AWS Audit Manager のよくある質問

全般

AWS Audit Manager は、AWS の使用状況を継続的に監査してリスクとコンプライアンを簡単に評価します。Audit Manager は証拠収集を自動化して、ポリシー、手順、および活動 (コントロールとも呼ばれる) が効果的に機能しているかどうかを簡単に評価できるようにします。監査シーズンになると、AWS Audit Manager を使用して、コントロールの利害関係者によるレビューを管理し、手動作業を大幅に減らして監査に対応するためのレポートを作成できます。 

  • AWS の使用状況を制御するために簡単にマッピングする - AWS Audit Manager は、医療保険の相互運用性と説明責任に関する法令 (HIPAA)、一般データ保護規則 (GDPR)、PCI データセキュリティスタンダード (PCI DSS) など、よく知られた業界標準や規制の要件を制御するための AWS リソースのマッピングを含むビルド済みのフレームワークを提供します。
  • 証拠の自動収集で時間を節約する - AWS Audit Manager は、各制御要件で定義されている証拠を自動的に収集して整理することで時間を節約します。
  • チーム間のコラボレーションを合理化する - AWS Audit Manager は、監査の利害関係者とのコラボレーションを合理化する際に役立ちます。委任機能を使用すれば、評価のコントロールを対象分野の専門家に割り当ててレビューを行うなどのことができます。
  • 監査対応レポートを作成する準備を継続的に行う - 監査マネージャーが継続的に収集して安全に保管する証拠は、制御によって指定された要件を準拠していることを実証するために必要な情報を含む記録となります。
  • 評価レポートと証拠の整合性を確保する - AWS Audit Manager は、エンドユーザーへの読み取り専用権限を持つ独自のマネージドストレージリポジトリに証拠を保存します。監査対応レポートを生成すると、Audit Manager がレポートファイルのチェックサムを生成するため、レポートの証拠が変更されていないことを検証できます。

AWS Audit Manager の構築済みフレームワークは、AWS リソースの使用状況を、CIS AWS Foundations Benchmark、一般データ保護規則 (GDPR)、PCI データセキュリティスタンダード (PCI DSS) などの業界標準または規制の要件にマッピングする際に役に立ちます。また、独自のビジネス要件を満たすのに役立つよう、事前構築済みのフレームワークとそのコントロールの編集可能なコピーを作成することもできます。

AWS Audit Manager を使用すれば、証拠の手動収集、レビュー、および管理から、証拠収集を自動化し、証拠保全を簡単に追跡する方法を提供します。また、チームワークのコラボレーションを可能にし、証拠のセキュリティと整合性の管理を支援するソリューションに移行できるようにします。Audit Manager を使用して、継続的監査とコンプライアンスをサポートしたり、内部リスクの評価を行ったりすることもできます。

それらは互いに補完し合うため、両方を使用する必要があります。AWS Audit Manager は、規制および業界標準へのコンプライアンスを継続的に評価するために、監査およびコンプライアンスの専門家によって使用されます。AWS Security Hub は、セキュリティとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。Security Hub は、さまざまな業界および規制のフレームワークに合わせて自動化されたセキュリティチェックを実施します。Audit Manager は、これらの Security Hub チェックによって生成された検出結果を証拠とすることができるような形式で自動的に収集し、AWS CloudTrail ログなどの他の証拠と組み合わせて、お客様が評価レポートを生成できるようにします。Audit Manager は、サポートされている各フレームワークのコントロールの完全なセットをカバーします。これには、自動化された証拠が関連付けられているコントロールや、インシデント対応計画の存在など、手動で証拠をアップロードする必要があるコントロールが含まれます。Security Hub は、Audit Manager でサポートされている各フレームワークのコントロールのサブセットのセキュリティチェックを介して自動化された証拠を生成することに重点を置いています。CloudTrail などの他の AWS のサービスからの証拠、またはユーザーによってアップロードされる、人間が用意する証拠を必要とするコントロールは、Security Hub の対象外です。

AWS Audit Manager の料金は、各リージョンのアカウントごとに実行されたリソース評価の数に基づいています。フレームワークに基づいて評価を定義して起動すると、Audit Manager は、Amazon EC2 インスタンス、Amazon RDS インスタンス、Amazon S3 バケット、Amazon VPC サブネットなどの個々のリソースごとにリソースの評価を実施します。リソース評価は、証拠を収集、保存、および管理するプロセスであり、リスクと業界標準や規制への準拠を評価するために使用できます。詳細については、「AWS Audit Manager の料金」をご覧ください。

いいえ。AWS Audit Manager は、監査証拠の収集と準備を支援します。AWS は法的要件またはコンプライアンスに関するアドバイスは提供していませんが、監査証拠を手動で作成および収集のために費やす数千時間を節約することで、リスクの修復と監査計画に集中できるようにします。

AWS Audit Manager はリージョン別のサービスです。このため、収集されたすべての証拠がリージョンに基づいており、AWS リージョンの境界を超えないことを保証します。リージョンの証拠を表示するには、各リージョンで Audit Manager を有効にする必要があります。

AWS Audit Manager のリージョン別の可用性については、AWS リージョン別のサービス一覧をご参照ください。

AWS Audit Manager は、さまざまな規制や業界スタンダードに対する AWS のベストプラクティスに基づいて構築済みの標準フレームワークを提供します。AWS Audit Manager で事前に構築されたフレームワークには、AWS Control Tower、AWS License Manager、CIS AWS Foundations Benchmark 1.2.0 および 1.3.0、CIS Controls v7.1 実装グループ 1、FedRAMP Moderate、一般データ保護規則 (GDPR)、GxP 21 CFR パート 11、医療保険の相互運用性と説明責任に関する法令 (HIPAA)、PCI データセキュリティスタンダード (PCI DSS) v3.2.1、サービス組織管理 2 (SOC 2)、および NIST 800-53 (Rev 5) が含まれます。サポートされているフレームワークの詳細なリストは、AWS Audit Manager ドキュメントをご覧ください。

AWS Audit Manager は、エンドユーザーへの読み取り専用権限を持つ独自のマネージドストレージリポジトリに証拠を保存します。AWS Audit Manager を使用すれば、S3 バケットにまとめのドキュメントと証拠フォルダを含む評価レポートを生成できます。

現在、AWS Audit Manager は最大 2 年の証拠データを独自のマネージドストレージリポジトリに保存しています。証拠データは 2 年後に削除されます。

  • 各アカウントのアクティブな評価の数: 100 
  • 各アカウントのカスタムコントロールの数: 500 
  • 各アカウントのカスタムフレームワークの数: 100

詳細については、「Understanding quotas and restrictions for AWS Audit Manager」をご覧ください。 

主要な概念

フレームワークは、事前に構築された、または顧客が定義したコントロールのコレクションに指定することができます。これらの制御は、PCI DSS、HIPAA、GDPR、または内部リスクガバナンスの指針となる原則など、指定されたコンプライアンスまたは業界標準の要件に沿って編成およびグループ化されています。

コントロールは、コンプライアンス要件など、特定のルールに準拠する手順の実装方法を説明する規範的な内容です。これにより、組織で使用されるリソースが意図したとおりに動作し、データの信頼性が高く、組織が適用される法律や規制に準拠していることが合理的に保証されます。

AWS Audit Manager を使用すれば、独自のコントロールを定義して特定のデータソースから証拠を収集し、固有のコンプライアンス要件を満たすのに役立てることができます。

共通コントロールは、重複するさまざまなコンプライアンス義務をサポートできる証拠を収集します。各共通コントロールは、AWS マネージドデータソースの事前定義されたグループから証拠を収集する 1 つ以上のコアコントロールで設定されます。規制や標準が変更され、新しいデータソースが特定されると、AWS はこれらの基盤となるデータソースを更新します。

AWS Audit Manager の評価は、AWS Audit Manager フレームワークの実装です。フレームワークを開始点として使用して、評価を作成し、監査範囲に含める AWS アカウントを定義できます。評価が作成されると、AWS Audit Manager は、フレームワークで定義されたコントロールに基づいて、AWS アカウントとサービスリソースの自動評価を開始します。次に、関連する証拠を収集し、監査人にとってわかりやすい形式に変換してから、評価のコントロールに添付します。

リソース評価は、証拠を収集、保存、および管理するプロセスであり、リスクと業界標準や規制への準拠を評価するために使用できます。評価フレームワークに基づいて評価を定義して起動すると、Audit Manager は、Amazon EC2 インスタンス、Amazon RDS インスタンス、Amazon S3 バケット、Amazon VPC サブネットなどの個々のリソースごとにリソースの評価を実施します。

証拠は、コントロールによって指定された要件への準拠を実証するために必要な情報を含む記録となります。証拠の例としては、ユーザーによってトリガーされた変更アクティビティや、システム構成のスナップショットなどがあります。

評価レポートは、AWS Audit Manager の評価から生成された最終的なドキュメントです。レポートには、監査のために収集された関連証拠の要約が記載されています。レポートには、評価で指定されたコントロールに沿って名前が付けられ、編成された証拠フォルダにリンクされます。

開始方法

AWS マネジメントコンソール、AWS CLI、または API を介して AWS Audit Manager を設定することから始めることができます。AWS Audit Manager のドキュメントには、AWS Audit Manager を実践的に概説する開始方法チュートリアルが含まれています。このチュートリアルでは、標準のフレームワークを使用して評価を作成し、証拠の自動収集を開始できます。

はい、AWS Audit Manager は、AWS Organizations との統合を通じて複数のアカウントをサポートします。AWS Audit Manager と AWS Organizations の統合により、複数のアカウントに対して AWS Audit Manager 評価を実施し、委任された管理者アカウントに証拠を統合できます。

フレームワークから評価を起動するときに AWS アカウントを選択することで、範囲を指定できます。使用されるフレームワークは、AWS Audit Manager が証拠を収集する AWS サービスを定義します。 

AWS Audit Manager での作業

AWS Audit Manager は、各制御要件で定義されている証拠を自動的に収集して整理することで時間を節約します。Audit Manager を使用すれば、関連する証拠のレビューに集中して、コントロールが意図したとおりに機能していることを確認できます。監査シーズンになると、AWS Audit Manager を使用して、コントロールの利害関係者によるレビューを管理し、手動作業を大幅に減らして監査に対応するためのレポートを作成できます。委任機能を使用すれば、評価のコントロールを対象分野の専門家に割り当ててレビューを行うなどのことができます。関連する証拠を確認して選択すると、レポートの概要と詳細な証拠が入っている一連のフォルダを含め、監査対応レポートを作成する準備が整います。

Audit Manager では、評価の要約ビューをいつでも使用できます。要約には、評価の詳細、コントロール、評価レポート、範囲内の AWS アカウント、監査所有者、タグ、および変更ログが含まれます。また、評価に記載されている各コントロールをクリックして、収集された証拠の確認、コメントの追加、手動での証拠アップロード、変更ログの確認、コントロール状態の更新、チームメンバーへの委任など、各コントロールに関連する詳細情報を確認および更新することもできます。

AWS Audit Manager を使用すれば、コントロールのコレクションを含む一連のコントロールを別のユーザーに委任してレビューすることができます。委任者は、証拠を確認し、コメントを追加し、手動で証拠をアップロードして、一連のコントロール内の各コントロールのコントロール状態を更新することができます。代理人はレビューを送信して、一連のコントロールと関連するコメントを確認し、最終的にその一連のコントロールのレビューを完了することができます。

フレームワークライブラリは、AWS Audit Manager のフレームワークにアクセスして管理できる中心場所です。これには、PCI DSS、CIS Foundation Benchmark、HIPAA などの Audit Manager によって事前に構築された標準フレームワークと、定義済みのカスタムフレームワークのカタログが含まれています。カスタムフレームワークを作成するには 2 つの方法があります。既存のフレームワークの編集可能なコピーを作成することも、新しいフレームワークを最初から作成することもできます。カスタムフレームワークを作成する場合、Audit Manager コントロールライブラリからコントロールを追加し、独自の要件に合う方法でコントロールを一連のコントロールに編成できます。

コントロールライブラリは、AWS Audit Manager のコントロールにアクセスして管理できる中心場所です。これには、Audit Manager によって事前に作成された標準コントロールとユーザーが定義したカスタムコントロールのカタログが含まれています。カスタムコントロールを作成するには 2 つの方法があります。既存のフレームワークの編集可能なコピーを作成することも、新しいコントロールを最初から作成することもできます。カスタムコントロールを作成する際に、コントロール名、説明、テスト情報、および Audit Manager が自動的に証拠を収集する証拠ソースを指定できます。また、組織や操作手順など、システム以外の証拠を必要とするコントロールをサポートするために、手動の証拠のみを要求するカスタムコントロールを作成することもできます。

AWS Audit Manager は、次の 4 つのデータソースタイプから証拠を自動的に収集できます。

  • AWS CloudTrail – S3 バケットの暗号化ポリシーの変更など、CloudTrail ログからユーザーアクティビティをキャプチャします。結果は、ユーザーアクティビティの証拠としてインポートされます。
  • AWS Security Hub – PCI DSS コントロールに関連する Security Hub チェックなど、Security Hub から検出結果を収集します。結果は、コンプライアンスチェックの証拠としてインポートされます。
  • AWS Config – HIPAA コントロールに関連する AWS Config ルールなど、AWS Config から直接ルール評価を収集します。結果は、コンプライアンスチェックの証拠としてインポートされます。
  • AWS API コール – EC2 インスタンス設定など、リソーススナップショットをキャプチャします。応答は、設定データの証拠としてインポートされます。

Audit Manager でカスタムコントロールを設定する場合は、[AWS managed sources](AWS マネージドソース) を選択することをお勧めします。これらは、共通コントロールまたはコアコントロールを表すデータソースの事前定義されたグループです。AWS マネージドソースが更新されるたびに、これらのソースを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。

あるいは、[Customer managed sources](カスタマーマネージドソース) を選択して、独自のデータソースを定義することもできます。これにより、手動で取得した証拠を追加したり、カスタム AWS Config ルールなどのビジネス固有のリソースから自動証拠を収集したりする柔軟性が得られます。

AWS Audit Manager では、以下に説明するように、証拠のタイプによって証拠収集の頻度が異なります。

  • リソース構成のスナップショットを含む構成データ証拠の種類は、AWS サービス (EC2、S3、RDS、VPC など) から毎日、毎週、または毎月の頻度で直接キャプチャされます。Audit Manager でこの頻度を設定できます。
  • ユーザーアクティビティの証拠タイプは、リソース構成の変更によってトリガーされたときに AWS CloudTrail ログからキャプチャされます。
  • AWS Security Hub や AWS Config からの結果を含むコンプライアンスチェックの証拠タイプは、これら 2 つのサービスで定義された頻度に沿ってキャプチャされます。これは定期的に行うことも、リソース構成の変更によってトリガーすることもできます。

AWS Security Hub は、AWS のベストプラクティスと業界標準に基づく自動セキュリティチェックを使用して環境を監視するため、検出結果に対して修正アクションを実行できます。AWS Audit Manager は、CIS Foundations Benchmark や PCI など、サポートされているコンプライアンス標準の Security Hub の結果をインポートします。AWS Audit Manager は自動的に追加の分析を実施し、収集された Security Hub の結果に注釈を追加して、AWS Security Hub によって監視されている AWS サービスの証拠を生成します。

AWS CloudTrail を使用すると、AWS インフラストラクチャ全体でアクションに関連するアカウントアクティビティをログに記録し、継続的に監視し、保持できます。Audit Manager は、CloudTrail からログデータを直接収集し、追加の分析を実施します。Audit Manager はデータに注釈を付けて、AWS CloudTrail にログをフィードする AWS サービスの証拠を 175 件以上自動的に生成します。

AWS Config では、AWS リソースの設定が継続的にモニタリングおよび記録されるため、お客様は、特定の設定内容ついての記録を自動的に評価できるようになります。AWS Audit Manager は、AWS Config からログデータを収集し、追加の分析を実施します。Audit Manager は、そのデータに注釈を付けて、AWS Config によって監視されている AWS サービスの証拠を自動的に生成します。

AWS Control Tower では、新しくセキュアなマルチアカウントの AWS 環境を、セットアップし管理するための最も簡単な方法が提供されます。このサービスは、AWS が何千ものエンタープライズのクラウド移行業務を通して確立した、ベストプラクティスに基づいています。AWS Audit Manager は、Control Tower からガードレールログをインポートし、追加の分析を実施します。Audit Manager は、そのデータに注釈を付けて、Control Tower ガードレールログによって追跡される AWS サービスの証拠を自動的に生成します。

Amazon EventBridge は、イベントを使用してアプリケーションコンポーネント同士を接続するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを簡単に構築できます。EventBridge ルールを使用すると、評価が作成、編集、または削除されるたびに、状態変更通知などの Audit Manager イベントを検出して対応できます。EventBridge ルールを使用して、委任ワークフローや評価制御レビューステータスの変更を検出することもできます。

Amazon Bedrockは、Amazon やその他大手 AI 企業の基盤モデル (FM) を API を通じて利用できるようにする完全マネージド型サービスです。これにより、既存の大規模言語モデル (LLM) を組織データで個人的に調整できます。AWS Audit Manager は、Amazon Bedrock のお客様向けに生成系 AI ベストプラクティスフレームワークを提供します。このベストプラクティスフレームワークは、生成系 AI モデルとアプリケーションを実行しているアカウントに AWS Audit Manager を介してデプロイし、意図したポリシーの遵守状況を監視するのに役立つ証拠を収集できます。

AWS Audit Manager は、AWS パートナーであり、ガバナンス、リスク、コンプライアンス (GRC) ソリューションプロバイダーである MetricStream と統合しました。この統合により、AWS の使用状況と構成の証拠を Audit Manager からMetricStream CyberGRCに直接インポートできます。詳細は、Audit Manager ドキュメントをご参照ください。