S3 バケットの機密スコア - Amazon Macie
スコアリングの寸法と範囲スコアの監視

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

S3 バケットの機密スコア

機密データの自動検出が有効になっている場合、Amazon Macie は、アカウントまたは組織のモニタリングと分析を行う各 Amazon Simple Storage Service (Amazon S3) 汎用バケットに自動的に機密スコアを計算して割り当てます。機密スコアは、S3 バケットに含まれる可能性のある機密データの量を定量的に表したものです。そのスコアに基づいて、Macie は各バケットに機密ラベルも割り当てます。機密ラベルは、バケットの機密スコアを定性的に表したものです。これらの値は、Amazon S3 データ資産内の機密データがどこにあるかを判断し、そのデータの潜在的なセキュリティリスクを特定して監視するための参照ポイントとして役立ちます。

デフォルトでは、S3 バケットの機密スコアとラベルには、Macie がそれまでにバケットに対して実行した機密データ自動検出活動の結果が反映されています。作成して実行する機密データ検出ジョブの結果は反映されません。さらに、スコアもラベルも、バケットやバケットのオブジェクトがお客様または組織にもたらす緊急性や重要度を暗示したり、提示したりするものではありません。ただし、最大スコア(100) をバケットに手動で割り当てることで、バケットの計算スコアを上書きできます。これにより、機密ラベルがバケットに割り当てられます。計算スコアを上書きするには、バケットを所有するアカウントの Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている必要があります。

機密スコアリングの寸法と範囲

Amazon Macie の計算上、S3 バケットの機密スコアは 2 つの主要な寸法の交差点を定量的に測定したものです。

  • Macie がバケット内で検出した機密データ量 これは主に、Macie がバケット内で検出した機密データタイプの性質と数、および各タイプの出現数から導き出されます。

  • Macie がバケット内で分析したデータ量 これは主に、Macie がバケット内で分析したユニークオブジェクトの数と、バケット内の固有オブジェクトの総数との比較から算出されます。

S3 バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルも決まります。機密ラベルは、スコアを機密または非機密など定性的に表したものです。Amazon Macie コンソールでは、バケットの機密スコアによって、次の図に示すように Macie ユーザーがデータ視覚化でバケットを表すために使う色も決まります。

機密スコアの色スペクトル: 1~49 の場合は青色、51~100 の場合は赤色、-1 の場合は灰色。

機密スコアの範囲は-1から100す(次の表を参照)。S3 バケットのスコアへの入力を評価するには、Macie がバケットに関して提供する機密データ検出統計やその他詳細情報を参照します。

機密スコア 機密ラベル 追加情報
-1 分類エラー

Macie は、オブジェクトレベルの分類エラーのため (オブジェクトレベルの権限設定、オブジェクトコンテンツ、クォータに関する問題)、まだバケットのオブジェクトを正常に分析していません。

Macie がバケット内の 1 つ以上のオブジェクトを分析しようとしたときに、エラーが発生しました。例えば、オブジェクトが不正な形式のファイルであったり、Macie がアクセスできない、あるいは使用を許可されていないキーでオブジェクトが暗号化されている場合などです。バケットのカバレッジデータは、エラーの調査と修正に役立ちます。詳細については、機密データ自動検出カバレッジの評価を参照してください。

Macie はバケット内のオブジェクトの分析を引き続き試みます。Macie がオブジェクトを正常に分析すると、Macie はバケットの機密スコアとラベルを更新して、分析結果を反映します。
1 〜 49 非機密

この範囲で 49のような高いスコアは、Macie がバケット内で分析したオブジェクトが比較的少ないことを示します。1のような低いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクト総数に対して) を分析し、それらのオブジェクトに含まれる機密データのタイプと出現が比較的少ないことを示します。

スコアが 1 の場合、バケットにオブジェクトが格納されていない、またはバケット内すべてのオブジェクトのデータがゼロ (0) バイトの可能性もあります。バケットの詳細にあるオブジェクトの統計は、それに該当するか判断するのに役立ちます。詳細については、S3 バケットの詳細の確認を参照してください。
50 分析が未完了

Macie はまだバケットのオブジェクトを分析していない、または分析を試みていません。

Macie は、自動検出が最初に有効にされたとき、またはバケットがアカウントのバケットインベントリに追加されたときに、このスコアを自動的に割り当てます。組織では、バケットを所有するアカウントに対して自動検出が有効になっていない場合、バケットにこのスコアを割り当てることもできます。

スコアが50の場合、バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトにアクセスできなくなっている可能性もあります。これは通常、制限の厳しいバケットポリシーが原因です。Macie はバケットに関するサブセットのみの情報を提供できるので、バケットの詳細がそれに該当するか判断するのに役立ちます。この問題の対処方法については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。
51 〜 99 機密

この範囲で、99のような高いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクトの総数に対して) を分析し、それらのオブジェクトに含まれる機密データの多くのタイプと出現を検出したことを示します。51のような低めのスコアは、Macie がバケット内で中程度の数のオブジェクト (バケット内のオブジェクトの総数と比較して) を分析し、それらのオブジェクト内の機密データのタイプと出現を少なくとも数種類検出したことを示します。
100 機密

スコアは手動でバケットに割り当てられ、計算されたスコアは上書きされました。Macie はこのスコアをバケットに割り当てません。

機密スコアの監視

アカウントに対して機密データ自動検出を最初に有効化する際、Amazon Macie は、アカウントが所有する各 S3 バケットに 50 の機密スコアを自動的に割り当てます。また、Macie は、バケットがアカウントのバケットインベントリに追加されるときに、このスコアをバケットにも割り当てます。そのスコアに基づいて、各バケットの機密ラベルは分析が未完了です。例外は、オブジェクトが一切格納されていない、またはバケット内のすべてのオブジェクトのデータがゼロ (0) である空のバケットです。その場合、Macie はバケットに1のスコアを割り当て、バケットの機密ラベルは非機密とします。

機密データ自動検出が毎日進行するにつれて、Macie は S3 バケットの機密スコアとラベルを更新してその分析の結果を反映します。例:

  • Macie がオブジェクト内の機密データを検出しない場合、Macie は必要に応じてバケットの機密スコアを下げ、機密ラベルを更新します。

  • Macie がオブジェクト内の機密データを検出すると、Macie は必要に応じてバケットの機密スコアを上げ、機密ラベルを更新します。

  • その後変更されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データ検出をバケットの機密スコアから削除し、機密ラベルを更新します。

  • その後削除されたオブジェクト内で機密データが検出された場合、Macie は必要に応じてそのオブジェクトの機密データをバケットの機密スコアから削除し、機密ラベルを更新します。

  • 以前は空だったバケットにオブジェクトが追加され、Macie がそのオブジェクトに機密データを検出した場合、Macie は必要に応じてバケットの機密スコアを上げ、機密ラベルを更新します。

  • バケットの権限設定により、Macie がバケットまたはバケットのオブジェクトに関する情報にアクセスできないか、これを取得できない場合、Macie はバケットの機密スコアを 50 に変更し、バケットの機密ラベルを [分析が未完了] に変更します。

アカウントの機密データ自動検出を有効にしてから 48 時間以内に分析結果が表示されるようになります。

お客様が組織の Macie 管理者であるか、スタンドアロンの Macie アカウントをお持ちの場は、組織またはアカウントの機密スコア設定を調整できます。

  • すべての S3 バケットの後続の分析の設定を調整するには、アカウントの設定を変更します。特定のマネージドデータ識別子、カスタムデータ識別子、または許可リストを分析に含めたり、除外したりできるようになります。また、特定のバケットを除外することもできるようになります。詳細については、自動検出設定を構成するを参照してください。

  • 個々の S3 バケットの設定を調整するには、各バケットの設定を変更します。特定のタイプの機密データをバケットのスコアに含めたり、除外したりできます。自動計算されたスコアをバケットに割り当てるかどうかも指定できます。詳細については、S3 バケットの機密スコアを調整するを参照してください。

機密データ自動検出を無効にした場合、その影響は既存の機密性スコアとラベルによって異なります。組織内のメンバーアカウントに対して無効にした場合は、アカウントが所有する S3 バケットに対して既存のスコアとラベルが保持されます。組織全体またはスタンドアロン Macie アカウントで無効にした場合は、既存のスコアとラベルは 30 日間のみ保持されます。30 日後、Macie では組織またはアカウントが所有するすべてのバケットのスコアとラベルをリセットします。バケットにオブジェクトが格納されている場合は、Macie はスコアを 50 に変更し、[分析が未完了] ラベルをバケットに割り当てます。バケットが空の場合は、Macie はスコアを 1 に変更し、[機密データは内] ラベルをバケットに割り当てます。このリセット後、Macie では、組織またはアカウントの機密データの自動検出を再度有効にしない限り、バケットの機密性スコアとラベルの更新を停止します。