Macie で Amazon S3 のセキュリティ体制を評価する - Amazon Macie
ダッシュボードを表示するダッシュボードのコンポーネントを理解するダッシュボードのデータセキュリティ統計を理解する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie で Amazon S3 のセキュリティ体制を評価する

Amazon Simple Storage Service (Amazon S3) データの全体的なセキュリティ体制を評価し、どこでアクションを実行するかを判断するには、Amazon Macie コンソールの 概要 ダッシュボードを使用できます。

概要 ダッシュボードには、現在の AWS リージョンでの Amazon S3 データの集約された統計のスナップショットが表示されます。統計には、パブリックアクセス可能であるか、他の AWS アカウントと共有されている汎用バケットの数など、主要なセキュリティメトリクスのデータが含まれます。ダッシュボードには、アカウントの集約された調査結果データのグループ (例えば、過去 7 日間の出現の数が最も多い調査結果のタイプ) も表示されます。ユーザーが組織の Macie 管理者である場合、ダッシュボードには、組織内のすべてのアカウントの集約された統計とデータが提供されます。オプションで、アカウント別にデータをフィルタリングすることができます。

詳細な分析を実行するために、ダッシュボード上の個別の項目のサポートデータをドリルダウンして確認できます。Amazon Macie コンソールを使用して S3 バケットインベントリを確認して分析するか、Amazon Macie API の DescribeBuckets オペレーションを使用してインベントリデータをプログラムでクエリして分析することもできます。

概要ダッシュボードを表示する

Amazon Macie コンソールで、概要ダッシュボードには、現在の AWS リージョンでの Amazon S3 データの集約された統計と調査結果データのスナップショットが表示されます。統計をプログラムでクエリする場合は、Amazon Macie API の GetBucketStatisticsリソースを使用できます。

サマリーダッシュボードを表示するには

  1. Amazon Macie コンソール (https://console.aws.amazon.com/macie/) を開きます。

  2. ナビゲーションペインで 概要を選択します。Macie は 概要ダッシュボードを表示します。

  3. Macie がアカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングを判断するには、ダッシュボードの上部にある 最終更新 フィールドを参照してください。詳細については、データの更新を参照してください。

  4. ダッシュボードで項目のサポートデータをドリルダウンして確認するには、項目を選択します。

ユーザーが組織の Macie 管理者である場合、ダッシュボードには、自分のアカウントと組織内のメンバーアカウントの集約された統計とデータが表示されます。ダッシュボードをフィルタリングし、特定のアカウントのデータのみを表示するには、ダッシュボードの上の Account (アカウント) ボックスにアカウント ID を入力します。

概要ダッシュボードのコンポーネントを理解する

概要ダッシュボードでは、統計とデータがいくつかのセクションに分かれています。ダッシュボードのトップには、Amazon S3 に保存するデータの量と、Amazon Macie が機密データを検出するために分析できるデータの量を示す集約された統計が表示されます。最終更新日フィールドを参照して、Macie がアカウントの Amazon S3 からバケットまたはオブジェクトメタデータを最近取得したタイミングを確認することもできます。その他のセクションでは、現在の AWS リージョンの Amazon S3 データのセキュリティ、プライバシー、機密性を評価するのに役立つ統計と最近の検出結果データを提供します。

統計とデータは以下のセクションに分かれています。

ストレージと機密データの検出 | 自動検出とカバレッジ問題 | データセキュリティ | トップの S3 バケット | トップの検出結果タイプ | ポリシー検出結果

各セクションを確認するときに、オプションで項目を選択してドリルダウンし、サポートデータを確認します。また、ダッシュボードには S3 ディレクトリバケットのデータは含まれず、汎用バケットのみが含まれます。Macie はディレクトリバケットをモニタリングまたは分析しません。

ストレージと機密データ検出

ダッシュボードの上部にある統計は、Amazon S3 に保存されているデータの量と、機密データを検出するために Macie が分析できるデータの量を示しています。次の図は、7 つのアカウントを持つ組織のこれらの統計の例を示しています。

ダッシュボードの [ストレージと機密データの検出] セクション。各フィールドのデータはサンプルです。

このセクションの個々の統計は以下のとおりです。

  • 合計アカウント — このフィールドは、組織の Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている場合に表示されます。バケットインベントリ内のバケットを所有 AWS アカウント する の合計数を示します。Macie 管理者の場合、これは組織で管理している Macie アカウントの総数です。スタンドアロンの Macie アカウントをお持ちの場合、この値は 1 です。

    S3 バケットの合計 — このフィールドは、お客様が組織のメンバーアカウントをお持ちの場合に表示されます。オブジェクトが保存されていないバケットを含む、インベントリ内の汎用バケットの総数を示します。

  • ストレージ — これらの統計は、バケットインベントリ内のオブジェクトのストレージサイズに関する情報を提供します。

    • 分類可能 – バケット内で Macie が分析できるすべてのオブジェクトの合計ストレージサイズ。

    • 合計— Macie が分析できないオブジェクトを含む、バケット内のすべてのオブジェクトの合計ストレージサイズ。

    いずれかのオブジェクトが圧縮ファイルである場合、これらの値は解凍後のファイルの実際のサイズを反映しません。いずれかのバケットでバージョニングが有効化されている場合、これらの値は、それらのバケット内の各オブジェクトの最新バージョンのストレージサイズに基づきます。

  • オブジェクト — これらの統計は、バケットインベントリ内のオブジェクト数に関する情報を提供します。

    • 分類可能 - バケット内で Macie が分析できるオブジェクトの合計数。

    • 合計— Macie が分析できないオブジェクトを含む、バケット内のオブジェクトの総数。

前述の統計では、データとオブジェクトは、サポートされているAmazon S3ストレージクラスを使用し、サポートされているファイルまたはストレージフォーマットのファイル名拡張子を持っている場合、分類可能です。Macie を使用して、オブジェクト内の機密データを検出できます。詳細については、サポートされているストレージクラスとフォーマットを参照してください。

ストレージオブジェクト の統計には、Macie がアクセスするのを許可されていないバケット内のオブジェクトに関するデータは含まれないことに注意してください。例えば、制限の厳しいバケットポリシーが適用されているバケット内のオブジェクトなどです。これが当てはまるバケットを特定するには、(バケットインベントリを確認できます。警告アイコン The warning icon, which is a red triangle that has an exclamation point in it. がインベントリ内のバケット名の横に表示される場合、Macie はバケットへのアクセスが許可されていません。

自動検出カバレッジ問題

機密データ自動検出が有効になっている場合、そのセクションがダッシュボードに表示されます。セクションには、Macie がこれまで Amazon S3 データに対して実行した機密データ自動検出アクティビティのステータスと結果がキャプチャされます。次の図は、これらのセクションが提供する統計の例を示しています。

ダッシュボードの機密データ自動検出の統計。各統計にはサンプルデータが含まれています。

これらの統計の詳細については、概要ダッシュボードのデータ機密性統計を確認するを参照してください。

データセキュリティ

このセクションでは、Amazon S3 データの潜在的なセキュリティおよびプライバシーリスクを示す統計も提供します。次の図は、このセクションの統計の例を示しています。

ダッシュボードの [データセキュリティ] セクション。このセクションには各統計のサンプルデータが含まれています。

これらの統計の詳細については、概要ダッシュボードのデータセキュリティ統計を理解するを参照してください。

トップの S3 バケット

このセクションでは、過去 7 日間に任意のタイプの最も多くの調査結果を生成した S3 バケットを、最大 5 つのバケットについてリスト化します。また、Macie がバケットごとに作成した調査結果の数も示します。次の図は、このセクションが提供するデータの例を示しています。

ダッシュボードの [トップ S3 バケット] セクション。このセクションには、5 つの S3 バケットのサンプルデータが含まれています。

過去 7 日間のバケットのすべての調査結果を表示し、オプションでドリルダウンするには、合計調査結果 フィールドの値を選択します。バケットごとにグループ化された、すべてのバケットの現在の調査結果をすべて表示するには、バケットごとにすべての調査結果を表示 を選択します。

Macie が過去 7 日間に調査結果を作成しなかった場合、このセクションは空になります。または、過去 7 日間に作成されたすべての検出結果が、抑制ルールによって非表示にされました。

トップの調査結果タイプ

このセクションでは、過去 7 日間に最も多くの出現の数があった 調査結果のタイプ を、最大 5 つの調査結果のタイプについてリスト化します。また、Macie がタイプごとに作成した調査結果の数も示します。次の図は、このセクションが提供するデータの例を示しています。

ダッシュボードの [トップの検出結果タイプ] セクション。このセクションには、5 タイプの検出結果のサンプルデータが含まれています。

過去 7 日間の特定のタイプのすべての調査結果を表示し、オプションでドリルダウンするには、合計調査結果 フィールドの値を選択します。調査結果タイプごとにグループ化された、現在の調査結果をすべて表示するには、タイプごとにすべての調査結果を表示 を選択します。

Macie が過去 7 日間に調査結果を作成しなかった場合、このセクションは空になります。または、過去 7 日間に作成されたすべての検出結果が、抑制ルールによって非表示にされました。

ポリシーの調査結果

このセクションでは、Macie が最後に作成または更新した ポリシーの調査結果 を、最大 10 件の調査結果についてリスト化します。次の図は、このセクションが提供するデータの例を示しています。

ダッシュボードの [ポリシー検出結果] セクション。このセクションには、6 つのポリシー検出結果のサンプルデータが含まれています。

特定の調査結果の詳細を表示するには、調査結果を選択します。

Macie が過去 7 日間にポリシーの調査結果を作成または更新しなかった場合、このセクションは空になります。または、過去 7 日間に作成または更新されたすべてのポリシー検出結果が、抑制ルールによって非表示にされました。

概要ダッシュボードのデータセキュリティ統計を理解する

概要 ダッシュボードの [データセキュリティ] セクションには、現在の AWS リージョンの Amazon S3 データの潜在的なセキュリティリスクとプライバシーリスクを特定して調査するのに役立つ統計情報が提供されます。例えば、このデータを使用して、一般にアクセス可能か、他の AWS アカウントと共有されている汎用バケットを特定できます。

機密データ自動検出が無効になっている場合、このセクションの上部にあるストレージと機密データ検出の統計は、Amazon S3 に保存されているデータの量と、Amazon Macie が機密データを検出するために分析できるデータの量を示します。以下の図に示すように、追加の統計は 3 つのエリアに整理されています。

ダッシュボードの [データセキュリティ] セクション。各エリアにはサンプルデータが含まれています。

各エリアを確認するときに、オプションで項目を選択してドリルダウンし、サポートデータを確認できます。また、統計には S3 ディレクトリバケットのデータが含まれず、汎用バケットのみが含まれます。Macie はディレクトリバケットをモニタリングまたは分析しません。

各エリアの個別の統計は以下のとおりです。

パブリックアクセス

これらの統計では、パブリックアクセス可能、または可能でない S3 バケットの数を示します。

  • パブリックアクセス可能 — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。

  • パブリックワールド書き込み可能 — 一般ユーザーがバケットへの書き込みアクセス権を持つことを許可するバケットの数とパーセンテージ。

  • パブリックワールド読み取り可能 — 一般ユーザーがバケットへの読み取りアクセス権を持つことを許可するバケットの数とパーセンテージ。

  • パブリックアクセス可能でない — 一般ユーザーがバケットへの読み取りまたは書き込みアクセス権を持つことを許可しないバケットの数とパーセンテージ。

各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。

このエリアの値を決定するために、Macie では、各バケットのアカウントレベルとバケットレベルの設定、アカウントのブロックパブリックアクセスの設定、バケットのブロックパブリックアクセスの設定、バケットのバケットポリシー、およびバケットのアクセスコントロールリスト (ACL) の組み合わせを分析します。これらの設定の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 ストレージへのアクセスコントロールとパブリックアクセスのブロック」を参照してください。 Amazon S3

場合によっては、[パブリックアクセス] セクションにも [Unknown] 値が表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、パブリックアクセス設定を評価できませんでした。例えば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。あるいは、Macie は 1 つ以上のポリシーステートメントが外部エンティティのバケットへのアクセスを許可するかどうかを完全には判断できませんでした。これは、予防的コントロールのモニタリングのクォータを超えるバケットにも当てはまります。Macie は、アカウントに対して 10,000 個以下のバケット、つまり最近作成または変更された 10,000 個のバケットのセキュリティとプライバシーを評価およびモニタリングします。

Encryption

これらの統計は、バケットに追加されたオブジェクトに特定のタイプのサーバー側暗号化を適用するように設定されている S3 バケットの数を示しています。

  • デフォルトで暗号化 — SSE-S3 — Amazon S3 マネージドキーを使用して新しいオブジェクトを暗号化するようにデフォルトの暗号化設定が設定されているバケットの数と割合。これらのバケットでは、新しいオブジェクトは SSE-S3 暗号化を使用して自動的に暗号化されます。

  • デフォルトで暗号化 – DSSE-KMS/SSE-KMS – デフォルトの暗号化設定が AWS KMS key AWS マネージドキー またはカスタマーマネージドキーを使用して新しいオブジェクトを暗号化するように設定されたバケットの数と割合。これらのバケットでは、新しいオブジェクトは DSSE-KMS または SSE-KMS 暗号化を使用して自動的に暗号化されます。

各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。

このエリアの値を決定するために、Macie は各バケットのデフォルトの暗号化設定を分析します。2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトに対して、基本レベルの暗号化として Amazon S3 管理キー (SSE-S3) によるサーバーサイド暗号化を自動的に適用します。オプションで、 AWS KMS キーによるサーバー側の暗号化 (SSE-KMS) または キーによる二層式サーバー側の暗号化 AWS KMS (DSSE-KMS) を使用するようにバケットのデフォルトの暗号化設定を設定できます。デフォルトの暗号化設定とオプションの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「S3 バケットのデフォルトのサーバー側の暗号化動作の設定」を参照してください。

場合によっては、[暗号化] エリアにも [Unknown] 値が表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、デフォルトの暗号化設定を評価できませんでした。例えば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。または、バケットが予防的コントロールのモニタリングのクォータを超えています。Macie は、アカウントに対して 10,000 個以下のバケット、つまり最近作成または変更された 10,000 個のバケットのセキュリティとプライバシーを評価およびモニタリングします。

共有中

これらの統計は、他の、Amazon CloudFront オリジンアクセスアイデンティティ (OAIs) AWS アカウント、または CloudFront オリジンアクセスコントロール (OACs) と共有されている、または共有されていない S3 バケットの数を示します。

  • 外部で共有 — CloudFront OAI、CloudFront OAC、または同じ組織にないアカウントの 1 つ以上、またはそれらの任意の組み合わせと共有されているバケットの数と割合。

  • 内部で共有 — 同じ組織内のアカウントと共有されているバケットの数とパーセンテージ。これらのバケットは CloudFront OAI または OAC と共有されません。

  • 共有なし — 他のアカウントと共有されていないバケットの数とパーセンテージ。

各パーセンテージを計算するために、Macie は該当するバケットの数をバケットインベントリ内のバケットの総数で割ります。

バケットが他のバケットと共有されているかどうかを判断するために AWS アカウント、Macie は各バケットのバケットポリシーと ACL を分析します。また、組織 は、 AWS Organizations を通じて、または Macie の招待によって、関連するアカウントのグループとして集中管理される Macie アカウントのセットとして定義されています。バケットを共有するための Amazon S3 オプションの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「アクセスコントロール」を参照してください。

注記

場合によっては、Macie は、バケットが同じ組織外の と共有 AWS アカウント されていることを誤って報告することがあります。これは、Macie がバケットポリシー内の Principal 要素と、ポリシーの Condition 要素内の特定のAWS グローバル条件コンテキストキーまたは Amazon S3 条件キーとの関係を完全に評価できない場合に発生する可能性があります。これは、次の条件キーの場合に当てはまります。aws:PrincipalAccount、、aws:PrincipalArnaws:PrincipalOrgID、、、aws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalTypeaws:SourceAccount、、、aws:SourceArnaws:SourceIpaws:SourceOrgIDaws:SourceOrgPathsaws:SourceVpcaws:SourceVpceaws:userid、、s3:DataAccessPointAccount、、。 s3:DataAccessPointArn

個々のバケットに当てはまるかどうかを判断するには、ダッシュボードの 外部共有 統計を選択します。テーブルには、各バケットの名前を書き留めることが表示されます。次に、Amazon S3 を使用して各バケットのポリシーを確認し、共有アクセス設定が意図的で安全かどうかを判断します。

バケットが CloudFront OAI と共有されているかどうかを判断するために、Macie は各バケットのバケットポリシーを分析します。CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFront ディストリビューションを介してバケットのオブジェクトにアクセスできます。CloudFront のOAIとOACの詳細については、Amazon CloudFront デベロッパーガイドのAmazon S3 オリジンへのアクセスを制限する を参照してください。

場合によっては、[共有] エリアにも [Unknown] 値が表示されます。これらの値が表示された場合、Macie は指定されたバケットの数とパーセンテージについて、別のアカウント、CloudFront OAI、CloudFront OAC と共有されているかどうかを判断できませんでした。例えば、一時的な問題やバケットのアクセス許可設定により、Macie は必要なデータの取得を妨げられました。あるいは、Macie はバケットのポリシーまたは ACL を完全に評価できませんでした。これは、予防的コントロールのモニタリングのクォータを超えるバケットにも当てはまります。Macie は、アカウントに対して 10,000 個以下のバケット、つまり最近作成または変更された 10,000 個のバケットのセキュリティとプライバシーを評価およびモニタリングします。