翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon GuardDuty におけるデータ保護
<a name="data-protection"></a>

 AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、Amazon GuardDuty でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+  AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK を使用して GuardDuty AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

## 保管中の暗号化
<a name="encryption-rest"></a>

GuardDuty のすべての顧客データは、保管時に暗号化ソリューションを使用して AWS 暗号化されます。

検出結果などの GuardDuty データは、 所有のカスタマーマネージドキーを使用して AWS Key Management Service (AWS KMS) を使用して AWS 保管時に暗号化されます。

## 転送中の暗号化
<a name="encryption-transit"></a>

GuardDuty は、他のサービスからのログデータを分析します。GuardDuty は、これらのサービスから転送中のデータすべてを HTTPS および KMS で暗号化します。GuardDuty がログから必要な情報を抽出すると、それらは破棄されます。GuardDuty で他のサービスの情報を使用する方法の詳細については、「[GuardDuty data sources](guardduty_data-sources.md)」(GuardDuty データソース) を参照してください。

GuardDuty データは、サービス間で転送時に暗号化されます。

# サービス改善のためのデータ使用をオプトアウトする
<a name="guardduty-opting-out-using-data"></a>

オプトアウトポリシーを使用して、GuardDuty およびその他の AWS セキュリティサービスの開発と改善にデータを使用することを AWS Organizations オプトアウトできます。GuardDuty が現在そのようなデータを収集していない場合でも、オプトアウトすることができます。オプトアウトする方法の詳細については、「AWS Organizations  ユーザーガイド」の「[AI サービスのオプトアウトポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)」を参照してください。

**注記**  
オプトアウトポリシーを使用するには、 AWS アカウントが によって一元管理されている必要があります AWS Organizations。 AWS アカウントの組織をまだ作成していない場合は、*AWS Organizations 「 ユーザーガイド*」の[「組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。

オプトアウトには次のような効果があります。
+ GuardDuty は、オプトアウト前にサービス向上を目的として収集して保存したデータ (ある場合) を削除します。
+ オプトアウトすると、GuardDuty はこのデータをサービス向上を目的として収集または保存しなくなります。

以下のトピックでは、GuardDuty 内の各機能によるサービスの向上を目的としたデータの処理方法を説明します。

**Topics**
+ [GuardDuty Runtime Monitoring](#runtime-monitoring-data-opt-out)
+ [GuardDuty Malware Protection](#malware-protection-data-opt-out)

## GuardDuty Runtime Monitoring
<a name="runtime-monitoring-data-opt-out"></a>

GuardDuty Runtime Monitoring は、 AWS 環境内の Amazon Elastic Kubernetes Service (Amazon EKS) クラスター、 AWS Fargate Amazon Elastic Container Service (Amazon ECS) のみ、Amazon Elastic Compute Cloud (Amazon EC2) の各インスタンスのランタイム脅威検出を可能にします。Runtime Monitoring を有効にし、リソースの GuardDuty セキュリティエージェントをデプロイすると、GuardDuty ではリソースに関連するランタイムイベントの監視と分析が開始されます。これらのランタイムイベントタイプには、プロセスイベント、コンテナイベント、DNS イベントなどが含まれます。詳細については、「[GuardDuty が使用する収集されたランタイムイベントタイプ](runtime-monitoring-collected-events.md)」を参照してください。

GuardDuty は、ワークロードからコマンド (`curl`、`systemctl`、`cron` など) とそれに関連する引数 (`start`、`stop`、`disable` など) の両方を収集します。例えば、誰かが `systemctl stop service-name` を実行すると、GuardDuty はコマンド `systemctl`とその引数 `stop service-name` の両方をキャプチャします。この詳細情報は、コマンドパターンを分析し、複数のイベントを関連付けることで、GuardDuty が高度な脅威を検出するのに役立ちます。例えば、GuardDuty は、攻撃者がセキュリティサービスを無効にしようとしたり、既知の悪意のあるファイルを実行したりするタイミングを特定できます。GuardDuty は脅威検出のためにこのデータを積極的に使用しますが、現在、サービス改善の目的でこれらのコマンドと引数を使用**しません** (将来使用される場合があります)。信頼、プライバシー、およびコンテンツのセキュリティが当社の最優先事項であり、当社の使用に際してユーザーへの約束に確実に従うことを保証します。詳細については、[データプライバシーのよくある質問](https://aws.amazon.com//compliance/data-privacy-faq/)を参照してください。

## GuardDuty Malware Protection
<a name="malware-protection-data-opt-out"></a>

GuardDuty Malware Protection は、侵害された可能性のある Amazon EC2 インスタンスとコンテナワークロード、選択した Amazon S3 バケットに新しくアップロードされたファイル、バックアップリソースにアタッチされた EBS ボリュームに含まれるマルウェアをスキャンして検出します。現在、GuardDuty は、検出されたマルウェアをサービス改善のために収集または使用しません。ただし、将来、GuardDuty Malware Protection が EBS ボリュームファイル、バックアップファイル、または S3 ファイルを悪意のあるファイルまたは有害なファイルとして識別すると、GuardDuty Malware Protection はこのファイルを収集して保存し、マルウェア検出と GuardDuty サービスを開発および改善します。このファイルは、その他の AWS サービスの開発と改善にも使用される場合があります。信頼、プライバシー、およびコンテンツのセキュリティが当社の最優先事項であり、当社の使用に際してユーザーへの約束に確実に従うことを保証します。詳細については、[データプライバシーのよくある質問](https://aws.amazon.com//compliance/data-privacy-faq/)を参照してください。