翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 侵害された可能性のある S3 バケットの修復
<a name="compromised-s3"></a>

GuardDuty で [GuardDuty S3 Protection の検出結果タイプ](guardduty_finding-types-s3.md)が生成された場合は、Amazon S3 バケットが既に侵害されています。検出結果の原因となった動作が環境の想内である場合は、[抑制ルール](findings_suppression-rule.md)の作成を検討してください。この動作が予期されなかった場合は、以下の推奨手順に従って、 AWS 環境内の侵害された可能性のある Amazon S3 バケットを修復します。

1. **侵害された可能性のある S3 リソースを識別します。**

   S3 の GuardDuty 検索では、関連付けられた S3 バケット、その Amazon リソースネーム (ARN)、およびその所有者が検出結果の詳細に表示されます。

1. **疑わしいアクティビティのソースと使用された API コールを特定します。**

   使用された API コールは、検出結果の詳細に `API` として表示されます。ソースは IAM プリンシパル (IAM ロール、ユーザーまたはアカウント) で、識別情報が検出結果に表示されます。ソースタイプに応じて、リモート IP アドレスまたはソースドメイン情報が利用可能になり、ソースが承認されたかどうかを評価するのに役立ちます。Amazon EC2 インスタンスから関連する認証情報が検出結果にあれば、そのリソースの詳細も含まれます。

1. **コールソースが、識別されたリソースへのアクセスを許可されたかどうかを確認します。**

   例えば、次の事項を検討します。
   + IAM ユーザーが関与していた場合は、認証情報が侵害された可能性があるかどうかを確認します。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
   + API が、このタイプの API を呼び出した履歴がないプリンシパルから呼び出された場合、このソースはこのオペレーションのアクセス権を必要としますか? バケットの許可をさらに制限することはできますか?
   + **ユーザー名** `ANONYMOUS_PRINCIPAL` と**ユーザータイプ** `AWSAccount` のアクセスがあった場合、これは、バケットがパブリックであり、アクセスされたことを示します。このバケットはパブリックであるべきですか? そうでない場合は、S3 リソースを共有する代替ソリューションについて、以下のセキュリティに関するレコメンデーションを確認してください。
   + アクセスが**ユーザー名** `ANONYMOUS_PRINCIPAL` と **ユーザータイプ** `AWSAccount`からの 成功した `PreflightRequest` コールを介して行われた場合、バケットにクロスオリジンリソース共有 (CORS) ポリシーが設定されていることを示します。このバケットには CORS ポリシーが必要ですか? そうでない場合は、バケットが不用意に公開されないようにし、S3 リソースを共有する代替ソリューションについて、以下のセキュリティに関するレコメンデーションを確認してください。CORS の詳細については、「S3 ユーザーガイド​」の「[Cross-Origin Resource Sharing (CORS) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html)」を参照してください。

1. **S3 バケットに機密データが含まれているかどうか判断します。**

   [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) を使用して、S3 バケットに個人を特定できる情報 (PII)、財務データ、認証情報などの機密データが含まれているかどうかを判断します。Macie アカウントで機密データの自動検出が有効になっている場合は、S3 バケットの詳細を確認して S3 バケットのコンテンツをよりよく理解してください。Macie アカウントでこの機能が無効になっている場合、評価を早めるために有効にすることをおすすめします。または、機密データ検出ジョブを作成して実行し、S3 バケットのオブジェクトに機密データがないかを検査することもできます。詳細については、「[機密ログデータをマスキングで保護する](https://docs.aws.amazon.com/macie/latest/user/data-classification.html)」を参照してください。

アクセスが許可されている場合は、検出結果を無視できます。[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールでは、個々の結果を表示しないように完全に抑制するルールを設定できます。詳細については、「[GuardDuty の抑制ルール](findings_suppression-rule.md)」を参照してください。

S3 データが許可のない当事者によって公開またはアクセスされたと判断した場合は、次の S3 セキュリティに関するレコメンデーションを確認して、許可を強化し、アクセスを制限します。適切な修復ソリューションは、特定の環境のニーズによって異なります。

## 特定の S3 バケットへのアクセスニーズに基づく推奨事項
<a name="guardduty-compromised-s3-recommendations"></a>

**次に、特定の Amazon S3 バケットへのアクセスニーズに基づく推奨事項を示します。**
+ S3 データへのパブリックアクセスを一元的に制限するには、S3 ブロックパブリックアクセスを使用してください。ブロックパブリックアクセス設定は、アクセスポイント、バケット、 AWS アカウントに対して 4 つの異なる設定で有効にして、アクセスの詳細度を制御できます。詳細については、「*Amazon S3 ユーザーガイド*」の「[パブリックアクセスブロック設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html#access-control-block-public-access-options)」を参照してください。
+ AWS アクセスポリシーを使用して、IAM ユーザーがリソースにアクセスする方法やバケットにアクセスする方法を制御できます。詳細は、「*Amazon S3 ユーザーガイド*」の「[バケットポリシーとユーザーポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security_iam_service-with-iam.html)」を参照してください。

  S3 バケットポリシーで仮想プライベートクラウド (VPC) エンドポイントを使用して、特定の VPC エンドポイントへのアクセスを制限することもできます。詳細については、「*Amazon S3 ユーザーガイド*」の「[バケットポリシーを使用した VPC エンドポイントからのアクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html)」を参照してください
+ アカウント外の信頼できるエンティティへの S3 オブジェクトへのアクセスを一時的に許可するには、S3 を使用して署名済み URL を作成します。このアクセスは、アカウントの認証情報を使用して作成され、使用される認証情報に応じて 6 時間から 7 日間使用できます。詳細については、「*Amazon S3 ユーザーガイド*」の「[署名付き URL を使用したオブジェクトのダウンロードおよびアップロード](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html)」を参照してください。
+ 異なるソース間で S3 オブジェクトを共有する必要があるユースケースでは、S3 アクセスポイントを使用して、プライベートネットワーク内のオブジェクトのみへのアクセスを制限する許可セットを作成できます。詳細については、「*Amazon S3 ユーザーガイド*」の「[アクセスポイントを使用した共有データセットへのアクセス管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html)」を参照してください。
+ 他のアカウントに S3 リソースへのアクセスを安全に許可 AWS するには、*Amazon S3ユーザーガイド*」の「アクセスコントロールリスト (ACL[) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)」を参照してください。

S3 のセキュリティオプションの詳細については、「*Amazon S3 ユーザーガイド*」の「[Amazon S3 のセキュリティのベストプラクティス](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)」を参照してください。