S3 バケットの機密スコア - Amazon Macie
スコアリングの寸法と範囲スコアの監視

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

S3 バケットの機密スコア

自動機密データ検出が有効になっている場合、Amazon Macie はアカウントまたは組織のモニタリングと分析を行う各 Amazon Simple Storage Service (Amazon S3) 汎用バケットに機密性スコアを自動的に計算して割り当てます。機密スコアは、S3 バケットに含まれる可能性のある機密データの量を定量的に表したものです。そのスコアに基づいて、Macie は各バケットに機密ラベルも割り当てます。機密ラベルは、バケットの機密スコアを定性的に表したものです。これらの値は、Amazon S3 データ資産内の機密データがどこにあるかを判断し、そのデータの潜在的なセキュリティリスクを特定して監視するための参照ポイントとして役立ちます。

デフォルトでは、S3 バケットの機密スコアとラベルには、Macie がそれまでにバケットに対して実行した機密データ自動検出活動の結果が反映されています。これらは、作成して実行する機密データ検出ジョブの結果を反映しません。さらに、スコアもラベルも、バケットまたはバケットのオブジェクトがユーザーまたは組織にとって持つ重要度や重要性を暗示または示しません。ただし、最大スコア (100) をバケットに手動で割り当てて、バケットの計算スコアを上書きできます。これにより、機密性の高いラベルもバケットに割り当てられます。計算スコアを上書きするには、バケットを所有するアカウントの Macie 管理者であるか、スタンドアロンの Macie アカウントを持っている必要があります。

機密スコアリングの寸法と範囲

Amazon Macie によって計算された場合、S3 バケットの感度スコアは、2 つの主要ディメンションの交差点の定量的尺度です。

  • Macie がバケット内で検出した機密データ量 これは主に、Macie がバケットで見つけた機密データタイプの性質と数、および各タイプの出現数から派生します。

  • Macie がバケット内で分析したデータ量 これは主に、Macie がバケット内で分析したユニークオブジェクトの数と、バケット内の固有オブジェクトの総数との比較から算出されます。

S3 バケットの機密スコアによって、Macie がバケットに割り当てる機密ラベルも決まります。機密ラベルは、スコアを機密または非機密など定性的に表したものです。Amazon Macie コンソールでは、バケットの機密スコアによって、次の図に示すように Macie ユーザーがデータ視覚化でバケットを表すために使う色も決まります。

感度スコアの色スペクトル: 1~49 の青色、51~100 の赤色、-1 の灰色。

機密スコアの範囲は-1から100す(次の表を参照)。S3 バケットのスコアへの入力を評価するには、Macie がバケットに関して提供する機密データ検出統計やその他詳細情報を参照します。

機密スコア 機密ラベル 追加情報
-1 分類エラー

Macie は、オブジェクトレベルの分類エラーが原因でバケットのオブジェクトをまだ正常に分析していません。オブジェクトレベルのアクセス許可設定、オブジェクトコンテンツ、またはクォータの問題です。

Macie がバケット内の 1 つ以上のオブジェクトを分析しようとしたときに、エラーが発生しました。例えば、オブジェクトが不正な形式のファイルであったり、Macie がアクセスできない、あるいは使用を許可されていないキーでオブジェクトが暗号化されている場合などです。バケットのカバレッジデータは、エラーの調査と修正に役立ちます。詳細については、機密データ自動検出カバレッジの評価を参照してください。

Macie はバケット内のオブジェクトの分析を引き続き試みます。Macie がオブジェクトを正常に分析すると、Macie はバケットの機密スコアとラベルを更新して、分析結果を反映します。
1 〜 49 非機密

この範囲で 49のような高いスコアは、Macie がバケット内で分析したオブジェクトが比較的少ないことを示します。1のような低いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクト総数に対して) を分析し、それらのオブジェクトに含まれる機密データのタイプと出現が比較的少ないことを示します。

スコア 1 は、バケットにオブジェクトが保存されていないか、バケット内のすべてのオブジェクトにゼロ (0) バイトのデータが含まれていることを示すこともできます。バケットの詳細にあるオブジェクトの統計は、それに該当するか判断するのに役立ちます。詳細については、S3 バケットの詳細の確認を参照してください。
50 分析が未完了

Macie はまだバケットのオブジェクトを分析していない、または分析を試みていません。

Macie は、自動検出が最初に有効になるか、アカウントのバケットインベントリにバケットが追加されると、このスコアを自動的に割り当てます。組織では、バケットを所有するアカウントに対して自動検出が有効になっていない場合、バケットにこのスコアを付けることもできます。

スコアが50の場合、バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトにアクセスできなくなっている可能性もあります。これは通常、制限の厳しいバケットポリシーが原因です。Macie はバケットに関するサブセットのみの情報を提供できるので、バケットの詳細がそれに該当するか判断するのに役立ちます。この問題の対処方法については、Macie が S3 バケットおよびオブジェクトにアクセスすることを許可するを参照してください。
51 〜 99 機密

この範囲で、99のような高いスコアは、Macie がバケット内の多数のオブジェクト (バケット内のオブジェクトの総数に対して) を分析し、それらのオブジェクトに含まれる機密データの多くのタイプと出現を検出したことを示します。51のような低めのスコアは、Macie がバケット内で中程度の数のオブジェクト (バケット内のオブジェクトの総数と比較して) を分析し、それらのオブジェクト内の機密データのタイプと出現を少なくとも数種類検出したことを示します。
100 機密

スコアは手動でバケットに割り当てられ、計算されたスコアは上書きされました。Macie はこのスコアをバケットに割り当てません。

機密スコアの監視

アカウントで機密データの自動検出が最初に有効になると、Amazon Macie はアカウントが所有する各 S3 バケットに 50 の機密性スコアを自動的に割り当てます。Macie は、アカウントのバケットインベントリにバケットが追加されると、このスコアをバケットにも割り当てます。そのスコアに基づいて、各バケットの機密ラベルは分析が未完了です。例外は空のバケットです。これは、オブジェクトを保存しないバケット、またはバケット内のすべてのオブジェクトにゼロ (0) バイトのデータが含まれています。その場合、Macie はバケットに1のスコアを割り当て、バケットの機密ラベルは非機密とします。

自動機密データ検出が毎日進行するにつれて、Macie は分析結果を反映するように S3 バケットの機密性スコアとラベルを更新します。例:

  • Macie がオブジェクト内に機密データを見つけられない場合、Macie はバケットの機密性スコアを下げ、必要に応じて機密性ラベルを更新します。

  • Macie がオブジェクト内の機密データを検出すると、Macie はバケットの機密性スコアを引き上げ、必要に応じて機密性ラベルを更新します。

  • Macie が後から変更されたオブジェクトで機密データを検出した場合、Macie はバケットの機密性スコアからオブジェクトの機密データ検出を削除し、必要に応じて機密性ラベルを更新します。

  • Macie がオブジェクト内の機密データを検出し、その後削除された場合、Macie はバケットの機密性スコアからオブジェクトの機密データ検出を削除し、必要に応じて機密性ラベルを更新します。

  • オブジェクトが以前に空だったバケットに追加され、Macie がオブジェクト内の機密データを検出した場合、Macie はバケットの機密性スコアを増やし、必要に応じて機密性ラベルを更新します。

  • バケットのアクセス許可設定により、Macie がバケットまたはバケットのオブジェクトに関する情報にアクセスまたは取得できない場合、Macie はバケットの機密性スコアを 50 に変更し、バケットの機密性ラベルを未分析 に変更します。

分析結果は、アカウントの機密データの自動検出を有効にしてから 48 時間以内に表示され始めることができます。

組織の Macie 管理者である場合、またはスタンドアロンの Macie アカウントをお持ちの場合は、組織またはアカウントの機密スコア設定を調整できます。

  • 後続のすべての S3 バケットの分析の設定を調整するには、アカウントの設定を変更します。特定のマネージドデータ識別子、カスタムデータ識別子、または許可リストの包含または除外を開始できます。特定のバケットを除外することもできます。詳細については、「自動検出設定の設定」を参照してください。

  • 個々の S3 バケットの設定を調整するには、各バケットの設定を変更します。バケットのスコアには、特定のタイプの機密データを含めることも除外することもできます。また、自動計算されたスコアをバケットに割り当てるかどうかを指定することもできます。詳細については、「S3 バケットの感度スコアの調整」を参照してください。

自動機密データ検出を無効にすると、効果は既存の機密性スコアとラベルによって異なります。組織内のメンバーアカウントに対して無効にすると、アカウントが所有する S3 バケットに対して既存のスコアとラベルが保持されます。組織全体またはスタンドアロン Macie アカウントで無効にした場合、既存のスコアとラベルは 30 日間のみ保持されます。30 日後、Macie は組織またはアカウントが所有するすべてのバケットのスコアとラベルをリセットします。バケットがオブジェクトを保存する場合、Macie はスコアを 50 に変更し、未分析のラベルをバケットに割り当てます。バケットが空の場合、Macie はスコアを 1 に変更し、機密性のないラベルをバケットに割り当てます。このリセット後、Macie は、組織またはアカウントの機密データの自動検出を再度有効にしない限り、バケットの機密性スコアとラベルの更新を停止します。