、調査結果を抑制するを参照してください。

抑制ルール

検出結果を自動的にアーカイブ (抑制する) ために作成して保存する属性ベースのフィルター基準一式。抑制ルールは、調査結果のクラスを確認した後、それらの調査結果を再度通知してほしくない場合に役立ちます。

抑制ルールを使用して検出結果を抑制する場合、Macie はルールの基準に一致する検出結果を生成し続けます。ただし、Macie は調査結果のステータスを自動的に アーカイブ済みに変更します。これは、検出結果がデフォルトで Amazon Macie コンソールに表示されず、Macie がそれらを他の AWS のサービスに公開しないことを意味します。

詳細については、調査結果を抑制するを参照してください。

分類不可能なバイト数またはサイズ

Macie が提供する S3 バケット統計では、S3 バケット内のすべての分類不可能なオブジェクトの合計ストレージサイズ。

バケットでバージョニングが有効化されている場合、この値は、バケット内の分類不可能各オブジェクトの最新バージョンのストレージサイズに基づきます。オブジェクトが圧縮ファイルの場合、この値はファイル解凍後のファイルの内容の実際のサイズを反映しません。

詳細については、S3 バケットインベントリを確認するおよびAmazon S3 のセキュリティ体制を評価するを参照してください。

分類不可能オブジェクト

Macie が機密データを検出するために分析できない S3 オブジェクト。

S3 バケット統計を計算する際、Macie はオブジェクトのストレージクラスとファイル名拡張子に基づいてオブジェクトが分類不可と判断します。分類不可能オブジェクトは、サポートされている Amazon S3 ストレージクラスを使用しないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないオブジェクトです。

詳細については、S3 バケットインベントリを確認するおよびサポートされているストレージクラスとフォーマットを参照してください。

機密データを検出する場合、Macie はオブジェクトのストレージクラス、ファイル名拡張子、および内容に基づいてオブジェクトを分類不可と判断します。オブジェクトが分類不可であるのは: サポートされている Amazon S3 ストレージクラスを使用しないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないか、Macie がオブジェクトからデータを抽出および分析できなかった場合。例えば、オブジェクトの形式が不正なファイルです。

詳細については、機密データの検出およびサポートされているストレージクラスとフォーマットを参照してください。