Macie の概念と用語

Amazon Macie では、一般的な AWS 概念と用語に基づいて構築され、これらの追加用語を使用します。

アカウント

AWS リソースと、それらのリソースにアクセスできる ID AWS アカウント を含む標準。

Macie を使用するには、 AWS アカウント 認証情報 AWS を使用して にサインインし、Macie AWS リージョン を使用する を選択し、そのリージョン AWS アカウント の で Macie を有効にします。詳細については、「Macie の開始方法」を参照してください。

Macie には次の 3 タイプのアカウントがあります。

• 管理者アカウント — このタイプのアカウントは、組織の Macie アカウントを管理します。組織は、関連するアカウントのグループとして集中管理されるアカウントのセットです。

• メンバーアカウント — このタイプのアカウントは、組織の Macie 管理者アカウントに関連付けられ、管理されます。

• スタンドアロンアカウント — このタイプのアカウントは、管理者アカウントでもメンバーアカウントでもありません。組織の一部ではありません。

Macie アカウントを組織に追加するには 2 つの方法があります。1 つは Macie を AWS Organizations に統合する方法と、Macie メンバーシップの招待を送信および受け入れる方法です。詳細については、複数のアカウントの管理を参照してください。

管理者アカウント

Macie では、組織の Macie アカウントを管理するアカウントです。Macie では、組織は、関連するアカウントのグループとして集中管理されるアカウントのセットです。

Macie 管理者アカウントのユーザーは、Amazon Simple Storage Service (Amazon S3) のインベントリデータ、ポリシーの検出結果、および組織内のすべてのアカウントの特定の Macie 設定とリソースにアクセスできます。また、自動機密データ検出を実行し、機密データ検出ジョブを実行し、アカウントが所有する S3 バケット内の機密データを検出することもできます。アカウントがどのように管理者アカウントとして指定されるかによっては、組織内の他のアカウントに対して追加のタスクを実行できる場合もあります。

詳細については、複数のアカウントの管理を参照してください。

許可リスト

Macie では、許可リストによって、Macie が機密データの S3 オブジェクトを検査する際に無視するテキストまたはテキストパターンを特定します。

Macie では、無視する特定の単語やその他のタイプの文字シーケンスをリストするプレーンテキストファイルと、無視するテキストパターンを定義する正規表現(正規表現)の 2 つのタイプの許可リストを作成できます。オブジェクトに許可リストのエントリまたはパターンに一致するテキストが含まれている場合、Macie は機密データの検出結果、統計、およびその他のタイプの結果のテキストを報告しません。これは、テキストがマネージドデータ識別子 またはカスタムデータ識別子 の基準と一致する場合でも当てはまります。

詳細については、「許可リストでの機密データの例外の定義」を参照してください。

機密データの自動検出

Macie が継続的に実行する一連の自動分析アクティビティで、S3 バケットから代表的なオブジェクトを特定して選択し、選択したオブジェクトに機密データがないかを検査します。

各ジョブは、その検出された機密データと実行された分析のレコード (機密データの調査結果と 機密データの検出結果) を作成します。Macie は、Amazon S3 データに関して提供する統計やその他の情報も更新します。

詳細については、「機密データ自動検出を実行する」を参照してください。

AWS セキュリティ検出結果形式 (ASFF）

に発行または生成された結果の内容の標準化されたJSON形式 AWS Security Hub。ASFF には、セキュリティ問題のソース、影響を受けるリソース、検出結果のステータスに関する詳細が含まれます。

の詳細についてはASFF、AWS Security Hub 「 ユーザーガイドAWS 」の「セキュリティ検出結果形式 (ASFF）」を参照してください。Security Hub への Macie の調査結果の公開の詳細については、による結果の評価 AWS Security Hubを参照してください。

分類可能なバイト数またはサイズ

Macie が提供する S3 バケット統計では、S3 バケット内のすべての分類可能なオブジェクトの合計ストレージサイズ。

バケットでバージョニングが有効化されている場合、この値は、バケット内の分類可能な各オブジェクトの最新バージョンのストレージサイズに基づきます。オブジェクトが圧縮ファイルの場合、この値はファイル解凍後のファイルの内容の実際のサイズを反映しません。

詳細については、「S3 バケットインベントリを確認する」および「Amazon S3 のセキュリティ体制を評価する」を参照してください。

分類可能なオブジェクト

Macie が分析して機密データを検出できる S3 オブジェクト。

S3 バケット統計を計算する際、Macie はオブジェクトのストレージクラスとファイル名拡張子に基づいてオブジェクトを分類可能と判断します。前のデータでは、オブジェクトがサポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っている場合、オブジェクトは 分類可能です。

詳細については、「S3 バケットインベントリを確認する」および「サポートされているストレージクラスとフォーマット」を参照してください。

機密データを検出する場合、Macie はオブジェクトのストレージクラス、ファイル名拡張子、内容に基づいてオブジェクトを分類可能と判断します。オブジェクトが分類可能であるのは:サポートされている Amazon S3 ストレージクラスを使用し、サポートされているファイルまたはストレージ形式のファイル名拡張子を持っていて、Macie がオブジェクトからデータを抽出および分析できる場合。

詳細については、「機密データの検出」および「サポートされているストレージクラスとフォーマット」を参照してください。

カスタムデータ識別子

機密データを検出するために定義する基準のセット。

基準は、一致するテキストパターン、オプションで文字シーケンス、結果を絞り込む近接ルールを定義する正規表現 (正規表現) から設定されています。文字シーケンスは次のようになります。

• 正規表現に一致するテキストに近接している必要がある単語またはフレーズであるキーワード、または

• 単語を無視は、結果から除外する単語またはフレーズです。

検出基準に加えて、カスタムデータ識別子が生成する機密データ結果のカスタム重要度設定を定義できます。

詳細については、カスタムデータ識別子の構築を参照してください。

フィルタールール

Amazon Macie コンソールで検出結果を分析するために作成して保存する属性ベースのフィルタ条件のセット。フィルタールールは、特定のタイプの機密データを報告する重要度の高い検出結果など、特定の特性を持つ検出結果の一貫した分析を実行するのに役立ちます。

詳細については、「フィルタールールの定義」を参照してください。

検出結果

Macie が S3 オブジェクトで見つけた機密データ、または S3 汎用バケットのセキュリティまたはプライバシーに関する潜在的な問題の詳細レポート。各結果では、重要度評価、影響を受けたリソースに関する情報、Macie がデータや問題を見つけたタイミングなどの詳細が示されます。

Macie は 2 つのカテゴリの結果を生成します。1 つは 機密データの調査結果 ( Macie が S3 オブジェクトで検出した機密データ)で、もう 1 つは ポリシーの検出結果(Macie が S3 バケットのセキュリティとアクセス制御の設定で検出した潜在的な問題に関するポリシー結果) です。各カテゴリには、特定のタイプの調査結果があります。

詳細については、「調査結果のタイプ」を参照してください。

イベントの

機密データの検出結果またはポリシーの検出結果の詳細を含む Amazon EventBridge イベント。

Macie は機密データの検出結果とポリシーの検出結果をイベント として Amazon EventBridge に自動的に発行します。 イベントは、 AWS イベントの EventBridge スキーマに準拠するJSONオブジェクトです。これらのイベントを使用して、他のアプリケーション、サービス、およびシステムを使用して、検出結果をモニタリングし、処理し、アクションを取ることができます。

詳細については、「Amazon での検出結果の処理 EventBridge」および「検出結果の Amazon EventBridge イベントスキーマ」を参照してください。

ジョブ

機密データ検出ジョブを参照してください。

マネージドデータ識別子

特定のタイプの機密データを検出するように設計された、組み込み型の基準と手法のセットです。機密データの例には、特定の国または地域のクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号などがあります。これらの識別子は、多くの国や地域の機密データタイプの大規模かつ増加しているリストを検出できます。

詳細については、マネージドデータ識別子の使用を参照してください。

メンバーアカウント

組織の指定された Macie 管理者アカウントによって管理される Macie アカウント。組織は、相互に関連付けられ、特定の 内の関連アカウントのグループとして一元管理される Macie アカウントのセットです AWS リージョン。

アカウントは、Macie をアカウントの組織と統合するか、Macie メンバーシップの招待を受け入れる AWS Organizations という 2 つの方法でメンバーアカウントになることができます。

メンバーアカウントをお持ちの場合、Macie 管理者はメンバーアカウントの Amazon S3 インベントリデータ、ポリシーの検出結果、特定の Macie 設定とリソースにアクセスできます。管理者は、自動機密データ検出を実行し、機密データ検出ジョブを実行し、S3 バケット内の機密データを検出することもできます。また、アカウントがメンバーアカウントになった経緯によっては、アカウントに対し追加のタスクを実行できる場合もあります。

詳細については、複数のアカウントの管理を参照してください。

組織

相互に関連付けられ、特定の 内の関連アカウントのグループとして一元管理される Macie アカウントのセット AWS リージョン。

各組織は、指定された Macie 管理者アカウントと 1 つ以上の関連付けられたメンバーアカウントで設定されています。管理者アカウントは、メンバーアカウントの特定の Macie 設定、データ、およびリソースにアクセスできます。組織を作成するには、Macie を AWS Organizations と統合する方法と、Macie 内でメンバーシップ招待を送信および受け入れる方法の 2 つの方法があります。

詳細については、複数のアカウントの管理を参照してください。

ポリシーの検出結果

S3 汎用バケットのセキュリティとアクセスコントロールの設定に関する潜在的なポリシー違反または問題の詳細なレポート。詳細には、重要度評価、影響を受けたリソースに関する情報、いつ Macie が問題を見つけたかが含まれます。

Macie は、S3 汎用バケットのポリシーまたは設定が、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる方法で変更されると、ポリシーの検出結果を生成します。Macie は、Amazon S3 データの継続的なモニタリングアクティビティの一部としてこれらの結果を生成します。Macie はいくつかのタイプのポリシー結果を生成できます。

詳細については、「調査結果のタイプ」および「データのセキュリティとプライバシーのモニタリング」を参照してください。

サンプルの検出結果

検出結果のサンプルでは、データ例とプレースホルダー値を使用して、各タイプの調査結果に含まれる可能性のある情報の種類を示します。

詳細については、検出結果のサンプルの使用を参照してください。

機密データの調査結果

Macie が S3 オブジェクトで検出した機密データの詳細なレポート。詳細には、重要度評価、影響を受けたリソースに関する情報、Macie が見つけた機密データのタイプと出現回数、およびいつ Macie が機密データを検出したかが含まれます。

Macie は、機密データ検出ジョブを実行したり、自動機密データ検出を実行したりするときに分析する S3 オブジェクト内に機密データを検出した場合に、機密データの検出結果を生成します。Macie は、いくつかのタイプの機密データの検出結果を生成することができます。

詳細については、「調査結果のタイプ」および「機密データの検出」を参照してください。

機密データ検出ジョブ

ジョブとも呼ばれ、Macie が S3 オブジェクト内の機密データを検出して報告するために実行する一連の自動処理および分析タスクです。ジョブを作成するときは、ジョブを実行する頻度を指定し、ジョブの分析の範囲と性質を定義します。

各ジョブは、その検出された機密データと実行された分析のレコード (機密データの調査結果と 機密データの検出結果) を作成します。Macie は Amazon CloudWatch Logs にログ記録データも発行します。

詳細については、「機密データ検出ジョブの実行」を参照してください。

機密データの検出結果

Macie が S3 オブジェクトに対して実行した分析の詳細を記録して、オブジェクトに機密データが含まれているかどうかを判断するレコード。Macie はこれらのレコードを生成して JSON Lines (.jsonl) ファイルに書き込み、それを暗号化して指定した S3 バケットに保存します。レコードは標準化されたスキーマに準拠しています。

[機密データ検出ジョブ]を実行するか、Macie が [自動機密データ検出]を実行すると、Macie は分析の範囲に含まれるオブジェクトごとに機密データ検出結果を作成します。これには、以下が含まれます。

• Macie が機密データを検出し、したがって機密データの検出結果を生成するオブジェクト。

• Macie が機密データを検出せず、したがって機密データの検出結果を生成しないオブジェクト。

• アクセス許可の設定や、サポートされていないファイルまたはストレージ形式の使用などのエラーまたは問題により、Macie が分析できないオブジェクト。

詳細については、「機密データ検出結果の保存と保持」を参照してください。

セッション

特定の AWS アカウント の特定の の Macie サービスを表すリソース AWS リージョン。は、各リージョンに 1 つの Macie セッションのみを持つ AWS アカウント ことができます。

Macie を初めて有効にすると、サービスは現在のリージョンのアカウントの Macie セッションを生成します。また、そのセッションに一意の識別子も割り当てます。このセッションにより、Macie はリージョン内のアカウントの運用が可能になります。

スタンドアロンアカウント

組織の管理者でもメンバーアカウントでもない Macie アカウント。アカウントは組織の一部ではありません。

抑制された検出結果

抑制ルールによって自動的にアーカイブされた検出結果。つまり、Macie が検出結果を生成したときにその検出結果が抑制ルールの条件と一致したため、Macie は検出結果ステータスを自動的に アーカイブ済みに変更しました。

詳細については、調査結果を抑制するを参照してください。

抑制ルール

結果を自動的にアーカイブ (非表示) するために作成および保存する属性ベースのフィルター条件のセット。抑制ルールは、調査結果のクラスを確認した後、それらの調査結果を再度通知してほしくない場合に役立ちます。

抑制ルールを使用して検出結果を抑制する場合、Macie はルールの基準に一致する検出結果を生成し続けます。ただし、Macie は調査結果のステータスを自動的に アーカイブ済みに変更します。これは、検出結果がデフォルトで Amazon Macie コンソールに表示されず、Macie がそれらを他の AWS のサービスに公開しないことを意味します。

詳細については、調査結果を抑制するを参照してください。

分類不可能なバイト数またはサイズ

Macie が提供する S3 バケット統計では、S3 バケット内のすべての分類不可能なオブジェクトの合計ストレージサイズ。

バケットでバージョニングが有効化されている場合、この値は、バケット内の分類不可能各オブジェクトの最新バージョンのストレージサイズに基づきます。オブジェクトが圧縮ファイルの場合、この値はファイル解凍後のファイルの内容の実際のサイズを反映しません。

詳細については、「S3 バケットインベントリを確認する」および「Amazon S3 のセキュリティ体制を評価する」を参照してください。

分類不可能オブジェクト

Macie が機密データを検出するために分析できない S3 オブジェクト。

S3 バケット統計を計算する際、Macie はオブジェクトのストレージクラスとファイル名拡張子に基づいてオブジェクトが分類不可と判断します。分類不可能オブジェクトは、サポートされている Amazon S3 ストレージクラスを使用しないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないオブジェクトです。

詳細については、「S3 バケットインベントリを確認する」および「サポートされているストレージクラスとフォーマット」を参照してください。

機密データを検出する場合、Macie はオブジェクトのストレージクラス、ファイル名拡張子、および内容に基づいてオブジェクトを分類不可と判断します。オブジェクトが分類不可であるのは: サポートされている Amazon S3 ストレージクラスを使用しないか、サポートされているファイルまたはストレージ形式のファイル名拡張子を持たないか、Macie がオブジェクトからデータを抽出および分析できなかった場合。例えば、オブジェクトの形式が不正なファイルです。

詳細については、「機密データの検出」および「サポートされているストレージクラスとフォーマット」を参照してください。