翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Macie が Amazon S3 データセキュリティをモニタリングする方法
<a name="monitoring-s3-how-it-works"></a>

で Amazon Macie を有効にすると AWS アカウント、Macie は現在の でアカウントの AWS Identity and Access Management (IAM) [サービスにリンクされたロール](service-linked-roles.md)を作成します AWS リージョン。このロールのアクセス許可ポリシーにより、Macie はユーザーに代わって他の を呼び出し AWS のサービス 、 AWS リソースをモニタリングできます。このロールを使用することで、Macie は リージョンで Amazon Simple Storage Service (Amazon S3) 汎用バケットのインベントリを生成および維持します。また、Macie は、バケットのセキュリティとアクセスコントロールの評価とモニタリングを開始します。

お客様が組織の Macie 管理者である場合、インベントリには、お客様のアカウントおよび組織内のメンバーアカウントの S3 バケットに関する統計とその他のデータが含まれます。このデータを用いて、Macie を使用して Amazon S3 データエステート全体で組織のセキュリティ体制をモニタリングおよび評価できます。詳細については、「[複数のアカウントの管理](macie-accounts.md)」を参照してください。

**Topics**
+ [主要コンポーネント](#monitoring-s3-how-it-works-components)
+ [データの更新](#monitoring-s3-how-it-works-data-refresh)
+ [考慮事項](#monitoring-s3-how-it-works-considerations)

## 主要コンポーネント
<a name="monitoring-s3-how-it-works-components"></a>

Amazon Macie は、機能と手法を組み合わせて、S3 汎用バケットのインベントリデータを提供および維持し、バケットのセキュリティとアクセスコントロールをモニタリングおよび評価します。

**メタデータの収集と統計の計算**  
バケットインベントリのメタデータと統計を生成および維持するために、Macie は Amazon S3 からバケットとオブジェクトメタデータを直接取得します。バケットごとに、メタデータには次のものが含まれます。  
+ バケットの名前、Amazon リソースネーム (ARN)、作成日、暗号化設定、タグ、バケットを所有 AWS アカウント する のアカウント ID など、バケットに関する一般的な情報。
+ バケットに適用されるアカウントレベルのアクセス許可設定 (アカウントのブロックパブリックアクセス設定など)。
+ バケットのブロックパブリックアクセス設定や、バケットポリシーまたはアクセスコントロールリスト (ACL) から派生する設定など、バケットのバケットレベルのアクセス許可設定。
+ バケットの共有アクセスとレプリケーションの設定。これには、バケットデータが組織の一部ではない にレプリケート AWS アカウント されるか、 と共有されるかが含まれます。
+ バケット内のオブジェクト数や、暗号化タイプ、ファイルタイプ、ストレージクラス別のオブジェクト数の内訳など、バケット内のオブジェクトのオブジェクト数と設定。
Macie は、この情報を直接ユーザーに提供します。Macie は、この情報を使用して統計を計算し、バケットインベントリ全体とインベントリ内の個々のバケットのセキュリティとプライバシーの評価を提供します。例えば、インベントリ内の合計ストレージサイズとバケットの数、それらのバケット内の合計ストレージサイズとオブジェクトの数、およびバケット内の機密データを検出するために Macie が分析できる合計のストレージサイズとオブジェクトの数を確認できます。  
デフォルトでは、メタデータと統計には、マルチパートアップロードが不完全だったために存在するすべてのオブジェクトパーツのデータが含まれます。特定のバケットのオブジェクトメタデータを手動で更新すると、Macie はバケットとバケットインベントリ全体の統計を再計算し、オブジェクトパーツのデータを再計算された値から除外します。Macie が毎日の更新サイクルの一部として Amazon S3 からバケットとオブジェクトメタデータを次回、Macie が取得したときに、Macie はインベントリデータを更新し、オブジェクトパーツのデータを再度含めます。Macie がバケットとオブジェクトのメタデータを取得するタイミングについては、[データの更新](#monitoring-s3-how-it-works-data-refresh) を参照してください。  
Macie はオブジェクトパーツを分析して機密データを検出することはできないことに注意してください。Amazon S3 はまず、Macie が分析できるように、パーツを 1 つ以上のオブジェクトに組み立てる必要があります。ライフサイクルルールでパーツを自動的に削除する方法など、マルチパートアップロードとオブジェクトパーツについては、Amazon Simple Storage Service ユーザーガイドの[マルチパートアップロードを使用したオブジェクトのアップロードとコピー](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html)を参照してください。オブジェクトパーツを含むバケットを特定するには、Amazon S3 ストレージレンズの不完全なマルチパートアップロードメトリクスを参照してください。詳細については、Amazon Simple Storage Service ユーザーガイドの[ストレージのアクティビティと使用状況の評価](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens.html)を参照してください。

**バケットのセキュリティとプライバシーのモニタリング**  
インベントリ内のバケットレベルのデータの精度を確保するために、Macie は、Amazon S3 データで発生する可能性のある特定の [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) イベントをモニタリングして分析します。関連するイベントが発生すると、Macie は適切なインベントリデータを更新します。  
例えば、バケットのパブリックアクセスブロック設定を有効にすると、Macie はバケットのパブリックアクセス設定に関するすべてのデータを更新します。同様に、バケットのバケットポリシーを追加または更新すると、Macie はポリシーを分析し、インベントリ内の適切なデータを更新します。  
Macie は、イベントがバケットのセキュリティまたはプライバシーを低下させると判断した場合、必要に応じてレビューおよび修正するための[ポリシー検出結果](findings-types.md#findings-policy-types)も作成します。  
Macie は、次の CloudTrail イベントのデータをモニタリングおよび分析します。  
+ **Account-level events** (アカウントレベルのイベント) — DeletePublicAccessBlock および PutPublicAccessBlock
+ **Bucket-level events** (バケットレベルのイベント) — CreateBucket、DeleteAccountPublicAccessBlock、DeleteBucket、DeleteBucketEncryption、DeleteBucketPolicy、DeleteBucketPublicAccessBlock、DeleteBucketReplication、DeleteBucketTagging、PutAccountPublicAccessBlock、PutBucketAcl、PutBucketEncryption、PutBucketPolicy、PutBucketPublicAccessBlock、PutBucketReplication、PutBucketTagging、および PutBucketVersioning
追加の CloudTrail イベントのモニタリングを有効にしたり、前のイベントのモニタリングを無効にしたりすることはできません。前のイベントの対応するオペレーションの詳細については、[Amazon Simple Storage Service API リファレンス](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_Amazon_Simple_Storage_Service.html)を参照してください。  
オブジェクトレベルのイベントをモニタリングするには、Amazon GuardDuty の Amazon S3 保護機能を使用することをお勧めします。この機能は、オブジェクトレベルの Amazon S3 データイベントをモニタリングし、悪意のあるアクティビティや疑わしいアクティビティについてそれらを分析します。詳細については、「Amazon GuardDuty ユーザーガイド」の「[GuardDuty の S3 保護](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)」を参照してください。**

**バケットセキュリティとアクセスコントロールの評価**  
バケットレベルのセキュリティとアクセスコントロールを評価するために、Macie は自動化された論理ベースの推論を使用して、バケットに適用されるリソースベースのポリシーを分析します。Macie は、バケットに適用されるアカウントレベルおよびバケットレベルのアクセス許可設定も分析します。この分析では、アカウントとバケットに対するバケットポリシー、バケットレベル ACL、およびブロックパブリックアクセス設定を考慮します。  
リソースベースのポリシーでは 、Macie は[Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) を使用します。Zelkova は、 AWS Identity and Access Management (IAM) ポリシーを論理ステートメントに変換し、決定問題に対して汎用および特殊な論理ソルバー (*充足可能性モジュロ理論) *のスイートを実行する自動推論エンジンです。Zelkova が使用するソルバーの性質の詳細については、[充足可能性モジュロ理論](https://people.eecs.berkeley.edu/~sseshia/pubdir/SMT-BookChapter.pdf)を参照してください。  
Macie はリソースベースのポリシーに Zelkova を繰り返し適用し、ポリシーが許可する動作のクラスを特徴付けるために、ますます具体的なクエリを使用します。この分析は、Amazon S3 データの潜在的なセキュリティリスクを特定し、偽陰性を最小限に抑えるように設計されています。これには、サービスコントロールポリシー (SCPs) やリソースコントロールポリシー (RCPs) など、組織のリソースで使用可能なアクセス許可の上限を定義する AWS Organizations 承認ポリシーは含まれません。また、関連付けられた のキーポリシーは含まれません AWS KMS keys。例えば、バケットポリシーが [s3:x-amz-server-side-encryption-aws-kms-key-id](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) 条件キーを使用してバケットへの書き込みアクセスを制限する場合、Macie は指定されたキーのキーポリシーを分析しません。つまり、Macie は、バケットポリシーの他のコンポーネントとバケットに適用される Amazon S3 アクセス許可設定に応じて、バケットがパブリックにアクセス可能であることを報告できます。  
さらに、Macie がバケットのセキュリティとプライバシーを評価するときに、アクセスログを調べたり、アカウントのユーザー、ロール、その他の関連する設定を分析したりすることはありません。代わりに、Macie は、*potential* (潜在的な) セキュリティリスクを示す主要な設定についてデータを分析してレポートします。例えば、ポリシーの調査結果が、バケットがパブリックアクセス可能であることを示している場合、それは必ずしも外部エンティティがバケットにアクセスしたことを意味するわけではありません。同様に、ポリシーの検出結果でバケットが組織 AWS アカウント 外の と共有されていることが示された場合、Macie はこのアクセスが意図的で安全かどうかを判断しようとしません。代わりに、これらの調査結果は、外部エンティティがバケットのデータにアクセスできる可能性があることを示しており、意図しないセキュリティリスクになる可能性があります。  
Macie が外部エンティティが S3 バケットにアクセスできる可能性があることを報告する場合は、バケットのポリシーと設定を確認して、このアクセスが意図的で安全かどうかを判断することをお勧めします。該当する場合は、 などの関連リソースのポリシーと設定 AWS KMS keys、および組織の AWS Organizations 認可ポリシーも確認します。

**重要**  
バケットに上記のタスクを実行するには、バケットが S3 汎用バケットである必要があります。Macie は S3 ディレクトリバケットをモニタリングまたは分析しません。  
また、Macie がバケットにアクセスできる必要があります。バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトのメタデータを取得するのを妨げるようにしている場合、Macie はバケットの名前や作成日など、バケットに関する情報のサブセットのみを提供できます。Macie はバケットに対して追加のタスクを実行できません。詳細については、「[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)」を参照してください。  
Macie は、アカウントに対して最大 10,000 個のバケットに対して前述のタスクを実行できます。Amazon S3 に 10,000 を超えるバケットを保存する場合、Macie は最近作成または変更された 10,000 個のバケットに対してのみこれらのタスクを実行します。他のすべてのバケットについて、Macie は完全なインベントリデータを維持したり、バケットのデータのセキュリティとプライバシーを評価またはモニタリングしたり、ポリシーの検出結果を生成したりすることはありません。代わりに、Macie はバケットに関する情報のサブセットのみを提供します。

## データの更新
<a name="monitoring-s3-how-it-works-data-refresh"></a>

で Amazon Macie を有効にすると AWS アカウント、Macie は S3 汎用バケットとオブジェクトのメタデータを Amazon S3 から直接取得します。その後、Macie は、毎日の更新サイクルの一部として、バケットとオブジェクトメタデータを直接 Amazon S3 から毎日自動的に取得します。

また、次のいずれかが発生したときに、Macie は Amazon S3 から直接バケットメタデータも取得します。
+ Macie は関連する AWS CloudTrail イベントを検出します。
+ インベントリデータを更新するには、Amazon Macie コンソールの更新![\[The refresh button, which is a button that displays an empty blue circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-data.png) を選択します。データ資産のサイズに応じて、5 分ごとにデータを更新できます。
+ [DescribeBuckets](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3.html) リクエストを Amazon Macie API にプログラムで送信すると、Macie は前述の**DescribeBuckets**リクエストの処理を完了しました。

特定のバケットの最新のオブジェクトメタデータを手動で更新することを選択した場合、Macie はそのデータも取得できます。これは、バケットを最近作成したり、過去 24 時間にバケットのオブジェクトに重要な変更を行った場合に役立ちます。バケットのオブジェクトメタデータを手動で更新するには、コンソールの**S3バケット**の[バケット詳細パネル](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)の**オブジェクト統計**セクションで更新(![\[The refresh button, which is a button that displays an empty, dark gray circle with an arrow.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/btn-refresh-object-data.png)) を選択します。この機能は、30,000 個以下のオブジェクトが保存されているバケットで使用できます。

Macie が毎日の更新サイクルの一部として、アカウントのバケットとオブジェクトメタデータの両方を最後に取得したタイミングを判断するには、コンソールの **最終更新** フィールドを参照できます。このフィールドは、**[概要]** ダッシュボード、**[S3 バケット]** ページ、および **[S3 バケット]** ページの[バケット詳細パネル](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)に表示されます。Amazon Macie API を使用してインベントリデータをクエリする場合、 `lastUpdated`フィールドにはこの情報が表示されます。お客様が組織の Macie 管理者である場合、 フィールドには、Macie が組織内のアカウントのデータを取得したときの最も早い日時が表示されます。

Macie がバケットまたはオブジェクトメタデータを取得するたびに、Macie はインベントリ内の適切なデータを自動的に更新します。Macie がバケットのセキュリティやプライバシーに影響を与える違いを検出すると、Macie は直ちに変更の評価と分析を開始します。分析が完了すると、Macie はインベントリ内の適切なデータを更新します。違いによってバケットのセキュリティやプライバシーが低下した場合、Macie は適切な [ポリシーの調査結果](findings-types.md#findings-policy-types)を作成して、必要に応じて確認および修正を行います。Macie は、アカウントに対して最大 10,000 個のバケットに対してこれを行います。バケットが 10,000 を超える場合、Macie は最近作成または変更された 10,000 個のバケットに対してこれを行います。お客様が組織の Macie 管理者である場合、このクォータは組織全体ではなく、組織内の各アカウントに適用されます。

まれに、特定の条件下で、レイテンシーやその他の問題により、Macie がバケットとオブジェクトメタデータを取得するのを妨げることがあります。また、バケットインベントリへの変更または個別のバケットのアクセス許可設定とポリシーについて Macie が受け取る通知を遅らせる可能性があります。例えば、CloudTrail イベントで配信の問題が発生すると、遅延が発生する可能性があります。このような場合、Macie は、次回 (24 時間以内) 毎日の更新を実行するときに、新しいデータと更新されたデータを分析します。

## 考慮事項
<a name="monitoring-s3-how-it-works-considerations"></a>

Amazon Macie を使用して Amazon S3 データのセキュリティ体制をモニタリングおよび評価する場合は、次の点に注意してください。
+ インベントリデータは、現在の AWS リージョン内の S3 バケットにのみ適用されます。追加のリージョンのデータにアクセスするには、追加の各リージョンで Macie を有効化して使用します。
+ ユーザーが組織の Macie 管理者である場合は、現在のリージョンでそのアカウントで Macie が有効になっている場合にのみ、メンバーアカウントのインベントリデータにアクセスできます。
+ Macie は、アカウントに対して 10,000 個以下のバケットの完全なインベントリデータを提供できます。さらに、Macie はアカウントの 10,000 個以下のバケットのセキュリティとプライバシーを評価およびモニタリングできます。アカウントがこのクォータを超えると、Macie は最近作成または変更された 10,000 個のバケットに関する詳細情報を評価、モニタリング、提供します。他のすべてのバケットについては、Macie はバケットに関する情報のサブセットのみを提供します。

  アカウントがこのクォータに近づいた場合は、アカウントの AWS Health イベントを作成して通知します。また、お客様のアカウントに関連付けられているアドレスにも E メールが送信されます。アカウントがクォータを超えた場合は、再度通知されます。Macie 管理者の場合、このクォータは組織全体ではなく、組織内の各アカウントに適用されます。
+ バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報を取得することを妨げた場合、Macie はバケットのデータのセキュリティとプライバシーを評価およびモニタリングしたり、バケットに関する詳細情報を提供したりできません。　　 この場合、バケットを特定しやすくするために、Macie は次の処理を行います。
  + コンソールのバケットインベントリで、Macie はバケットの警告アイコン (![\[The warning icon, which is a red triangle that has an exclamation point in it.\]](http://docs.aws.amazon.com/ja_jp/macie/latest/user/images/icon-warning-red.png)) を表示します。
  + バケットの詳細について、Macie はフィールドのサブセットのみのデータを提供します。フィールドには、バケットを所有 AWS アカウント する のアカウント ID、バケットの名前、Amazon リソースネーム (ARN)、作成日、リージョン、および毎日の更新サイクルの一部として Macie がバケットとオブジェクトの両方のメタデータを最後に取得した日時が含まれます。Amazon Macie API を使用してインベントリデータをプログラムでクエリする場合、Macie はバケットのエラーコードとメッセージも提供します。
  + コンソールの **概要**ダッシュボードでは、バケットの**パブリックアクセス**、**暗号化**、および**共有**統計の値は**不明**です。さらに、Macie は、**ストレージ** および **オブジェクト** 統計でのデータの計算時にそのバケットを除外します。
  + [GetBucketStatistics](https://docs.aws.amazon.com/macie/latest/APIReference/datasources-s3-statistics.html) オペレーションを使用して集約された統計をプログラムでクエリする場合、多くの統計`unknown`に対してバケットの値は であり、Macie はオブジェクト数とストレージサイズ値を計算する際にバケットを除外します。

  問題を調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。例えば、バケットには制限があるバケットポリシーが設定されている場合があります。詳細については、[Macie が S3 バケットおよびオブジェクトにアクセスすることを許可する](monitoring-restrictive-s3-buckets.md)を参照してください。
+ アクセス権とアクセス許可に関するデータは、アカウントレベルおよびバケットレベルの設定に限定されます。バケット内の特定のオブジェクトへのアクセス権を判断するオブジェクトレベルの設定は反映されません。例えば、バケット内の特定のオブジェクトに対してパブリックアクセスが有効になっている場合、Macie はバケットまたはバケットのオブジェクトがパブリックアクセス可能であることをレポートしません。

  オブジェクトレベルのオペレーションをモニタリングし、潜在的なセキュリティリスクを特定するには、Amazon GuardDuty の Amazon S3 保護機能を使用することをお勧めします。この機能は、オブジェクトレベルの Amazon S3 データイベントをモニタリングし、悪意のあるアクティビティや疑わしいアクティビティについてそれらを分析します。詳細については、「Amazon GuardDuty ユーザーガイド」の「[GuardDuty の S3 保護](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)」を参照してください。**
+ 特定のバケットのオブジェクトメタデータを手動で更新する場合：
  + Macie は、オブジェクトに適用される暗号化統計について *Unknown* を一時的に報告します。Macie が次回 (24 時間以内) 毎日のデータ更新を実行するときに、Macie はオブジェクトの暗号化メタデータを再評価し、統計の定量データを再度レポートします。
  + Macie は、マルチパートアップロードが不完全であるためにバケットに含まれるオブジェクトパーツのデータを一時的に除外します。Macie が次回 (24 時間以内) 毎日のデータ更新を実行するときに、Macie はバケットオブジェクトの数とストレージサイズの値を再計算し、パーツのデータをそれらの計算に含めます。
+ 場合によっては、Macie はバケットがパブリックにアクセス可能か共有されているかを判断できないか、新しいオブジェクトのサーバー側の暗号化を必要とする場合があります。例えば、クォータや一時的な問題により、Macie が必要なデータを取得して分析できなくなる可能性があります。あるいは、Macie は 1 つ以上のポリシーステートメントが外部エンティティへのアクセスを許可するかどうかを完全には判断できない場合があります。このような場合、Macie はバケットインベントリの関連する統計とフィールドについて *Unknown* を報告します。これらのケースを調査するには、Amazon S3 内のバケットのポリシーとアクセス許可の設定を確認します。

また、アカウントで Macie を有効にした後にバケットのセキュリティまたはプライバシーが低下した場合にのみ、Macie はポリシーの調査結果を生成することに注意してください。例えば、Macie を有効にした後に、バケットのパブリックアクセスブロック設定を無効にした場合、Macie は **Policy:IAMUser/S3BlockPublicAccessDisabled** 調査結果をバケットで生成します。ただし、Macie を有効にしてから、パブリックアクセスブロック設定が引き続き無効になっているときに、パブリックアクセスブロック設定がバケットで無効になった場合、Macie は **Policy:IAMUser/S3BlockPublicAccessDisabled** 調査結果をバケットで生成しません。