Amazon Macie がAmazon S3 データをモニタリングする方法 - Amazon Macie

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Macie がAmazon S3 データをモニタリングする方法

AWS アカウント で Amazon Macie を有効化するときに、Macieは、現在のAWS Identity and Access Management内のアカウントで AWS リージョン (IAM) の [service-linked role] (サービスにリンクされたロール) を作成します。このロールのアクセス許可ポリシーにより、Macie がユーザーに代わって AWS リソースをモニタリングし、他の AWS のサービス をコールすることを許可します このロールを使用することで、Macie はリージョン内の Amazon Simple Storage Service (Amazon S3) バケットの完全なインベントリを生成および維持し、また Macie はバケットのセキュリティとアクセスコントロールをモニタリングおよび評価します。

ユーザーが組織の Macie 管理者である場合、インベントリには、ユーザーのアカウントおよび組織内のメンバーアカウントによって所有される S3 バケットに関する統計およびその他のデータが含まれます。このデータを用いて、Macie を使用して Amazon S3 環境全体で組織のセキュリティ体制をモニタリングおよび評価できます。詳細については、「複数のアカウントの管理」を参照してください。

主要コンポーネント

Amazon Macie では、S3 バケットに関するデータを提供および維持し、セキュリティとアクセスコントロールについてバケットをモニタリングおよび評価するために、機能と手法の組み合わせを使用します。

メタデータの収集と統計の計算

バケットインベントリのメタデータと統計を生成および維持するために、Macie は Amazon S3 からバケットとオブジェクトメタデータを直接取得します。バケットごとに、メタデータには次のものが含まれます。

  • バケットの名前、Amazon リソースネーム (ARN)、作成日、デフォルトの暗号化設定、タグ、およびバケットを所有する AWS アカウント のアカウント ID など、バケットに関する一般情報。

  • バケットに適用されるアカウントレベルのアクセス許可設定 (アカウントのブロックパブリックアクセス設定など)。

  • バケットのブロックパブリックアクセス設定や、バケットポリシーまたはアクセスコントロールリスト (ACL) から派生する設定など、バケットのバケットレベルのアクセス許可設定。

  • バケットデータが組織の一部ではない AWS アカウント にレプリケートされるか、それらと共有されるかどうかなど、バケットの共有アクセスとレプリケーション設定。

  • バケット内のオブジェクト数や、暗号化タイプ、ファイルタイプ、ストレージクラス別のオブジェクト数の内訳など、バケット内のオブジェクトのオブジェクト数と設定。

Macie は、この情報を直接ユーザーに提供します。また、Macie はこの情報を使用して統計を計算し、バケットインベントリ全体およびインベントリ内の個別のバケットのセキュリティとプライバシーに関する評価を提供します。たとえば、インベントリ内の合計ストレージサイズとバケットの数、それらのバケット内の合計ストレージサイズとオブジェクトの数、およびバケット内の機密データを検出するために Macie が分析できる合計のストレージサイズとオブジェクトの数を確認できます。

バケットのセキュリティとプライバシーのモニタリング

インベントリ内のバケットレベルのデータの精度を確保するために、Macie は、Amazon S3 データで発生する可能性のある特定の AWS CloudTrail イベントをモニタリングして分析します。関連するイベントが発生すると、Macie は適切なインベントリデータを更新します。

たとえば、バケットのデフォルトの暗号化を有効にすると、Macie はバケットのデフォルトの暗号化設定に関するすべてのデータを更新します。同様に、既存のバケットポリシーを更新したり、ポリシーをバケットに追加したりすると、Macie はポリシーを分析し、インベントリ内の関連データを更新します。

Macie は、次のデータをモニタリングおよび分析します CloudTrail イベント:

  • アカウントレベルのイベント–DeletePublicAccessBlock そして PutPublicAccessBlock

  • バケットレベルのイベント–CreateBucket, DeleteAccountPublicAccessBlock, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy, DeleteBucketPublicAccessBlock,DeleteBucketReplication, DeleteBucketTagging, PutAccountPublicAccessBlock,PutBucketAcl, PutBucketEncryption, PutBucketPolicy,PutBucketPublicAccessBlock, PutBucketReplication, PutBucketTagging, およびPutBucketVersioning

追加でモニタリングを有効にすることはできません CloudTrail 前のイベントのモニタリングを無効にするか、前のイベントのモニタリングを無効にできます。前のイベントの対応するオペレーションの詳細については、「Amazon Simple Storage Service API リファレンス」を参照してください。

ヒント

オブジェクトレベルのイベントをモニタリングするには、Amazon S3 保護機能を使用することをお勧めします GuardDuty。この機能は、オブジェクトレベルの Amazon S3 データイベントをモニタリングし、悪意のあるアクティビティや疑わしいアクティビティについてそれらを分析します。詳細については、次を参照してください。Amazon S3 保護 GuardDutyアマゾン GuardDuty ユーザーガイド

バケットセキュリティとアクセスコントロールの評価

バケットレベルのセキュリティとアクセスコントロールを評価するために、Macie は自動化された論理ベースの推論を使用して、バケットに適用されるリソースベースのポリシーを分析します。Macie は、バケットに適用されるアカウントレベルおよびバケットレベルのアクセス許可設定も分析します。この分析では、アカウントとバケットに対するバケットポリシー、バケットレベル ACL、およびブロックパブリックアクセス設定を考慮します。

リソースベースのポリシーでは 、Macie はZelkova を使用します。Zelkova は、IAM ポリシーを論理ステートメントに変換し、決定問題に対して汎用および特殊な論理ソルバー (充足可能性モジュロ理論) のスイートを実行する自動推論エンジンです。Macie は、ポリシーが許可する動作のクラスの特徴を明確にするためのより具体的なクエリを使用して、Zelkova を繰り返しポリシーに適用します。Zelkova が使用するソルバーの性質の詳細については、「充足可能性モジュロ理論」を参照してください。

重要

バケットに対して前のタスクを実行するには、Macie はバケットへのアクセスを許可されている必要があります。バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトのメタデータを取得するのを妨げるようにしている場合、Macie はバケットの名前や作成日など、バケットに関する情報のサブセットのみを提供できます。Macie はバケットに対して追加のタスクを実行できません。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。

データの更新

AWS アカウント で Macie を有効化するときに、Macie は、S3 バケットとオブジェクトのメタデータを Amazon S3 から直接取得します。その後、Macie は、毎日の更新サイクルの一部として、バケットとオブジェクトメタデータを直接 Amazon S3 から毎日自動的に取得します。

Macie が毎日の更新サイクルの一部として、アカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングを判断するには、コンソールの [Last updated] (最終更新) フィールドを参照できます。このフィールドは、[Summary] (概要) ダッシュボードと [S3 buckets] (S3 バケット) ページ、および [bucket details panel] (バケット詳細パネル) に表示されます。(Amazon Macie API を使用してインベントリデータをクエリする場合、lastUpdated フィールドに、この情報が表示されます。) ユーザーが組織の Macie 管理者である場合、[Last updated] (最終更新) フィールドには、Macie が組織内のアカウントのデータを取得した最も早い日時が示されます。

また、次のいずれかが発生したときに、Macie は Amazon S3 から直接バケットメタデータも取得します。

  • インベントリデータを更新するには、Amazon Macie コンソールの [refresh] (更新) ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) を選択します。データは最短で 5 分ごとに更新できます。

  • あなたが送るDescribeBucketsユーザーは Amazon Macie API にプログラムでリクエストしていて、DescribeBuckets直前の 5 分以内にリクエストしてください。

  • Macie は関連する AWS CloudTrail イベントを検出しています。

特定のバケットの最新のオブジェクトメタデータを手動で更新することを選択した場合、Macie はそのデータも取得できます。これは、バケットを最近作成したり、過去 24 時間にバケットのオブジェクトに重要な変更を行った場合に役立ちます。バケットのオブジェクトメタデータを手動で更新するには、コンソールの [bucket details panel] (バケット詳細パネル) の [Object statistics] (オブジェクト統計) セクションで [refresh] (更新) ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) を選択します。この機能は、30,000 個以下のオブジェクトを含むバケットで使用できます。

Macie がバケットまたはオブジェクトメタデータを取得するたびに、Macie はインベントリ内の関連データをすべて自動的に更新します。Macie がバケットのセキュリティやプライバシーに影響を与える違いを検出すると、Macie は直ちに変更の評価と分析を開始します。分析が完了すると、Macie はインベントリ内の関連データを更新します。違いによってバケットのセキュリティやプライバシーが低下した場合、Macie は適切な [policy findings] (ポリシーの調査結果) を作成して、必要に応じて確認および修正を行います。

まれに、特定の条件下で、レイテンシーやその他の問題により、Macie がバケットとオブジェクトメタデータを取得するのを妨げることがあります。また、バケットインベントリへの変更または個別のバケットのアクセス許可設定とポリシーについて Macie が受け取る通知を遅らせる可能性があります。たとえば、配信の問題が発生すると、 CloudTrail イベントによって遅延が発生する可能性があります。このような場合、Macie は、次回 (24 時間以内) 毎日の更新を実行するときに、新しいデータと更新されたデータを分析します。

追加の考慮事項

Macie を使用して Amazon S3 データのセキュリティ体制をモニタリングおよび評価する場合は、次の点に注意してください。

  • インベントリデータは、現在の AWS リージョン 内の S3 バケットにのみ適用されます。追加のリージョンのデータにアクセスするには、追加の各リージョンで Macie を有効化して使用します。

  • ユーザーが組織の Macie 管理者である場合は、現在のリージョンでそのアカウントで Macie が有効になっている場合にのみ、メンバーアカウントのインベントリデータにアクセスできます。

  • バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得することを妨げた場合、Macie はバケットのデータのセキュリティとプライバシーを評価およびモニタリングしたり、バケットに関する詳細情報を提供したりできません。  

    この場合、バケットを特定しやすくするために、Macie は次の処理を行います。

    • バケットインベントリに、Macie はバケットの警告アイコン ( A red triangle with a red exclamation point in it ) を表示します。バケットの詳細では、Macie は以下のフィールドとデータのサブセットのみを表示します: バケットを所有する AWS アカウント のアカウント ID、バケットの名前、Amazon リソースネーム (ARN)、作成日、リージョン、および毎日の更新サイクルの一部として Macie がバケットとオブジェクトメタデータの両方を最後に取得した日時。Amazon Macie API を使用してインベントリデータをクエリする場合、Macie はバケットのエラーコードとメッセージを提供し、バケットのほとんどのプロパティの値が null になります。

    • [Summary] (概要) ダッシュボードで、バケットは [Public access] (パブリックアクセス)、[Encryption] (暗号化)、および [Sharing] (共有) 統計で [Unknown] (不明) の値を持ちます。(Amazon Macie API を使用して統計のクエリを行う場合、バケットはこれらの統計で unknown の値を持ちます。) さらに、Macie は、[Storage] (ストレージ) および [Objects] (オブジェクト) 統計でのデータの計算時にそのバケットを除外します。

    問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。たとえば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、「Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する」を参照してください。

  • アクセス権とアクセス許可に関するデータは、アカウントレベルおよびバケットレベルの設定に限定されます。バケット内の特定のオブジェクトへのアクセス権を判断するオブジェクトレベルの設定は反映されません。たとえば、バケット内の特定のオブジェクトに対してパブリックアクセスが有効になっている場合、Macie はバケットまたはバケットのオブジェクトがパブリックアクセス可能であることをレポートしません。

    オブジェクトレベルのオペレーションをモニタリングし、潜在的なセキュリティリスクを特定するには、Amazon S3 保護機能を使用することをお勧めします GuardDuty。この機能は、オブジェクトレベルの Amazon S3 データイベントをモニタリングし、悪意のあるアクティビティや疑わしいアクティビティについてそれらを分析します。詳細については、次を参照してください。Amazon S3 保護 GuardDutyアマゾン GuardDuty ユーザーガイド

  • 特定のバケットのオブジェクトメタデータを手動で更新すると、Macie は、オブジェクトに適用される暗号化統計で一時的に [Unknown] (不明) をレポートします。Macie が次回 (24 時間以内) 毎日のデータ更新を実行するときに、Macie はオブジェクトの暗号化メタデータを再評価し、統計の定量データを再度レポートします。

  • まれに、Macie がバケットがパブリックアクセス可能かどうか、別の AWS アカウント と共有されているかどうか、または新しいオブジェクトのサーバー側の暗号化が必要であるかどうかを判断できない場合があります。たとえば、一時的な問題により、Macie が必要なデータを取得して分析することを妨げる可能性があります。あるいは、Macie は 1 つ以上のポリシーステートメントが外部エンティティへのアクセスを許可するかどうかを完全には判断できない場合があります。これらのケースでは、Macie はインベントリ内の関連する統計とフィールドで [Unknown] (不明) をレポートします これらのケースを調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。

また、アカウントで Macie を有効にした後にバケットのセキュリティまたはプライバシーが低下した場合にのみ、Macie はポリシーの調査結果を生成することに注意してください。たとえば、Macie を有効にした後に、バケットのデフォルトの暗号化を無効にした場合、Macie はPolicy: IAMUser/S3BucketEncryptionDisabledバケツを探している。ただし、Macie を有効にしたときに、デフォルトの暗号化が引き続き無効になっているときに、デフォルトの暗号化が引き続き無効になっている場合、Macie は [Policy]Policy: IAMUser/S3BucketEncryptionDisabledバケツを探している。

さらに、Macie がバケットのセキュリティとプライバシーを評価するときに、アクセスログを調べたり、アカウントのユーザー、ロール、その他の関連する設定を分析したりすることはありません。代わりに、Macie は、[potential] (潜在的な) セキュリティリスクを示す主要な設定についてデータを分析してレポートします。たとえば、ポリシーの調査結果が、バケットがパブリックアクセス可能であることを示している場合、それは必ずしも外部エンティティがバケットにアクセスしたことを意味するわけではありません。同様に、ポリシーの調査結果が、バケットが組織外の AWS アカウント と共有されていることを示している場合、Macie はこのアクセスが意図され、安全であるかどうかを判断しません。代わりに、これらの調査結果は、外部エンティティがバケットのデータにアクセスできる可能性があることを示しており、意図しないセキュリティリスクになる可能性があります。