すべてのプロダクト
Search

このプロダクト

    Data Security Center:データ検出および対応機能に OSS バケットへのアクセスを承認し、AccessKey ペアインテリジェンスを追加する

    ドキュメントセンター

    Data Security Center:データ検出および対応機能に OSS バケットへのアクセスを承認し、AccessKey ペアインテリジェンスを追加する

    最終更新日:Jan 07, 2025

    データ検出および対応機能を使用してオブジェクトストレージサービス(OSS)バケット内の AccessKey ペアを確認する前に、機能にバケットへのアクセスを承認する必要があります。 AccessKey ペアが漏洩または漏洩の可能性がある場合は、Data Security Center (DSC) に AccessKey ペアを追加できます。 これにより、データ検出および対応機能を使用して、AccessKey ペアを使用した異常なオブジェクトアクセスを追跡できます。 データ検出および対応機能は、OSS バケット内のアクセスされたオブジェクトを監視し、アラートを生成して、データ漏洩のリスクをできるだけ早く特定して対応できるようにします。

    前提条件

    背景情報

    AccessKey ペアの漏洩検出と異常アクセスアラートの動作原理と制限の詳細については、「OSS データ漏洩検出」をご参照ください。

    制限

    セルフマネージド AccessKey ペアインテリジェンスを追加する場合は、次の情報に注意してください。

    • 現在のアカウントで複数アカウント管理機能が有効になっている場合、最大 100 万個の AccessKey ペアを追加できます。 複数アカウント管理機能の詳細については、「複数アカウント管理機能を使用する」をご参照ください。

    • 現在のアカウントで複数アカウント管理機能が無効になっている場合、最大 10,000 個の AccessKey ペアを追加できます。

    • 一度に複数の AccessKey ペアをアップロードする場合は、AccessKey ペアファイルを .xlsx 形式で保存し、ファイルサイズが 10 MB を超えないようにする必要があります。

    データ検出および対応機能に OSS バケットへのアクセスを承認する

    データ検出および対応機能を使用して OSS バケット内の AccessKey ペアの漏洩と異常なオブジェクトアクセスを確認する前に、DSC にバケットへのアクセスを承認する必要があります。 手順:

    1. DSC コンソール にログオンします。

    2. 左側のナビゲーションペインで、Data Detection and Response > [OSS データ漏洩 (accesskey ペアシナリオ)] を選択します。

    3. [OSS データ漏洩 (accesskey ペアシナリオ)] ページに初めてアクセスする場合は、[すぐに承認] をクリックします。 [アセット承認構成] ページで、次の操作を実行して、データ検出および対応機能に OSS バケットへのアクセスを承認します。

      image

      1. 必要なバケットを見つけ、[アクション] 列の [承認] をクリックします。 複数のバケットを選択し、リストの下にある [今すぐ承認] をクリックすることもできます。

      2. 承認が完了したら、[今すぐ試す] をクリックします。

    4. 後でデータ検出および対応機能にさらに OSS バケットへのアクセスを承認する場合は、[OSS データ漏洩 (accesskey ペアシナリオ)] ページに移動し、[承認統計] セクションの [すぐに承認] をクリックします。

    5. [アセット承認構成] パネルで、[アセット同期] をクリックします。

      DSC を購入し、[ようこそ] ページで承認を完了すると、DSC はクラウド内のアセットを自動的に同期します。 この場合、アセットを手動で同期する必要はありません。 DSC は毎日 00:00 に新しいアセットをスキャンし、新しいアセットを未承認アセットのリストに自動的に同期します。 当日に作成されたアセットにデータ検出および対応機能のアクセスを承認する場合は、アセットを手動で同期する必要があります。

    6. [未承認] をクリックし、必要なバケットを見つけて、[アクション] 列の [承認] をクリックします。

      データ検出および対応機能に複数のアセットへのアクセスを承認する場合は、アセットを選択し、リストの下にある [一括承認] をクリックします。

      重要

      現在のアカウントで複数アカウント管理機能が有効になっている場合、メンバーの UID に基づいてメンバーの OSS バケットを選択できます。 複数アカウント管理機能を有効にする方法の詳細については、「複数アカウント管理機能を使用する」をご参照ください。

    7. データ検出および対応機能を有効にした後の最初の 1 か月間、DSC はデフォルトのデータ識別タスクを自動的に作成および実行して、機密情報をスキャンおよび分類します。

      デフォルトのデータ識別タスクは、[インターネット業界向けの組み込み分類テンプレート] をメインテンプレートとして使用して、承認されたバケットとオブジェクト内の機密情報をスキャンおよび分類します。 コンソールでデフォルトのデータ識別タスクを表示および管理することはできません。

      データ検出および対応機能を有効にした 1 か月後、カスタムデータ識別タスクを手動で作成する必要があります。 カスタムデータ識別タスクを作成する場合は、[スコープ] パラメーターを [アセットタイプ] に設定し、[アセットタイプ] ドロップダウンリストから [OSS] を選択し、[スキャンスコープ] パラメーターを [スキャンスコープを指定] に設定し、[バケット] ドロップダウンリストからデータ検出および対応機能がアクセスを承認されているバケットを選択します。 これにより、バケット内の機密データをさまざまなレベルに分類できます。 詳細については、「カスタム識別タスクを作成する」をご参照ください。

    セルフマネージド AccessKey ペアインテリジェンスを追加する

    AccessKey ペアが漏洩、漏洩の可能性がある、または不正アクセスに使用されている場合、または特定の AccessKey ペアを使用してアクセスされたオブジェクトをクエリする場合、AccessKey ペアをデータ検出および対応機能のインテリジェンスソースに追加できます。 DSC は、AccessKey ペアを使用してアクセスされたオブジェクトを確認し、Data Detection and Response > [OSS データ漏洩 (accesskey ペアシナリオ)] ページにアラートを生成します。

    説明

    GitHub または承認されたバケットで AccessKey ペアの漏洩が検出されない場合、AccessKey ペアを使用して承認されたバケットにアクセスしても、Data Detection and Response > [OSS データ漏洩 (accesskey ペアシナリオ)] ページにはアラートは表示されません。 AccessKey ペアを使用して承認されたバケットへのアクセスイベントを表示する場合は、AccessKey ペアをセルフマネージド AccessKey ペアインテリジェンスに追加する必要があります。

    1. DSC コンソール にログオンします。

    2. 左側のナビゲーションペインで、Data Detection and Response > [OSS データ漏洩 (accesskey ペアシナリオ)] を選択します。

    3. [OSS データ漏洩 (accesskey ペアシナリオ)] ページの [accesskey ペアの漏洩] セクションで、[セルフマネージドインテリジェンス] カードの [インテリジェンスを追加] をクリックします。

    4. [インテリジェンス管理] パネルで、[インテリジェンスを追加] をクリックします。

      image

    5. 次のいずれかの方法を使用して、AccessKey ペアを追加します。

      • 手動インポート

        image

        [手動インポート] タブで、管理する AccessKey ペアの ID を [accesskey ID] フィールドに入力し、[漏洩ステータス] パラメーターと [備考] パラメーターを構成し、[OK] をクリックします。 漏洩ステータス パラメーターの有効な値は、漏洩、漏洩なし、または漏洩の疑いがあります。

        データ検出および対応機能がバケットへのアクセスを承認されており、少なくとも 1 回のチェックが実行されている場合、DSC はバケットへのアクセスに使用された AccessKey ペアを記録し、サンプルデータとして情報を要約します。 [プレビュー] をクリックして AccessKey ペアをコピーできます。

      • 一括アップロード

        image

        1. [一括アップロード] タブで、[テンプレートをダウンロード] をクリックして、.xlsx 形式の AccessKey ペアテンプレートファイルを取得します。 AccessKeyIdStatus、および Comment パラメーターを構成します。 AccessKeyId は、[accesskey ペアの ID] を示します。 [ステータス] パラメーターの有効な値は、漏洩、漏洩なし、または漏洩の疑いがあります。

          データ検出および対応機能がバケットへのアクセスを承認されており、少なくとも 1 回のチェックが実行されている場合、DSC はバケットへのアクセスに使用された AccessKey ペアを記録し、情報をテンプレートファイルに要約して保存します。 次の図は、テンプレートファイルを示しています。

          image

        2. テンプレートファイルを保存します。

        3. [一括アップロード] タブに戻り、[ローカルファイルを表示] または image アイコンをクリックして、保存した .xlsx 形式のテンプレートファイルをインポートします。

        4. [OK] をクリックします。

    次のステップ

    • データ検出および対応機能を有効にした後の翌月には、DSC はデフォルトのデータ識別タスクを自動的に作成または実行しなくなります。 承認された OSS アセットのカスタムデータ識別タスクを作成および実行する必要があります。 詳細については、「識別タスクを使用して機密データを識別する」をご参照ください。

    • 漏洩した AccessKey ペアに関する情報、および漏洩した AccessKey ペアと AccessKey ペアインテリジェンスに追加された AccessKey ペアを使用して承認されたバケットとオブジェクトにアクセスしたアラートイベントを表示します。 これにより、リスクを特定し、リスクの影響を評価し、処理方法を選択できます。 詳細については、「漏洩した AccessKey ペアと異常な AccessKey ペアベースのアクセスのアラートを表示する」をご参照ください。

    • DSC によって提供されるアラートの詳細と対応策に基づいて、AccessKey ペアの漏洩イベントを処理します。 たとえば、影響を受ける AccessKey ペアを無効にして不正アクセスを防止したり、影響を受けるオブジェクトに対してより厳格なポリシーを構成したりできます。 詳細については、「AccessKey ペアの漏洩アラートと異常なアクセスアラートを処理する」をご参照ください。

    参考資料

    • データ識別タスクによって識別された機密レベルタグを、OSS バケット内のオブジェクトのタグとして OSS に同期できます。 これにより、オブジェクトのタグに基づいてオブジェクトの権限を管理できます。 詳細については、「機密レベルタグを OSS オブジェクトに同期する」をご参照ください。

    • 漏洩した AccessKey ペアと AccessKey ペアインテリジェンスに追加された AccessKey ペアを使用してリソースにアクセスしたときに生成されるアラートイベントを取得し、データ漏洩のリスクを特定します。 詳細については、「異常な AccessKey ペアベースのアクセスのアラート通知を構成する」をご参照ください。