Amazon Macie で Amazon S3 のセキュリティ体制を評価する - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie で Amazon S3 のセキュリティ体制を評価する

Amazon Simple Storage Service (Amazon S3) データの全体的なセキュリティ体制を評価し、どこでアクションを実行するかを判断するには、Amazon Macie コンソールの [Summary] (概要) ダッシュボードを使用できます。

Summary (概要) ダッシュボードには、現在の AWS リージョン での Amazon S3 データの集約された統計のスナップショットが表示されます。統計には、パブリックアクセス可能である、またはデフォルトで新しいオブジェクトを暗号化しないバケットの数など、主要なセキュリティメトリクスのデータが含まれます。ダッシュボードには、アカウントの集約された調査結果データのグループ (たとえば、過去 7 日間の出現の数が最も多い調査結果のタイプ) も表示されます。ユーザーが組織の Macie 管理者である場合、ダッシュボードには、組織内のメンバーアカウントの集約された統計とデータが含まれます。

詳細な分析を実行するために、ダッシュボード上の個別の項目のサポートデータをドリルダウンして確認できます。Amazon Macie コンソールを使用して S3 バケットインベントリを確認して分析するか、Amazon Macie API の Amazon S3 データソースリソースを使用してインベントリデータをクエリして分析することもできます。

概要ダッシュボードを表示する

Amazon Macie コンソールで、Summary (概要) ダッシュボードには、現在の AWS リージョン での Amazon S3 データの集約された統計と調査結果データのスナップショットが表示されます。このデータをプログラムでクエリして確認する場合は、Amazon Macie API の Amazon S3 データソース統計情報リソースを使用できます。

を表示するには概要ダッシュボード

  1. Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで [Summary] (概要) を選択します。Macie は [Summary] (概要) ダッシュボードを表示します。

  3. Macie がアカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングを判断するには、ダッシュボードの上部にある [Last updated] (最終更新) フィールドを参照してください。詳細については、「データの更新」を参照してください。

  4. ダッシュボードで項目のサポートデータを確認するには、項目を選択します。

ユーザーが組織の Macie 管理者である場合、ダッシュボードには、自分のアカウントと組織内のメンバーアカウントの集約された統計とデータが表示されます。ダッシュボードをフィルタリングし、特定のアカウントのデータのみを表示するには、ダッシュボードの上の [Account] (アカウント) ボックスにアカウント ID を入力します。

概要ダッシュボードのコンポーネントを理解する

[Summary] (概要) ダッシュボードで、以下のイメージで示すように、統計とデータは 4 つのセクションに整理されています。


				Amazon Macie コンソールの[Summary] (概要) ダッシュボード。ダッシュボードの各セクションには、データ例が含まれています。

各セクションでは、現在の AWS リージョン での Amazon S3 データのセキュリティとプライバシーを評価するのに役立つ、主要なメトリクスまたは最近の調査結果データについての洞察を提供します。

1. S3 バケット

このセクションでは、Amazon S3 に保存するデータの量と、Macie が機密データを検出するために分析できるデータの量に関する統計を提供します。また、データの潜在的なセキュリティおよびプライバシーリスクを示す統計も提供します。各統計の詳細については、「ダッシュボードの S3 バケット統計を理解する」を参照してください。

このセクションでは、Macie が毎日の更新サイクルの一部として Amazon S3 からバケットとオブジェクトメタデータを最後に取得したタイミングも示します。この情報は、[Last updated] (最終更新) フィールドにあります。詳細については、「データの更新」を参照してください。

2. [Top S3 buckets] (トップの S3 バケット)

このセクションでは、過去 7 日間に (任意のタイプの) 最も多くの調査結果を生成した S3 バケットを、最大 5 つのバケットについてリスト化します。また、Macie がバケットごとに作成した調査結果の数も示します。

過去 7 日間のバケットのすべての調査結果を表示し、オプションでドリルダウンするには、[Total findings] (合計調査結果) フィールドの値を選択します。バケットごとにグループ化された、すべてのバケットの現在の調査結果をすべて表示するには、[View all findings by bucket] (バケットごとにすべての調査結果を表示) を選択します。

Macie が過去 7 日間に調査結果を作成しなかった場合、このセクションは空になります。

3. [Top finding types] (トップの調査結果タイプ)

このセクションでは、過去 7 日間に最も多くの出現の数があった [types of findings] (調査結果のタイプ) を、最大 5 つの調査結果のタイプについてリスト化します。また、Macie がタイプごとに作成した調査結果の数も示します。

過去 7 日間の特定のタイプのすべての調査結果を表示し、オプションでドリルダウンするには、[Total findings] (合計調査結果) フィールドの値を選択します。調査結果タイプごとにグループ化された、現在の調査結果をすべて表示するには、[View all findings by type] (タイプごとにすべての調査結果を表示) を選択します。

Macie が過去 7 日間に調査結果を作成しなかった場合、このセクションは空になります。

4. [Policy findings] (ポリシーの調査結果)

このセクションでは、Macie が最後に作成または更新した [policy findings] (ポリシーの調査結果) を、最大 10 件の調査結果についてリスト化します。特定の調査結果の詳細を表示するには、調査結果を選択します。

Macie が過去 7 日間にポリシーの調査結果を作成または更新しなかった場合、このセクションは空になります。

[Summary] (概要) ダッシュボードの調査結果のデータには、[suppression rule] (抑制ルール) によって抑制された調査結果は含まれていないことに注意してください。

概要ダッシュボードの S3 バケット統計を理解する

[Summary] (概要) ダッシュボードの [S3 buckets] (S3 バケット) セクションでは、現在の AWS リージョン で Amazon S3 に保存するデータの量と、Macie が機密データを検出するために分析できるデータの量に関する統計を提供します。また、潜在的なセキュリティリスクの特定と調査に役立つ統計も提供します。たとえば、このデータを使用して、パブリックアクセス可能な S3 バケットや、デフォルトで新しいオブジェクトを暗号化しない S3 バケットを特定し、次に [create a sensitive data discovery job] (機密データ検出ジョブを作成) を行い、バケットに機密データも含まれているかどうかを判断します。

以下のイメージで示すように、統計は 4 つのセクションに整理されています。


				Amazon Macie コンソールの [Summary] (概要) ダッシュボードの S3 buckets (S3 バケット) セクション。各サブセクションには、データ例が含まれています。
1. [Storage and sensitive data discovery] (ストレージと機密データ検出)

[S3 buckets] (S3 バケット) セクションの上部にある統計では、Amazon S3 に保存するデータの量と、Macie が機密データを検出するために分析できるデータの量を示します。

  • [Total S3 buckets] (合計 S3 バケット) — オブジェクトを含まないバケットを含む S3 バケットの総数。

  • [Storage] (ストレージ)

    • [Classifiable] (分類可能) – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。

    • [Total] (合計) — Macie が分析できないオブジェクトを含む、バケット内のすべてのオブジェクトの合計ストレージサイズ。

    いずれかのオブジェクトが圧縮ファイルである場合、これらの値は解凍後のファイルの実際のサイズを反映しません。いずれかのバケットでバージョニングが有効化されている場合、これらの値は、それらのバケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。

  • オブジェクト

    • Classifiable (分類可能) - バケット内で Macie が分析できるオブジェクトの合計数。

    • [Total] (合計) — Macie が分析できないオブジェクトを含む、バケット内のオブジェクトの総数。

前の統計では、データとオブジェクトは、サポートされている Amazon S3 ストレージクラス (S3 Intelligent-Tiering、S3 1 ゾーン – IA、S3 Standard、または S3 標準 – IA) を使用し、[supported file or storage format] (サポートされているファイルまたはストレージ形式) のファイル名拡張子を持っている場合、[classifiable] (分類可能) です。機密データ検出ジョブを作成して実行することで、これらのオブジェクトの機密データを検出できます。

[Storage] (ストレージ) と [Objects] (オブジェクト) の統計には、Macie がアクセスするのを許可されていないバケット内のオブジェクトに関するデータは含まれないことに注意してください。これが当てはまるバケットを特定するには、[review your bucket inventory] (バケットインベントリを確認) できます。警告アイコン ( A red triangle with a red exclamation point in it ) がインベントリ内のバケット名の横に表示される場合、Macie はバケットへのアクセスが許可されていません。

2. Public access (パブリックアクセス)

このセクションでは、パブリックアクセス可能、または可能でない S3 バケットの数を示します。

  • [Publicly accessible] (パブリックアクセス可能) — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。

  • [Publicly world writable] (パブリックワールド書き込み可能) — 一般ユーザーがバケットへの書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。

  • [Publicly world readable] (パブリックワールド読み取り可能) — 一般ユーザーがバケットへの読み取りアクセス権を持つことを許可するバケットの数とパーセンテージ。

  • [Not publicly accessible] (パブリックアクセス可能でない) — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可しないバケットの数とパーセンテージ。

各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。

このセクションの値を決定するために、Macie は各バケットのアカウントレベルとバケットレベルの設定、アカウントのブロックパブリックアクセスの設定、バケットのブロックパブリックアクセスの設定、バケットのバケットポリシー、およびバケットのアクセスコントロールリスト (ACL) の組み合わせを分析します。これらの設定の詳細については、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 での Identity and access management」と「Amazon S3 ストレージへのパブリックアクセスのブロック」を参照してください。

場合によっては、このセクションには [Unknown] (不明) の値も表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、パブリックアクセス設定を評価できませんでした。たとえば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。あるいは、Macie は 1 つ以上のポリシーステートメントが外部エンティティのバケットへのアクセスを許可するかどうかを完全には判断できませんでした。

3. [Encryption] (暗号化)

このセクションでは、新しいオブジェクトを自動的に暗号化するように設定されている、または設定されていない S3 バケットの数と、オブジェクトがバケットにアップロードされたときにオブジェクトのサーバー側での暗号化が必要である、または必要でない S3 バケットの数を示します。

  • [Default encryption disabled] (デフォルトの暗号化が無効) — 新しいオブジェクトを自動的に暗号化しないバケットの数とパーセンテージ。これらのバケットでは、デフォルトの暗号化は無効になっています。

  • [Not bucket policy] (バケット[Storage policy] (バケットポリシーで必要としない)、またはバケットポリシーがないバケットの数とパーセンテージ。これらのバケットについては、PutObjectリクエストには、有効なサーバー側の暗号化ヘッダーを含める必要はありません。

  • [Encrypt by default – SSE-S3] (デフォルトで暗号化 — SSE-S3) — Amazon S3 マネージドキーを使用して新しいオブジェクトを自動的に暗号化するバケットの数とパーセンテージ。これらのバケットでは、デフォルトの暗号化は有効になっています。

  • Encrypt by default – SSE-KMS] (デフォルトで暗号化 — SSE-KMS) — AWS KMS key を使用して新しいオブジェクトを自動的に暗号化するバケットの数とパーセンテージ。これらのバケットでは、デフォルトの暗号化は有効になっています。

  • [Required by bucket policy] (バケットポリシーで必要とする) — バケットポリシーで新しいオブジェクトのサーバー側の暗号化を必要とするバケットの数とパーセンテージ。これらのバケットについては、PutObjectリクエストには、有効なサーバー側の暗号化ヘッダーを含める必要があります。アクセス許可がない場合、Amazon S3 はリクエストを拒否します。

このセクションの合計は、インベントリ内のバケットの総数を超える可能性があることに注意してください。これは、バケットが暗号化設定の組み合わせを持つことができるからです。たとえば、バケットが、新しいオブジェクトを自動的に暗号化するように設定されておらず、新しいオブジェクトのサーバー側の暗号化を必要とするバケットポリシーを持っていない場合があります。

このセクションの各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。

このセクションの値を決定するために、Macie は各バケットのデフォルトの暗号化設定と、該当する場合、バケットポリシーを分析します。デフォルトの暗号化設定の詳細については、[] を参照してください。S3 バケット向けのサーバー側のデフォルトの暗号化動作の設定()Amazon Simple Storage Service ユーザーガイド。バケットポリシーを使用して新しいオブジェクトのサーバー側の暗号化を必要とする方法については、[] を参照してください。サーバー側の暗号化を使用したデータの保護()Amazon Simple Storage Service ユーザーガイド

場合によっては、このセクションには [Unknown] (不明) の値も表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、デフォルトの暗号化設定またはバケットポリシーを評価できませんでした。たとえば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。あるいは、Macie は、バケットのポリシーで新しいオブジェクトのサーバー側の暗号化が必要かどうかを完全には判断できませんでした。

4. 共有

このセクションでは、他の AWS アカウント と共有されている、または共有されていない S3 バケットの数を示します。

  • [Shared outside] (外部で共有) — 同じ組織内にないアカウントと共有されているバケットの数とパーセンテージ。

  • [Shared inside] (内部で共有) — 同じ組織内のアカウントと共有されているバケットの数とパーセンテージ。

  • [Not shared] (共有なし) — 他のアカウントと共有されていないバケットの数とパーセンテージ。

各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。

このセクションの値を決定するために、Macie は各バケットのバケットのポリシーと ACL を分析します。また、[organization] (組織) は、AWS Organizations を通じて、またはMacie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットとして定義されています。

場合によっては、このセクションには [Unknown] (不明) の値も表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、別のアカウントと共有されているかどうかを判断できませんでした。たとえば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。あるいは、Macie は、バケットのポリシーまたは ACL が別のアカウントと共有するように設定されているかどうかを完全に判断できませんでした。