Amazon Macie が Amazon S3 データセキュリティをモニタリングする方法 - Amazon Macie
主要コンポーネントデータの更新追加の考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie が Amazon S3 データセキュリティをモニタリングする方法

AWS アカウント で Amazon Macie を有効化するときに、Macieは、現在のAWS Identity and Access Management内のアカウントで AWS リージョン (IAM) の [service-linked role] (サービスにリンクされたロール) を作成します。このロールのアクセス許可ポリシーにより、Macie がユーザーに代わって他のAWS のサービスをコールし、AWSリソースをモニタリングすることを許可します このロールを使用することで、Macie はリージョン内の Amazon Simple Storage Service (Amazon S3) バケットの完全なインベントリを生成および維持し、また Macie はバケットのセキュリティとアクセスコントロールをモニタリングおよび評価します。

ユーザーが組織の Macie 管理者である場合、インベントリには、ユーザーのアカウントおよび組織内のメンバーアカウントによって所有される S3 バケットに関する統計およびその他のデータが含まれます。このデータを用いて、Macie を使用して Amazon S3 環境全体で組織のセキュリティ体制をモニタリングおよび評価できます。詳細については、「複数のアカウントの管理」を参照してください。

主要コンポーネント

Amazon Macie では、S3 バケットに関するデータを提供および維持し、セキュリティとアクセスコントロールについてバケットをモニタリングおよび評価するために、機能と手法の組み合わせを使用します。

メタデータの収集と統計の計算

バケットインベントリのメタデータと統計を生成および維持するために、Macie は Amazon S3 からバケットとオブジェクトメタデータを直接取得します。バケットごとに、メタデータには次のものが含まれます。

  • バケットの名前、Amazon リソースネーム (ARN)、作成日、暗号化設定、タグ、およびバケットを所有するのアカウント ID など、バケットに関する一般情報。AWS アカウント

  • バケットに適用されるアカウントレベルのアクセス許可設定 (アカウントのブロックパブリックアクセス設定など)。

  • バケットのブロックパブリックアクセス設定や、バケットポリシーまたはアクセスコントロールリスト (ACL) から派生する設定など、バケットのバケットレベルのアクセス許可設定。

  • バケットデータが組織の一部ではない AWS アカウント にレプリケートされるか、それらと共有されるかどうかなど、バケットの共有アクセスとレプリケーション設定。

  • バケット内のオブジェクト数や、暗号化タイプ、ファイルタイプ、ストレージクラス別のオブジェクト数の内訳など、バケット内のオブジェクトのオブジェクト数と設定。

Macie は、この情報を直接ユーザーに提供します。また、Macie はこの情報を使用して統計を計算し、バケットインベントリ全体およびインベントリ内の個別のバケットのセキュリティとプライバシーに関する評価を提供します。たとえば、インベントリ内の合計ストレージサイズとバケットの数、それらのバケット内の合計ストレージサイズとオブジェクトの数、およびバケット内の機密データを検出するために Macie が分析できる合計のストレージサイズとオブジェクトの数を確認できます。

デフォルトでは、メタデータと統計には、マルチパートアップロードが不完全であるために存在するすべてのオブジェクトパーツのデータが含まれます。特定のバケットのオブジェクトメタデータを手動で更新すると、Macie はバケットとバケットインベントリ全体の統計を再計算し、オブジェクトパーツのデータを再計算し、再計算値からオブジェクトパーツのデータを除外します。Macie が次回、毎日の更新サイクルの一部として Amazon S3 からバケットとオブジェクトメタデータを取得すると、Macie はインベントリデータを更新し、オブジェクトパーツのデータを再度更新し、オブジェクトパーツのデータを再度更新します。Macie がバケットとオブジェクトのメタデータを取得するタイミングについては、を参照してくださいデータの更新

Macie はオブジェクトのパーツを分析して機密データを検出できないことに注意してください。Amazon S3 はまず、Macie が分析できるように、パーツを 1 つ以上のオブジェクトに組み立てる必要があります。ライフサイクルルールを使用してパーツを自動的に削除する方法など、マルチパートアップロードとオブジェクトパーツの詳細については、Amazon Simple Storage Service ユーザーガイドのマルチパートアップロードを使用したオブジェクトのアップロードとコピー」を参照してください。オブジェクトパーツを含むバケットを特定するには、Amazon S3 Storage Lens の不完全なマルチパートアップロードメトリックスを参照できます。詳細については、Amazon Simple Storage Service ユーザーガイドの「ストレージのアクティビティと使用状況の評価」を参照してください

バケットのセキュリティとプライバシーのモニタリング

インベントリ内のバケットレベルのデータの精度を確保するために、Macie は、Amazon S3 データで発生する可能性のある特定の AWS CloudTrail イベントをモニタリングして分析します。関連するイベントが発生すると、Macie は適切なインベントリデータを更新します。

たとえば、バケットのブロックパブリックアクセス設定を有効にすると、Macie はバケットのパブリックアクセス設定に関するすべてのデータを更新します。同様に、バケットのバケットポリシーを追加または更新すると、Macie はポリシーを分析し、インベントリ内の関連データを更新します。

Macie は、 CloudTrail 次のイベントのデータをモニタリングおよび分析します。

  • アカウントレベルのイベント —DeletePublicAccessBlock そして PutPublicAccessBlock

  • バケットレベルのイベント —CreateBucket,, DeleteAccountPublicAccessBlock, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy DeleteBucketPublicAccessBlock,DeleteBucketReplication, DeleteBucketTagging, PutAccountPublicAccessBlock,PutBucketAcl, PutBucketEncryption, PutBucketPolicyPutBucketPublicAccessBlock, PutBucketReplication, PutBucketTagging,,PutBucketVersioning

追加イベントのモニタリングを有効にしたり、 CloudTrail 前のイベントのモニタリングを無効にしたりすることはできません。前のイベントの対応するオペレーションの詳細については、「Amazon Simple Storage Service API リファレンス」を参照してください。

ヒント

オブジェクトレベルのイベントをモニタリングするには、Amazon の Amazon S3 保護機能を使用することをお勧めします GuardDuty。この機能は、オブジェクトレベルの Amazon S3 データイベントをモニタリングし、悪意のあるアクティビティや疑わしいアクティビティについてそれらを分析します。詳細については、Amazon GuardDuty ユーザーガイドの「Amazon S3 保護」の「Amazon GuardDuty S3 保護」を参照してください

バケットセキュリティとアクセスコントロールの評価

バケットレベルのセキュリティとアクセスコントロールを評価するために、Macie は自動化された論理ベースの推論を使用して、バケットに適用されるリソースベースのポリシーを分析します。Macie は、バケットに適用されるアカウントレベルおよびバケットレベルのアクセス許可設定も分析します。この分析では、アカウントとバケットに対するバケットポリシー、バケットレベル ACL、およびブロックパブリックアクセス設定を考慮します。

リソースベースのポリシーでは 、Macie はZelkova を使用します。Zelkova は、AWS Identity and Access Management (IAM) ポリシーを論理ステートメントに変換し、決定問題に対して汎用および特殊な論理ソルバー (充足可能性モジュロ理論) のスイートを実行する自動推論エンジンです。Macie は、ポリシーが許可する動作のクラスの特徴を明確にするためのより具体的なクエリを使用して、Zelkova を繰り返しポリシーに適用します。Zelkova が使用するソルバーの性質の詳細については、「充足可能性モジュロ理論」を参照してください。

重要

バケットに対して前のタスクを実行するには、Macie はバケットへのアクセスを許可されている必要があります。バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトのメタデータを取得するのを妨げるようにしている場合、Macie はバケットの名前や作成日など、バケットに関する情報のサブセットのみを提供できます。Macie はバケットに対して追加のタスクを実行できません。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。

データの更新

で Amazon Macie を有効化するときに、Macie はAWS アカウント、Macie は、S3 バケットとオブジェクトのメタデータを Amazon S3 から直接取得します。その後、Macie は、毎日の更新サイクルの一部として、バケットとオブジェクトメタデータを直接 Amazon S3 から毎日自動的に取得します。

また、次のいずれかが発生したときに、Macie は Amazon S3 から直接バケットメタデータも取得します。

  • インベントリデータを更新するには、Amazon Macie コンソールの [refresh] (更新) ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) を選択します。データは最短で 5 分ごとに更新できます。

  • Amazon Macie API DescribeBucketsにプログラムでリクエストを送信していて、前の 5DescribeBuckets 分以内にリクエストを送信していません。

  • Macie は関連する AWS CloudTrail イベントを検出しています。

特定のバケットの最新のオブジェクトメタデータを手動で更新することを選択した場合、Macie はそのデータも取得できます。これは、バケットを最近作成したり、過去 24 時間にバケットのオブジェクトに重要な変更を行った場合に役立ちます。バケットのオブジェクトメタデータを手動で更新するには、コンソールの S3 バケットページのバケット詳細パネルのオブジェクト統計セクションで refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) を選択します。この機能は、30,000 個以下のオブジェクトを含むバケットで使用できます。

Macie がバケットまたはオブジェクトメタデータを取得するたびに、Macie はインベントリ内の関連データをすべて自動的に更新します。Macie がバケットのセキュリティやプライバシーに影響を与える違いを検出すると、Macie は直ちに変更の評価と分析を開始します。分析が完了すると、Macie はインベントリ内の関連データを更新します。違いによってバケットのセキュリティやプライバシーが低下した場合、Macie は適切な [policy findings] (ポリシーの調査結果) を作成して、必要に応じて確認および修正を行います。

Macie がアカウントのバケットまたはオブジェクトメタデータを最後に取得したタイミングを判断するには、コンソールの [Last updated] (最終更新) フィールドを参照できます。このフィールドは、概要ダッシュボードと S3 バケットページ、および S3 バケットページのバケット詳細パネルに表示されます。(Amazon Macie API を使用してインベントリデータをクエリする場合、lastUpdated フィールドに、この情報が表示されます。) ユーザーが組織の Macie 管理者である場合、[Last updated] (最終更新) フィールドには、Macie が組織内のアカウントのデータを取得した最も早い日時が示されます。

まれに、特定の条件下で、レイテンシーやその他の問題により、Macie がバケットとオブジェクトメタデータを取得するのを妨げることがあります。また、バケットインベントリへの変更または個別のバケットのアクセス許可設定とポリシーについて Macie が受け取る通知を遅らせる可能性があります。たとえば、 CloudTrail イベントで配信の問題が発生すると、遅延が発生する可能性があります。このような場合、Macie は、次回 (24 時間以内) 毎日の更新を実行するときに、新しいデータと更新されたデータを分析します。

追加の考慮事項

Amazon Macie を使用して Amazon S3 データのセキュリティ体制をモニタリングおよび評価する場合は、次の点に注意してください。

  • インベントリデータは、現在の AWS リージョン 内の S3 バケットにのみ適用されます。追加のリージョンのデータにアクセスするには、追加の各リージョンで Macie を有効化して使用します。

  • ユーザーが組織の Macie 管理者である場合は、現在のリージョンでそのアカウントで Macie が有効になっている場合にのみ、メンバーアカウントのインベントリデータにアクセスできます。

  • バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得することを妨げた場合、Macie はバケットのデータのセキュリティとプライバシーを評価およびモニタリングしたり、バケットに関する詳細情報を提供したりできません。  

    バケットの詳細では、Macie は以下のフィールドとデータのサブセットのみを表示します: バケットを所有する AWS アカウント のアカウント ID、バケットの名前、Amazon リソースネーム (ARN)、作成日、リージョン、および毎日の更新サイクルの一部として Macie がバケットとオブジェクトメタデータの両方を最後に取得した日時。Amazon Macie API を使用してインベントリデータをクエリする場合、Macie はバケットのエラーコードとメッセージを提供し、バケットのほとんどのプロパティの値が null になります。

    問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。たとえば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。

  • アクセス権とアクセス許可に関するデータは、アカウントレベルおよびバケットレベルの設定に限定されます。バケット内の特定のオブジェクトへのアクセス権を判断するオブジェクトレベルの設定は反映されません。たとえば、バケット内の特定のオブジェクトに対してパブリックアクセスが有効になっている場合、Macie はバケットまたはバケットのオブジェクトがパブリックアクセス可能であることをレポートしません。

    オブジェクトレベルのオペレーションをモニタリングし、潜在的なセキュリティリスクを特定するには、Amazon の Amazon S3 保護機能を使用することをお勧めします GuardDuty。この機能は、オブジェクトレベルの Amazon S3 データイベントをモニタリングし、悪意のあるアクティビティや疑わしいアクティビティについてそれらを分析します。詳細については、Amazon GuardDuty ユーザーガイドの「Amazon S3 保護」の「Amazon GuardDuty S3 保護」を参照してください

  • 特定のバケットのオブジェクトメタデータを手動で更新すると、Macie は、オブジェクトに適用される暗号化統計で一時的に [Unknown] (不明) をレポートします。Macie が次回 (24 時間以内) 毎日のデータ更新を実行するときに、Macie はオブジェクトの暗号化メタデータを再評価し、統計の定量データを再度レポートします。

  • 特定のバケットのオブジェクトメタデータを手動で更新すると、Macie は、不完全なマルチパートアップロードの結果として、バケットに含まれるオブジェクトパーツのデータを一時的に除外します。Macie が次回 (24 時間以内) 毎日のデータ更新を実行するときに、Macie はバケットのオブジェクトの数とストレージサイズの値を再計算し、それらの計算にパーツのデータを含めます。

  • まれに、Macie がバケットがパブリックアクセス可能または共有されているかどうかを判断できない場合や、新しいオブジェクトのサーバー側の暗号化が必要になった場合、Macie がバケットがパブリックアクセス可能または共有されているかどうかを判断できない場合があります。たとえば、一時的な問題により、Macie が必要なデータを取得して分析することを妨げる可能性があります。あるいは、Macie は 1 つ以上のポリシーステートメントが外部エンティティへのアクセスを許可するかどうかを完全には判断できない場合があります。これらのケースでは、Macie はインベントリ内の関連する統計とフィールドで [Unknown] (不明) をレポートします これらのケースを調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。

また、アカウントで Macie を有効にした後にバケットのセキュリティまたはプライバシーが低下した場合にのみ、Macie はポリシーの調査結果を生成することに注意してください。たとえば、Macie を有効にした後に、バケットのブロックパブリックアクセス設定を無効にした場合、Macie は [Policy: IAMUser/S3]BlockPublicAccessDisabled 調査結果をバケットで生成します。ただし、Macie を有効にしてから、バケットのブロックパブリックアクセス設定がバケットで無効になった場合、Macie は [Policy: IAMUser/S3]BlockPublicAccessDisabled 調査結果をバケットで生成しません。

さらに、Macie がバケットのセキュリティとプライバシーを評価するときに、アクセスログを調べたり、アカウントのユーザー、ロール、その他の関連する設定を分析したりすることはありません。代わりに、Macie は、[potential] (潜在的な) セキュリティリスクを示す主要な設定についてデータを分析してレポートします。たとえば、ポリシーの調査結果が、バケットがパブリックアクセス可能であることを示している場合、それは必ずしも外部エンティティがバケットにアクセスしたことを意味するわけではありません。同様に、ポリシーの調査結果が、バケットが組織外の AWS アカウント と共有されていることを示している場合、Macie はこのアクセスが意図され、安全であるかどうかを判断しません。代わりに、これらの調査結果は、外部エンティティがバケットのデータにアクセスできる可能性があることを示しており、意図しないセキュリティリスクになる可能性があります。