翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Macie で Amazon S3 のセキュリティ体制を評価する
Amazon Simple Storage Service (Amazon S3) データの全体的なセキュリティ体制を評価し、どこでアクションを実行するかを判断するには、Amazon Macie コンソールの 概要 ダッシュボードを使用できます。
概要 ダッシュボードには、現在の AWS リージョンでの Amazon S3 データの集約された統計のスナップショットが表示されます。統計には、パブリックにアクセス可能である、または他の と共有されている汎用バケットの数など、主要なセキュリティメトリクスのデータが含まれます AWS アカウント。ダッシュボードには、アカウントの集約された調査結果データのグループ (例えば、過去 7 日間の出現の数が最も多い調査結果のタイプ) も表示されます。ユーザーが組織の Macie 管理者である場合、ダッシュボードには、組織内のすべてのアカウントの集約された統計とデータが提供されます。オプションで、アカウント別にデータをフィルタリングすることができます。
詳細な分析を実行するために、ダッシュボード上の個別の項目のサポートデータをドリルダウンして確認できます。Amazon Macie コンソールを使用して S3 バケットインベントリを確認および分析したり、Amazon Macie API の DescribeBucketsオペレーションを使用してインベントリデータをプログラムでクエリおよび分析したりすることもできます。
概要ダッシュボードを表示する
Amazon Macie コンソールで、概要ダッシュボードには、現在の AWS リージョンでの Amazon S3 データの集約された統計と調査結果データのスナップショットが表示されます。プログラムで統計をクエリする場合は、Amazon Macie API の GetBucketStatisticsオペレーションを使用できます。
サマリーダッシュボードを表示するには
Amazon Macie コンソール (https://console.aws.amazon.com/macie/
) を開きます。 -
ナビゲーションペインで 概要を選択します。Macie は 概要ダッシュボードを表示します。
-
Macie がアカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングを判断するには、ダッシュボードの上部にある 最終更新 フィールドを参照してください。詳細については、データの更新を参照してください。
-
ダッシュボードで項目のサポートデータをドリルダウンして確認するには、項目を選択します。
ユーザーが組織の Macie 管理者である場合、ダッシュボードには、自分のアカウントと組織内のメンバーアカウントの集約された統計とデータが表示されます。ダッシュボードをフィルタリングし、特定のアカウントのデータのみを表示するには、ダッシュボードの上の Account (アカウント) ボックスにアカウント ID を入力します。
概要ダッシュボードのコンポーネントを理解する
概要ダッシュボードでは、統計とデータがいくつかのセクションに分かれています。ダッシュボードのトップには、Amazon S3 に保存するデータの量と、Amazon Macie が機密データを検出するために分析できるデータの量を示す集約された統計が表示されます。最終更新日フィールドを参照して、Macie がアカウントの Amazon S3 からバケットまたはオブジェクトメタデータを最近取得したタイミングを確認することもできます。その他のセクションでは、現在の AWS リージョンの Amazon S3 データのセキュリティ、プライバシー、機密性を評価するのに役立つ統計と最近の検出結果データを提供します。
統計とデータは以下のセクションに分かれています。
ストレージと機密データの検出 | 自動検出とカバレッジ問題 | データセキュリティ | トップの S3 バケット | トップの検出結果タイプ | ポリシー検出結果
各セクションを確認するときに、オプションで項目を選択してドリルダウンし、サポートデータを確認します。また、ダッシュボードには S3 ディレクトリバケットのデータが含まれず、汎用バケットのみが含まれることに注意してください。Macie はディレクトリバケットをモニタリングまたは分析しません。
- ストレージと機密データ検出
-
ダッシュボードの上部にある統計は、Amazon S3に保存しているデータの量と、機密データを検出するためにMacieが分析できるデータの量を示しています。例:
![[概要]ダッシュボードの[ストレージと機密データの検出]セクション。各フィールドにはサンプルデータが含まれています。](images/scrn-summary-dashboard-storage.png)
このセクションの内容:
-
合計アカウント — このフィールドは、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている場合に表示されます。これは、バケットインベントリ内のバケットを所有 AWS アカウント する の合計数を示します。Macie 管理者の場合、これは組織で管理している Macie アカウントの総数です。スタンドアロンの Macie アカウントをお持ちの場合、この値は 1 です。
S3 バケットの合計 — このフィールドは、Macie アカウントが組織のメンバーである場合に表示されます。オブジェクトを保存しないバケットを含め、インベントリ内の汎用バケットの合計数を示します。
-
ストレージ — これらのメトリクスは、バケットインベントリ内のオブジェクトのストレージサイズに関する情報を提供します。
-
分類可能 – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。
-
合計— Macie が分析できないオブジェクトを含む、バケット内のすべてのオブジェクトの合計ストレージサイズ。
いずれかのオブジェクトが圧縮ファイルである場合、これらの値は解凍後のファイルの実際のサイズを反映しません。いずれかのバケットでバージョニングが有効化されている場合、これらの値は、それらのバケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。
-
-
オブジェクト — これらのメトリクスは、バケットインベントリ内のオブジェクト数に関する情報を提供します。
-
分類可能 - バケット内で Macie が分析できるオブジェクトの合計数。
-
合計— Macie が分析できないオブジェクトを含む、バケット内のオブジェクトの総数。
-
前述の統計では、データとオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っている場合、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、サポートされているストレージクラスとフォーマットを参照してください。
ストレージ と オブジェクト の統計には、Macie がアクセスするのを許可されていないバケット内のオブジェクトに関するデータは含まれないことに注意してください。例えば、制限の厳しいバケットポリシーが適用されているバケット内のオブジェクトなどです。これが当てはまるバケットを特定するには、(バケットインベントリを確認できます。警告アイコン
がインベントリ内のバケット名の横に表示される場合、Macie はバケットへのアクセスが許可されていません。 -
- 自動検出 と カバレッジ問題
-
機密データの自動検出が有効になっている場合、これらのセクションはダッシュボードに表示されます。これらのセクションの統計には、Macie がこれまで Amazon S3 データに対して実行した機密データ自動検出アクティビティのステータスと結果がキャプチャされます。例:
![[概要]ダッシュボードの [自動検出]セクションと [カバレッジ問題]セクション。各セクションには、データ例が含まれています。](images/scrn-summary-dashboard-sensitivity.png)
これらの統計の詳細については、概要ダッシュボードの集約されたデータ機密性統計を確認するを参照してください。
- データセキュリティ
-
このセクションでは、Amazon S3 データの潜在的なセキュリティおよびプライバシーリスクを示す統計も提供します。例:
![概要 ダッシュボードの [データセキュリティ] セクション。各領域にはサンプルデータが含まれています。](images/scrn-summary-dashboard-security.png)
これらの統計の詳細については、概要ダッシュボードのデータセキュリティ統計を理解するを参照してください。
- トップの S3 バケット
-
このセクションでは、過去 7 日間に任意のタイプの最も多くの調査結果を生成した S3 バケットを、最大 5 つのバケットについてリスト化します。また、Macie がバケットごとに作成した調査結果の数も示します。例:
![概要 ダッシュボードの [トップ S3 バケット] セクション。このセクションには 5 つのバケットのサンプルデータが含まれています。](images/scrn-summary-dashboard-top-buckets.png)
過去 7 日間のバケットのすべての調査結果を表示し、オプションでドリルダウンするには、合計調査結果 フィールドの値を選択します。バケットごとにグループ化された、すべてのバケットの現在の調査結果をすべて表示するには、バケットごとにすべての調査結果を表示 を選択します。
Macie が過去 7 日間に調査結果を作成しなかった場合、このセクションは空になります。または、過去 7 日間に作成されたすべての検出結果が、抑制ルールによって非表示にされました。
- トップの調査結果タイプ
-
このセクションでは、過去 7 日間に最も多くの出現の数があった 調査結果のタイプ を、最大 5 つの調査結果のタイプについてリスト化します。また、Macie がタイプごとに作成した調査結果の数も示します。例:
![概要 ダッシュボードの [トップの検出結果タイプ] セクション。このセクションには、5 タイプの検出結果のサンプルデータが含まれています。](images/scrn-summary-dashboard-top-finding-types.png)
過去 7 日間の特定のタイプのすべての調査結果を表示し、オプションでドリルダウンするには、合計調査結果 フィールドの値を選択します。調査結果タイプごとにグループ化された、現在の調査結果をすべて表示するには、タイプごとにすべての調査結果を表示 を選択します。
Macie が過去 7 日間に調査結果を作成しなかった場合、このセクションは空になります。または、過去 7 日間に作成されたすべての検出結果が、抑制ルールによって非表示にされました。
- ポリシーの調査結果
-
このセクションでは、Macie が最後に作成または更新した ポリシーの調査結果 を、最大 10 件の調査結果についてリスト化します。例:
![概要 ダッシュボードの [ポリシー検出結果] セクション。このセクションには、8 件の検出結果のサンプルデータが含まれています。](images/scrn-summary-dashboard-recent-findings-policy.png)
特定の調査結果の詳細を表示するには、調査結果を選択します。
Macie が過去 7 日間にポリシーの調査結果を作成または更新しなかった場合、このセクションは空になります。または、過去 7 日間に作成または更新されたすべてのポリシー検出結果が、抑制ルールによって非表示にされました。
概要ダッシュボードのデータセキュリティ統計を理解する
概要 ダッシュボードの [データセキュリティ] セクションには、現在の AWS リージョンの Amazon S3 データの潜在的なセキュリティリスクとプライバシーリスクを特定して調査するのに役立つ統計情報が提供されます。例えば、このデータを使用して、パブリックにアクセス可能である、または他の と共有されている汎用バケットを識別できます AWS アカウント。
Macie アカウントが組織のメンバーである場合、このセクションの上部にあるストレージと機密データ検出の統計に、Amazon S3 に保存するデータの量と、Macie が機密データを検出するために分析できるデータの量が表示されます。
Macie アカウントのタイプを問わず、以下のイメージで示すように、追加の統計は 3 つの領域に整理されています。
各領域を確認するときは、必要に応じて項目を選択してドリルダウンし、サポートデータを確認します。また、統計には S3 ディレクトリバケットのデータが含まれず、汎用バケットのみが含まれることに注意してください。Macie はディレクトリバケットをモニタリングまたは分析しません。
各エリアの個別の統計は以下のとおりです。
- パブリックアクセス
-
これらの統計では、パブリックアクセス可能、または可能でない S3 バケットの数を示します。
-
パブリックアクセス可能 — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。
-
パブリックワールド書き込み可能 — 一般ユーザーがバケットへの書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。
-
パブリックワールド読み取り可能 — 一般ユーザーがバケットへの読み取りアクセス権を持つことを許可するバケットの数とパーセンテージ。
-
パブリックアクセス可能でない — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可しないバケットの数とパーセンテージ。
各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。
このセクションの値を決定するために、Macie は各バケットのアカウントレベルとバケットレベルの設定、アカウントのブロックパブリックアクセスの設定、バケットのブロックパブリックアクセスの設定、バケットのバケットポリシー、およびバケットのアクセスコントロールリスト (ACL) の組み合わせを分析します。これらの設定の詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 での Identity and access managementとAmazon S3 ストレージへのパブリックアクセスのブロックを参照してください。
場合によっては、パブリックアクセスセクションにも不明の値が表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、パブリックアクセス設定を評価できませんでした。例えば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。あるいは、Macie は 1 つ以上のポリシーステートメントが外部エンティティのバケットへのアクセスを許可するかどうかを完全には判断できませんでした。
-
- 暗号化
-
これらの統計は、バケットに追加されたオブジェクトに特定のタイプのサーバー側暗号化を適用するように設定されている S3 バケットの数を示しています。
-
デフォルトで暗号化 — SSE-S3 — Amazon S3 マネージドキーを使用して新しいオブジェクトを暗号化するようにデフォルトの暗号化設定が設定されているバケットの数と割合。これらのバケットでは、新しいオブジェクトは SSE-S3 暗号化を使用して自動的に暗号化されます。
-
デフォルトで暗号化 – DSSE-KMS/SSE-KMS – デフォルトの暗号化設定が AWS マネージドキー またはカスタマーマネージドキー AWS KMS keyを使用して新しいオブジェクトを暗号化するように設定されたバケットの数と割合。これらのバケットでは、新しいオブジェクトは DSSE-KMS または SSE-KMS 暗号化を使用して自動的に暗号化されます。
各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。
このセクションの値を決定するために、Macie は各バケットのデフォルトの暗号化設定を分析します。2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトに対して、基本レベルの暗号化として Amazon S3 管理キー (SSE-S3) によるサーバーサイド暗号化を自動的に適用します。オプションで、 キーによるサーバー側の暗号化 (SSE-KMS) または AWS KMS キーによる二層式サーバー側の暗号化 AWS KMS (DSSE-KMS) を使用するようにバケットのデフォルトの暗号化設定を設定できます。デフォルトの暗号化設定とオプションの詳細については、Amazon Simple Storage Service ユーザーガイドのS3 バケットのデフォルトのサーバー側の暗号化動作の設定を参照してください。
場合によっては、このセクションには不明の値も表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、デフォルトの暗号化設定を評価できませんでした。例えば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。
-
- 共有中
-
これらの統計は、他の 、Amazon CloudFront オリジンアクセスアイデンティティ (OAI) AWS アカウント、またはオリジンアクセスコントロール (OACs) と共有されている、または CloudFront共有されていない S3 バケットの数を示します。 OAIs
-
外部で共有 — OAI、 CloudFront OAC、 CloudFrontまたは同じ組織外のアカウントのいずれかまたは組み合わせで共有されているバケットの数と割合。
-
内部で共有 — 同じ組織内のアカウントと共有されているバケットの数とパーセンテージ。これらのバケットは CloudFront OAIs または OACs と共有されません。
-
Not shared – 他のアカウント、 CloudFront OAIs、または CloudFront OACs と共有されていないバケットの数と割合。
各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。
バケットが他の と共有されているかどうかを判断するために AWS アカウント、Macie は各バケットのバケットポリシーと ACL を分析します。さらに、組織は、 を通じて、 AWS Organizations または Macie の招待によって関連アカウントのグループとして一元管理される一連の Macie アカウントとして定義されます。Amazon S3 のバケット共有のオプションの詳細については、Amazon Simple Storage Service ユーザーガイドのAmazon S3 での Identity and Access Managementを参照してください。
注記
場合によっては、同じ組織に所属していない AWS アカウント とバケットが共有されていると Macie が誤って報告することがあります。これは、Macie がバケットポリシー内の
Principal要素と、ポリシーのCondition要素内の特定のAWS グローバル条件コンテキストキーまたは Amazon S3 条件キーとの関係を完全に評価できない場合に発生する可能性があります。適用可能な条件キーはaws:PrincipalAccount、、aws:PrincipalArn、aws:PrincipalOrgID、aws:PrincipalOrgPaths、aws:PrincipalTag、aws:PrincipalType、aws:SourceAccountaws:SourceArn、、、aws:SourceIpaws:SourceVpc、s3:DataAccessPointAccount、、およびaws:SourceVpceaws:useridですs3:DataAccessPointArn。個々のバケットに当てはまるかどうかを判断するには、ダッシュボードの 外部共有 統計を選択します。テーブルには、各バケットの名前を書き留めることが表示されます。次に、Amazon S3 を使用して各バケットのポリシーを確認し、共有アクセス設定が意図的で安全かどうかを判断します。
バケットが CloudFront OAIs または OACs、Macie は各バケットのバケットポリシーを分析します。 CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFrontディストリビューションを介してバケットのオブジェクトにアクセスできます。 CloudFront OAIs と OACs」を参照してください。 Amazon S3 CloudFront
場合によっては、このセクションには不明の値も表示されます。これらの値が表示される場合、Macie は指定されたバケットの数と割合が他のアカウント、 CloudFront OAIs、または CloudFront OACs と共有されているかどうかを判断できませんでした。例えば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。あるいは、Macie はバケットのポリシーまたは ACL を完全に評価できませんでした。
-
