翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Macie の検出結果のタイプ
Amazon Macie は、2 つのカテゴリの調査結果を生成します: *ポリシーの調査結果*と*機密データの調査結果*。ポリシー検出結果**は、Amazon Simple Storage Service (Amazon S3) 汎用バケットのセキュリティまたはプライバシーに関する潜在的なポリシー違反の詳細レポートです。Macie は、継続的な活動の一部としてポリシーの検出結果を作成し、セキュリティとアクセスコントロールについて汎用バケットを評価および監視します。機密データの検出結果は、Macie が S3 オブジェクトで検出した機密データの詳細レポートです。Macie は、お客様がアカウントに対して機密データ検出ジョブを行なったり、機密データ自動検出を実行したりする際の活動の一部として、機密データ検出結果を生成します。
各カテゴリには特定のタイプがあります。検出結果のタイプによって、Macie が検出した問題の性質や機密データに対する洞察が得られます。検出結果の詳細では、[重要度評価](findings-severity.md)、影響を受けたリソースに関する情報、および Macie が問題や機密データを検出したタイミングと方法などの追加情報が示されます。各検出結果の重要度と詳細は、その検出結果のタイプと性質によって異なります。
**Topics**
+ [ポリシー検出結果のタイプ](#findings-policy-types)
+ [機密データ検出結果のタイプ](#findings-sensitive-data-types)
**ヒント**
Macie が生成できるさまざまなカテゴリとタイプの調査結果を探索して学ぶために、[検出結果のサンプルを作成](findings-samples.md) 。検出結果のサンプルでは、データ例とプレースホルダー値を使用して、各タイプの調査結果に含まれる可能性のある情報の種類を示します。
## ポリシー検出結果のタイプ
Amazon Macie は、S3 汎用バケットのポリシーまたは設定に対し、バケットとバケットのオブジェクトのセキュリティまたはプライバシーを低下させる変更があったときに、ポリシーの検出結果を生成します。Macie がこれらの変更を検出して評価する方法については、「」を参照してください[Macie が Amazon S3 データセキュリティをモニタリングする方法](monitoring-s3-how-it-works.md)。
Macie は、 で Macie を有効にした後に変更が発生した場合にのみポリシー結果を生成することに注意してください AWS アカウント。例えば、Macie を有効にした後に、S3 バケットに対しパブリックアクセスブロック設定を無効化した場合、Macie はバケットの検出結果 **Policy:IAMUser/S3BlockPublicAccessDisabled** を生成します。Macie を有効にしてから、パブリックアクセスブロック設定が引き続き無効になっているときに、パブリックアクセスブロック設定がバケットで無効になった場合、Macie は **Policy:IAMUser/S3BlockPublicAccessDisabled** 検出結果をバケットで生成しません。
既存のポリシー検出結果にその後の出現を検出すると、Macie はその後の出現に関する詳細を追加し、出現カウント数を加えて検出結果を更新します。Macie は 90 日間検出結果を保存します。
Macie は S3 汎用バケットに対して次のタイプのポリシーの検出結果を生成できます。
**Policy:IAMUser/S3BlockPublicAccessDisabled**
バケットレベルのパブリックアクセスブロック設定がバケットに対し無効になりました。バケットへのパブリックアクセスは、アカウントのブロックパブリックアクセス設定、アクセスコントロールリスト (ACLs)、バケットのバケットポリシー、およびバケットに適用されるその他の設定とポリシーによって制御されます。
検出結果を調査するには、まず Macie [でバケットの詳細を確認します](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。詳細には、バケットのパブリックアクセス設定の内訳が含まれます。設定の詳細については、「Amazon *Simple Storage Service ユーザーガイド*」の「Amazon S3 ストレージへのアクセス[コントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)とパブリックアクセスのブロック」を参照してください。 [ Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)
**Policy:IAMUser/S3BucketEncryptionDisabled**
バケットのデフォルトの暗号化設定は、Amazon S3 マネージドキーを使用して新しいオブジェクトを自動的に暗号化するデフォルトの Amazon S3 暗号化動作にリセットされました。
2023 年 1 月 5 日以降、Amazon S3 はバケットに追加されるオブジェクトに対して、基本レベルの暗号化として Amazon S3 管理キー (SSE-S3) によるサーバーサイド暗号化を自動的に適用します。オプションで、 AWS KMS キーによるサーバー側の暗号化 (SSE-KMS) または キーによる二層式サーバー側の暗号化 AWS KMS (DSSE-KMS) を使用するようにバケットのデフォルトの暗号化設定を設定できます。Macie が 2023 年 1 月 5 日より前にこのタイプの検出結果を生成した場合、その検出結果では、デフォルトの暗号化設定が影響するバケットでは無効になっていたことが示されます。つまり、バケットの設定では、新しいオブジェクトに対するデフォルトのサーバー側の暗号化動作が指定されていなかったということです。バケットのデフォルトの暗号化設定を無効にする機能は、Amazon S3 ではサポートされなくなりました。
S3 バケットのデフォルト暗号化設定とオプションについては、Amazon Simple Storage Service ユーザーガイドの[S3 バケットのデフォルトのサーバー側の暗号化動作の設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)を参照してください。
**Policy:IAMUser/S3BucketPublic**
匿名ユーザーまたはすべての認証された AWS Identity and Access Management (IAM) ID によるアクセスを許可するように、バケットの ACL またはバケットポリシーが変更されました。
検出結果を調査するには、まず Macie [でバケットの詳細を確認します](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)。詳細には、バケットのパブリックアクセス設定の内訳が含まれます。S3 バケットACLs、バケットポリシー、アクセス設定の詳細については、*Amazon Simple Storage Service ユーザーガイド*の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」を参照してください。
**Policy:IAMUser/S3BucketReplicatedExternally**
レプリケーションが有効になっており、組織の外部 (一部ではない) の バケットからバケットにオブジェクト AWS アカウント をレプリケートするように設定されています。*組織は*、 を通じて、 AWS Organizations または Macie の招待によって関連アカウントのグループとして一元管理される Macie アカウントのセットです。
特定の条件下で、Macie は、外部 のバケットにオブジェクトをレプリケートするように設定されていないバケットに対して、このタイプの検出結果を生成することがあります AWS アカウント。これは、Macie AWS リージョン が[毎日の更新サイクル](monitoring-s3-how-it-works.md#monitoring-s3-how-it-works-data-refresh)の一部として Amazon S3 からバケットとオブジェクトのメタデータを取得した後、過去 24 時間にレプリケート先バケットが別の で作成された場合に発生する可能性があります。
検出結果を調査するには、まず Macie でインベントリデータを更新します。その後、[バケットの詳細を確認](monitoring-s3-inventory-review.md#monitoring-s3-inventory-view-details)します。詳細には、そのバケットが他のバケットにオブジェクトをレプリケートするよう設定されているかどうかが示されます。バケットがそのように設定されている場合、詳細には宛先バケットを所有する各アカウントのアカウント ID が表示されます。S3 バケットのレプリケーション設定の詳細については、*「Amazon Simple Storage Service ユーザーガイド*」の[「オブジェクトのレプリケーション](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html)」を参照してください。
**Policy:IAMUser/S3BucketSharedExternally**
バケットの ACL またはバケットポリシーが変更され、組織の外部 (一部ではない) AWS アカウント の とバケットを共有できるようになりました。*組織は*、 を通じて、 AWS Organizations または Macie の招待によって関連アカウントのグループとして一元管理される Macie アカウントのセットです。
場合によっては、Macie は外部と共有されていないバケットに対してこのタイプの検出結果を生成することがあります AWS アカウント。これは、Macie がバケットポリシー内の `Principal` 要素と、ポリシーの `Condition` 要素内の特定の[AWS グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)または [Amazon S3 条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys)との関係を完全に評価できない場合に発生する可能性があります。これは、次の条件キーの場合に当てはまります。`aws:PrincipalAccount`、、`aws:PrincipalArn``aws:PrincipalOrgID`、、、`aws:PrincipalOrgPaths``aws:PrincipalTag``aws:PrincipalType`、`aws:SourceAccount`、、、`aws:SourceArn`、`aws:SourceIp``aws:SourceOrgID``aws:SourceOrgPaths``aws:SourceVpc`、`aws:SourceVpce`、`aws:userid`、、`s3:DataAccessPointAccount`、、`s3:DataAccessPointArn`。バケットポリシーを確認して、このアクセスが安全かつ意図されたものか判断することをお勧めします。
S3 バケットの ACLs とバケットポリシーの詳細については、*Amazon Simple Storage Service ユーザーガイド*の[「アクセスコントロール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-management.html)」を参照してください。
**Policy:IAMUser/S3BucketSharedWithCloudFront**
バケットポリシーが変更され、バケットを Amazon CloudFront オリジンアクセスアイデンティティ (OAI)、CloudFront オリジンアクセスコントロール (OAC)、または CloudFront OAI と CloudFront OAC の両方と共有できるようになりました。CloudFront OAI または OAC を使用すると、ユーザーは 1 つ以上の指定された CloudFront ディストリビューションを介してバケットのオブジェクトにアクセスできます。
CloudFront の OAI と OAC について詳しくは、Amazon CloudFront デベロッパーガイドの[Amazon S3 オリジンへのアクセスを制限する](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)を参照してください。
**注記**
特定のケースで、Macie はバケットの検出結果 **Policy:IAMUser/S3BucketSharedWithCloudFront** の代わりに **Policy:IAMUser/S3BucketSharedExternally** を生成します。そのケースは以下のとおりです。
バケットは、CloudFront OAI または OAC に加えて、組織の外部 AWS アカウント にある と共有されます。
バケットポリシーが、CloudFront OAI の Amazon リソースネーム (ARN) ではなく、正規ユーザー ID を指定している。
これにより、バケットのポリシー検出結果はより重要度の高いものを生成します。
## 機密データ検出結果のタイプ
Amazon Macie は、機密データを検出するために分析する S3 オブジェクト内で機密データを検出するときに、機密データ検出結果を生成します。これには、お客様が機密データ検出ジョブを実行するとき、または機密データ自動検出が実行されるとき、Macie が実行する分析が含まれます。
例えば、機密データ検出ジョブを作成して実行した場合、Macie が S3 オブジェクト内で銀行口座番号を検出すると、Macie はそのオブジェクトに対する検出結果 **SensitiveData:S3Object/Financial** を生成します。同様に、Macie が機密データ自動検出サイクル中に、分析する S3 オブジェクト内で銀行口座番号を検出すると、Macie はそのオブジェクトに対する検出結果 **SensitiveData:S3Object/Financial** を生成します。
Macie がその後のジョブ実行中または機密データ自動検出サイクル中に同じ S3 オブジェクト内で機密データを検出すると、Macie はそのオブジェクトに対して新しい機密データ検出結果を生成します。ポリシー検出結果とは異なり、機密データ検捨結果はすべて、新規 (一意) として処理されます。Macie は機密データの調査結果を 90 日間保存します。
Macie は、S3 オブジェクトに対して次のタイプの機密データ検出結果を生成することができます。
**SensitiveData:S3Object/Credentials**
オブジェクトには、 AWS シークレットアクセスキーやプライベートキーなどの機密認証情報データが含まれています。
**SensitiveData:S3Object/CustomIdentifier**
オブジェクトには、1 つ以上のカスタムデータ識別子の検出基準に一致するテキストが含まれています。オブジェクトには、複数のタイプの機密データが含まれている場合があります。
**SensitiveData:S3Object/Financial**
オブジェクトには、銀行口座番号やクレジットカード番号など機密性の高い財務情報が含まれます。
**SensitiveData:S3Object/Multiple**
オブジェクトには、1 つ以上のカテゴリの機密データ (1 つ以上のカスタムデータ識別子の検出基準に一致する認証情報データ、財務情報、個人情報、またはテキストの任意の組み合わせ) が含まれます。
**SensitiveData:S3Object/Personal**
オブジェクトには、パスポート番号や運転免許証識別番号などの個人を特定できる情報 (PII)、健康保険や医療識別番号などの個人の健康情報 (PHI)、または PII と PHI の組み合わせのような機密性の高い個人情報が含まれます。
Macie が組み込まれた基準と技術で検出できる機密データのタイプの詳細については、[マネージドデータ識別子の使用](managed-data-identifiers.md) を参照してください。Macie が分析できる S3 オブジェクトのタイプの詳細については、[サポートされているストレージクラスとフォーマット](discovery-supported-storage.md)を参照してください。