を理解する AWS Audit Manager の概念と用語 - AWS Audit Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を理解する AWS Audit Manager の概念と用語

開始しやすくするために、このページでは用語を定義し、 の主要な概念の一部について説明します。 AWS Audit Manager.

A

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

評価

Audit Manager の評価を使用して、監査に関連する証拠を自動的に収集できます。

評価は、監査に関連するコントロールのグループであるフレームワークに基づいています。標準またはカスタムのフレームワークから評価を作成できます。標準フレームワークには、特定のコンプライアンス標準または規制をサポートする構築済みのコントロールセットが含まれています。対照的に、カスタムフレームワークには、特定の監査要件に応じてカスタマイズおよびグループ化できるコントロールが含まれています。フレームワークを開始点として使用して、 AWS アカウント 監査の範囲に含める 。

評価を作成すると、Audit Manager は自動的に のリソースの評価を開始します。 AWS アカウント フレームワークで定義されているコントロールに基づいています。次に、関連する証拠を収集し、監査人が確認しやすい形式に変換します。これを行った後、評価のコントロールに証拠をアタッチします。監査の時間になると、ユーザー (または任意の受任者) は収集された証拠をレビューし、それらの証拠を評価レポートに追加できます。この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。

証拠の収集は、評価を作成したときに開始される継続的なプロセスです。評価ステータスを [inactive] (非アクティブ) に変更することで、証拠の収集を停止できます。または、コントロールレベルで証拠の収集を停止することもできます。これを実行するには、評価内の特定のコントロールのステータスを [inactive] (非アクティブ) に変更します。

評価を作成および管理する方法については、「での評価の管理 AWS Audit Manager」を参照してください。

評価レポート

評価レポートは、 Audit Manager の評価から生成された確定ドキュメントです。これらのレポートは、監査のために収集された関連する証拠を要約したものです。それらのレポートは、関連する証拠のフォルダにリンクしています。フォルダは、評価で指定されたコントロールに従って名前が付けられ、編成されています。各評価について、Audit Manager が収集した証拠をレビューし、評価レポートに含める証拠を決定できます。

評価レポートの詳細については、「評価レポート」を参照してください。評価レポートを生成する方法については、「での評価レポートの準備 AWS Audit Manager」を参照してください。

評価レポートの宛先

評価レポートの送信先は、Audit Manager が評価レポートを保存するデフォルトの S3 バケットです。詳細については、「デフォルトの評価レポートの送信先の設定」を参照してください。

監査

監査とは、組織の資産、オペレーション、または事業上の誠実さを独立して調べることをいいます。情報技術 (IT) 監査は、組織の情報システム内のコントロールを集中的に調べるものです。IT 監査の目的は、情報システムがアセットを保護し、効果的に運用されており、データの完全性を維持しているかどうかを確認することにあります。これらはすべて、コンプライアンス標準または規制によって義務付けられている規制要件を満たすために重要です。

監査所有者

監査所有者という用語には、文脈に応じて 2 つの異なる意味があります。

Audit Manager において、監査所有者とは、評価とその関連リソースを管理する IAM ユーザーまたはロールです。この Audit Manager のペルソナの責任には、評価の作成、証拠のレビュー、および評価レポートの生成が含まれます。Audit Manager はコラボレーションが可能なサービスであり、監査所有者は、他のステークホルダーが評価に参加する際にそのメリットを享受できます。例えば、他の監査所有者を評価に追加して、管理タスクを共有できます。または、ユーザーが監査所有者であり、コントロールのために収集された証拠の解釈についてサポートが必要な場合は、その分野における内容領域専門家であるステークホルダーにそのコントロールセットを委任できます。このような担当者は、受任者ペルソナとして知られています。

ビジネス用語では、監査所有者は、会社の監査準備に向けた取り組みを調整および監督し、監査人に証拠を提示する担当者をいいます。通常、これは、コンプライアンス責任者やGDPRデータ保護責任者などのガバナンス、リスク、コンプライアンス (GRC) の専門家です。GRC プロフェッショナルには、監査の準備を管理するための専門知識と権限があります。より具体的には、これらの専門家はコンプライアンス要件を理解しており、レポートデータを分析、解釈、および準備できます。ただし、他のビジネスロールも監査所有者の Audit Manager ペルソナを引き受けることができ、GRC専門家だけがこのロールを引き受けるわけではありません。例えば、次のいずれかのチームの技術エキスパートに Audit Manager の評価を設定および管理させることもできます。

  • SecOps

  • IT/DevOps

  • セキュリティオペレーションセンター/インシデント対応

  • クラウドアセットを所有、開発、修復、およびデプロイし、組織のクラウドインフラストラクチャを理解している同様のチーム

Audit Manager の評価で監査所有者として誰を割り当てるかは、組織によって大きく異なります。また、セキュリティオペレーションをどのように構成するか、および監査の詳細によっても異なります。Audit Manager では、同じ個人がある評価で監査所有者のペルソナを引き受け、別の評価で委任ペルソナを引き受けることができます。

Audit Manager の使用方法にかかわらず、監査所有者/委任ペルソナを使用して組織全体の職務の分離を管理し、各ユーザーに特定のIAMポリシーを付与できます。この 2 段階のアプローチにより、Audit Manager は、個々の評価のあらゆる詳細を完全にコントロールできるようにします。詳細については、「 のユーザーペルソナに推奨されるポリシー AWS Audit Manager」を参照してください。

AWS マネージドソース

An AWS マネージドソースは、 AWS はお客様に代わって管理します。

各 AWS マネージドソースは、特定の共通コントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループです。証拠ソースとして共通コントロールを使用すると、その共通コントロールをサポートするすべてのコアコントロールの証拠が自動的に収集されます。個々のコアコントロールを証拠ソースとして使用することもできます。

が AWS マネージドソースが更新され、それを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。 AWS マネージドソース。つまり、カスタムコントロールは、その証拠ソースの最新の定義に照らして証拠を収集します。これにより、クラウドコンプライアンス環境の変化に応じて継続的なコンプライアンスを確保できます。

「」、customer managed source「」も参照してくださいevidence source

C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

変更ログ

Audit Manager は、評価内のコントロールごとに、そのコントロールのユーザーアクティビティを追跡します。その後、特定のコントロールに関連するアクティビティの監査証跡を確認できます。変更ログにキャプチャされるユーザーアクティビティの詳細については、「」を参照してくださいChangelog タブ

クラウドコンプライアンス

クラウドコンプライアンスは、クラウドをご利用のお客様が従わなければならない標準に、クラウドで提供されるシステムが準拠している必要があるという一般原則です。

共通コントロール

control」を参照してください。

コンプライアンス規制

コンプライアンス規制は、通常は行動を規制するために、当局によって規定される法令、規則、または他の命令です。その一例が ですGDPR。

コンプライアンス標準

コンプライアンス標準は、組織のプロセスを詳述する一連の構造化されたガイドラインであり、確立された規制、仕様、または法律に従って維持することを目的としています。例としては、 PCIDSSや などがありますHIPAA。

コントロール

統制とは、情報システムまたは組織に規定されている保護手段または対策です。コントロールは、情報の機密性、完全性、可用性を保護し、定義された一連の要件を満たすように設計されています。リソースが意図したとおりに動作していること、データが信頼できること、組織が適用可能な法律や規制に準拠していることを保証します。

Audit Manager では、統制はベンダーリスク評価アンケート内の質問を表すこともできます。この場合、統制とは、組織のセキュリティとコンプライアンス体制に関する情報を尋ねる具体的な質問です。

統制部門は、Audit Manager の評価で有効になっているときに、継続的に証拠を収集します。任意のコントロールに証拠を手動で追加することもできます。各証拠は、コントロールの要件への準拠を示すのに役立つレコードです。

Audit Manager には、次のタイプのコントロールが用意されています。

コントロールタイプ 説明

共通コントロール

共通のコントロールは、コントロールの目的を達成するのに役立つアクションと考えることができます。一般的なコントロールはコンプライアンス標準に固有のものではないため、重複するコンプライアンス義務の範囲をサポートできる証拠を収集するのに役立ちます。

例えば、データ分類と処理というコントロール目標があるとします。この目標を達成するために、アクセスコントロールと呼ばれる共通のコントロールを実装して、 リソースへの不正アクセスをモニタリングおよび検出できます。

  • 自動共通コントロールは証拠を収集します。これらは、1 つ以上の関連するコアコントロールのグループ化で構成されます。次に、これらの各コアコントロールは、事前定義された グループから関連する証拠を自動的に収集します。 AWS データソース。 AWS は、これらの基盤となるデータソースを管理し、規制や標準が変更され、新しいデータソースが特定されるたびにそれらを更新します。

  • 手動の一般的なコントロールでは、独自の証拠をアップロードする必要があります。これは、通常、物理レコードのプロビジョニング、または の外部で発生するイベントの詳細が必要なためです。 AWS 環境。このため、多くの場合、 AWS 手動共通コントロールの要件をサポートする証拠を生成できるデータソース。

共通コントロールを編集することはできません。ただし、カスタムコントロール を作成するときに、証拠ソースとして任意の共通コントロールを使用できます。

コアコントロール

これは の規範的なガイドラインです。 AWS 環境。コアコントロールは、共通のコントロールの要件を満たすのに役立つアクションと考えることができます。

例えば、アクセスコントロールと呼ばれる共通のコントロールを使用して、 リソースへの不正アクセスをモニタリングするとします。この共通コントロールをサポートするには、S3 バケットのパブリック読み取りアクセスのブロックと呼ばれるコアコントロールを使用できます。

コアコントロールはコンプライアンス標準に固有ではないため、重複するコンプライアンス義務の範囲をサポートできる証拠を収集します。各コアコントロールは、1 つ以上のデータソースを使用して、特定の に関する証拠を収集します。 AWS のサービス. AWS は、これらの基盤となるデータソースを管理し、規制や標準が変更され、新しいデータソースが特定されるたびにそれらを更新します。

コアコントロールを編集することはできません。ただし、カスタムコントロール を作成するときに、任意のコアコントロールを証拠ソースとして使用できます。

標準コントロール

これは、Audit Manager が提供する構築済みのコントロールです。

標準コントロールを使用して、特定のコンプライアンス標準に対する監査の準備に役立てることができます。各標準コントロールは Audit Manager frameworkの特定の標準に関連しており、そのフレームワークへの準拠を示すために使用できる証拠を収集します。標準コントロールは、基盤となるデータソースから以下の証拠を収集します。 AWS が管理します。これらのデータソースは、規制や標準が変更され、新しいデータソースが特定されるたびに自動的に更新されます。

標準コントロールは編集できません。ただし、標準コントロールの編集可能なコピーを作成できます

カスタムコントロール

これは、特定のコンプライアンス要件を満たすために Audit Manager で作成するコントロールです。

カスタムコントロールを最初から作成することも、既存の標準コントロールの編集可能なコピーを作成することもできます。カスタムコントロールを作成するときに、evidence sourceAudit Manager が証拠を収集する場所を決定する特定の を定義できます。カスタムコントロールを作成したら、そのコントロールを編集したり、カスタムフレームワークに追加したりできます。カスタムコントロールの編集可能なコピーを作成することもできます。

コントロールドメイン

コントロールドメインは、コンプライアンス標準に固有ではないコントロールのカテゴリと考えることができます。コントロールドメインの例は、データ保護 です。

コントロールは、多くの場合、単純な組織上の目的でドメインごとにグループ化されます。各ドメインには複数の目標があります。

コントロールドメインのグループ化は、Audit Manager のダッシュボードの最も強力な機能の 1 つです。Audit Manager は、非準拠の証拠がある評価のコントロールを強調表示し、コントロールドメインごとにグループ化します。これにより、監査に向けて準備する際に、特定の対象ドメインの是正に集中的に取り組むことができます。

コントロールの目的

コントロールの目標には、その下にある一般的なコントロールの目標が記述されます。各目標には、複数の共通のコントロールを含めることができます。これらの一般的なコントロールが正常に実装されれば、目的を達成するのに役立ちます。

各コントロール目標はコントロールドメインに分類されます。例えば、データ保護コントロールドメインには、データ分類と処理という名前のコントロール目標がある場合があります。このコントロールの目的をサポートするために、アクセスコントロールと呼ばれる共通のコントロールを使用して、 リソースへの不正アクセスをモニタリングおよび検出できます。

コアコントロール

control」を参照してください。

カスタムコントロール

control」を参照してください。

カスタマーマネージドソース

カスタマーマネージドソースは、ユーザーが定義する証拠ソースです。

Audit Manager でカスタムコントロールを作成する場合、このオプションを使用して独自の個々のデータソースを作成できます。これにより、カスタム などのビジネス固有のリソースから自動証拠を柔軟に収集できます。 AWS Config ルール。カスタムコントロールに手動証拠を追加する場合は、このオプションを使用することもできます。

カスタマーマネージドソースを使用する場合は、作成するすべてのデータソースを維持する責任があります。

「」、AWS managed source「」も参照してくださいevidence source

D

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

データソース

Audit Manager はデータソースを使用してコントロールの証拠を収集します。データソースには次のプロパティがあります。

  • データソースタイプは、Audit Manager が証拠を収集するデータソースのタイプを定義します。

    • 自動証拠の場合、タイプは になります。 AWS Security Hub, AWS Config, AWS CloudTrail, または AWS API 呼び出し。

    • 独自の証拠をアップロードする場合、タイプは手動 です。

    • Audit Manager は、データソースタイプを とAPI呼びますsourceType

  • データソースマッピングは、特定のデータソースタイプについて証拠が収集される場所を特定するキーワードです。

    • 例えば、イベントの名前 CloudTrail や の名前などです。 AWS Config ルール。

    • Audit Manager は、データソースマッピングを とAPI呼びますsourceKeyword

  • データソース名は、データソースタイプとマッピングのペアにラベルを付けます。

    • 標準コントロールの場合、Audit Manager はデフォルト名を提供します。

    • カスタムコントロールの場合は、独自の名前を指定できます。

    • Audit Manager は、データソース名を とAPI呼びますsourceName

1 つのコントロールに複数のデータソースタイプと複数のマッピングを含めることができます。例えば、1 つのコントロールが、複数のデータソースタイプ ( など) から証拠を収集する場合があります。 AWS Config および Security Hub)。別のコントロールには AWS Config を唯一のデータソースタイプとして、複数の を持つ AWS Config マッピングとしての ルール。

次の表は、自動化されたデータソースタイプの一覧と、対応するマッピングの例を示しています。

[Data source type] 説明 マッピングの例
AWS Security Hub

このデータソースタイプを使用して、リソースのセキュリティ体制のスナップショットをキャプチャします。

Audit Manager は、Security Hub コントロールの名前をマッピングキーワードとして使用し、セキュリティチェックの結果を Security Hub から直接報告します。

EC2.1

AWS Config

このデータソースタイプを使用して、リソースのセキュリティ体制のスナップショットをキャプチャします。

Audit Manager は の名前を使用します AWS Config マッピングキーワードとしての ルール。 はそのルールチェックの結果を から直接レポートします。 AWS Config.

SNS_ENCRYPTED_KMS

AWS CloudTrail

このデータソースタイプを使用して、Audit で必要な特定のユーザーアクティビティを追跡します。

Audit Manager は、 CloudTrail イベントの名前をマッピングキーワードとして使用し、 CloudTrail ログから関連するユーザーアクティビティを収集します。

CreateAccessKey

AWS API 呼び出し

このデータソースタイプを使用して、特定の へのAPI呼び出しを通じてリソース設定のスナップショットを作成します。 AWS のサービス.

Audit Manager は、API呼び出しの名前をマッピングキーワードとして使用し、APIレスポンスを収集します。

kms_ListKeys

受任者

代理人は AWS Audit Manager アクセス許可が制限されている ユーザー。受任者は通常、専門的なレベルでビジネスまたは技術に関する知識を有しています。例えば、これらの専門知識は、データ保持ポリシー、トレーニングプラン、ネットワークインフラストラクチャ、または ID 管理に関するものである可能性があります。受任者は、監査所有者が自らの専門分野に属するコントロールに関して収集された証拠をレビューするのをサポートします。受任者は、コントロールセットとそれに関連する証拠のレビュー、コメントの追加、追加の証拠のアップロード、レビュー用に割り当てられた各コントロールのステータスの更新を行うことができます。

監査所有者は、評価全体ではなく、特定のコントロールセットを委任者に割り当てます。その結果、代表者による評価へのアクセスが制限されます。コントロールセットを委任する方法については、「での委任 AWS Audit Manager」を参照してください。

E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

証拠

証拠とは、統制の要件への準拠を証明するために必要な情報を含む記録です。証拠の一例として、ユーザーによって呼び出された変更アクティビティとシステム設定スナップショットを挙げることができます。

Audit Manager の証拠には、主に自動と手動の証拠の 2 つのタイプがあります。

証拠タイプ

説明

自動証拠

これは、Audit Manager が自動的に収集する証拠です。これには、次の 3 つのカテゴリの自動証拠が含まれます。

  1. コンプライアンスチェック — コンプライアンスチェックの結果は から取得されます。 AWS Security Hub, AWS Config、またはその両方。

    コンプライアンスチェックの例には、PCIDSSコントロールの Security Hub からのセキュリティチェック結果、および AWS Config HIPAA コントロールの ルール評価。

    詳細については、「AWS Config ルール でサポートされる AWS Audit Manager」および「AWS Security Hub でサポートされている コントロール AWS Audit Manager」を参照してください。

  2. ユーザーアクティビティ — リソース設定を変更するユーザーアクティビティは、そのアクティビティが発生すると CloudTrail ログからキャプチャされます。

    ユーザーアクティビティの例としては、ルートテーブルの更新、Amazon RDSインスタンスのバックアップ設定の変更、S3 バケット暗号化ポリシーの変更などがあります。

    詳細については、「AWS CloudTrail でサポートされているイベント名 AWS Audit Manager」を参照してください。

  3. 設定データ — リソース設定のスナップショットは、 から直接キャプチャされます。 AWS のサービス を日次、週次、または月次ベースで実行します。

    設定スナップショットの例には、ルートテーブルのVPCルートのリスト、Amazon RDSインスタンスのバックアップ設定、S3 バケット暗号化ポリシーなどがあります。

    詳細については、「AWS でサポートされている API コール AWS Audit Manager」を参照してください。

手動証拠

これは、Audit Manager に自分で追加した証拠です。独自の証拠を追加する方法は 3 つあります。

  1. Amazon S3 からファイルをインポートする

  2. ブラウザからファイルをアップロードする

  3. リスクアセスメントの質問に対する回答をテキストで入力する

詳細については、「での手動証拠の追加 AWS Audit Manager」を参照してください。

評価を作成すると、自動証拠収集が開始されます。これは継続的なプロセスであり、Audit Manager は、証拠タイプと基盤となるデータソースに応じてさまざまな頻度で証拠を収集します。詳細については、「方法を理解する AWS Audit Manager 証拠を収集する」を参照してください。

評価で証拠をレビューする方法については、「での証拠の確認 AWS Audit Manager」を参照してください。

証拠ソース

証拠ソースは、コントロールが証拠を収集する場所を定義します。個々のデータソースでも、共通のコントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループでもかまいません。

カスタムコントロールを作成すると、 から証拠を収集できます。 AWS マネージドソース、カスタマーマネージドソース、またはその両方。

ヒント

を使用することをお勧めします。 AWS マネージドソース。が AWS マネージドソースが更新され、これらのソースを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。つまり、カスタムコントロールは常に、その証拠ソースの最新の定義に照らして証拠を収集します。これにより、クラウドコンプライアンス環境の変化に応じて継続的なコンプライアンスを確保できます。

「」、AWS managed source「」も参照してくださいcustomer managed source

証拠収集方法

コントロールがエビデンスを収集する方法は 2 つあります。

証拠収集方法

説明

自動

自動コントロールは から証拠を自動的に収集します AWS データソース。この自動エビデンスは、統制の完全または部分的な遵守を証明するのに役立ちます。

手動

手動コントロールでは、コントロールへの準拠を実証するために独自の証拠をアップロードする必要があります。

注記

手動による証拠はどの自動統制にも添付できます。多くの場合、統制への完全な準拠を証明するには、自動化された証拠と手動の証拠を組み合わせる必要があります。Audit Manager は有用で関連性のある自動エビデンスを提供できますが、一部の自動エビデンスは部分的なコンプライアンスしか証明できない場合があります。この場合、Audit Manager が提供する自動エビデンスを独自のエビデンスで補足できます。

例:

  • には、 というコントロールAWS 生成 AI ベストプラクティスフレームワーク v2が含まれていますError analysis。このコントロールでは、モデルの使用状況に誤りが検出された場合にそれを特定する必要があります。また、根本原因を理解して是正措置を講じるために、徹底的なエラー分析を行う必要があります。

  • このコントロールをサポートするために、Audit Manager は、 に対してアラームが有効になっているかどうか CloudWatchを示す自動証拠を収集します。 AWS アカウント 評価が実行されている場所。この証拠を利用して、アラームとチェックが正しく設定されていることを証明することで、統制に部分的に準拠していることを証明できます。

  • 完全なコンプライアンスを証明するには、自動エビデンスを手作業によるエビデンスで補足できます。例えば、エラー分析プロセス、エスカレーションや報告の基準値、根本原因分析の結果を示すポリシーや手順をアップロードできます。この手作業によるエビデンスを使用して、確立されたポリシーが実施されていること、および求められたときに是正措置が講じられたことを証明できます。

より詳細な例については、「データソースが混在する場合の管理」を参照してください。

エクスポート先

エクスポート先は、エビデンスファインダーからエクスポートしたファイルを Audit Manager が保存するデフォルトの S3 バケットです。詳細については、「証拠ファインダーのデフォルトのエクスポート先の設定」を参照してください。

F

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

フレームワーク

Audit Manager フレームワークは、特定の標準またはリスクガバナンス原則の評価を構造化および自動化します。これらのフレームワークには、構築済みコントロールまたはユーザー定義コントロールのコレクションが含まれており、 のマッピングに役立ちます。 AWS これらのコントロールの要件に対する リソース。

Audit Manager には 2 種類のフレームワークがあります。

フレームワークタイプ

説明

標準フレームワーク

これは、 に基づく構築済みのフレームワークです。 AWS さまざまなコンプライアンス標準および規制の ベストプラクティス。

標準フレームワークを使用して、 PCIDSSや などの特定のコンプライアンス標準または規制の監査準備を支援できますHIPAA。

カスタムフレームワーク

これは、Audit Manager ユーザーとして定義するカスタマイズされたフレームワークです。

カスタムフレームワークを使用して、特定のGRC要件に応じた監査の準備を支援できます。

フレームワークを作成および管理する方法については、「フレームワークライブラリを使用して でフレームワークを管理する AWS Audit Manager」を参照してください。

注記

AWS Audit Manager は、特定のコンプライアンス標準および規制への準拠の検証に関連する証拠の収集を支援します。ただし、コンプライアンス自体を評価するものではありません。を通じて収集された証拠 AWS Audit Manager したがって、 に関するすべての情報が含まれていない可能性があります。 AWS 監査に必要な の使用。 AWS Audit Manager は、法律顧問やコンプライアンスの専門家に代わるものではありません。

フレームワークの共有

でのカスタムフレームワークの共有 AWS Audit Manager この機能を使用すると、 間でカスタムフレームワークをすばやく共有できます。 AWS アカウント および リージョン。カスタムフレームワークを共有するには、[共有リクエスト] を作成します。その後、受信者はリクエストを承諾または拒否するまでに 120 日かかります。承諾されると、Audit Manager は、フレームワークライブラリに共有されたカスタムフレームワークをレプリケートします。カスタムフレームワークをレプリケートすることに加えて、Audit Manager は、そのフレームワーク内に含まれているカスタムコントロールセットおよびコントロールもレプリケートします。これらのカスタムコントロールは、受信者のコントロールライブラリに追加されます。Audit Manager は、標準のフレームワークまたはコントロールをレプリケートしません。これは、これらのリソースが各アカウントとリージョンでデフォルトで既に利用可能であるためです。

R

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

リソース

リソースは、監査で評価される物理的な資産または情報アセットです。の例 AWS リソースには、Amazon EC2インスタンス、Amazon RDSインスタンス、Amazon S3 バケット、Amazon VPC サブネットが含まれます。

リソース評価

リソース評価は、個々のリソースを評価するプロセスです。この評価は、コントロールの要件に基づきます。評価がアクティブである間、は、評価の範囲内の個々のリソースごとにリソース評価を実行します。リソース評価では、次の一連のタスクが実行されます。

  1. リソース設定、イベントログ、検出結果などの証拠を収集する

  2. 証拠を変換してコントロールにマッピングする

  3. 完全性を保つために証拠の系統を保存および追跡する

リソースコンプライアンス

資源コンプライアンスとは、コンプライアンスチェックの証拠を収集する際に評価された資源の評価状況を指します。

Audit Manager は、 を使用するコントロールのコンプライアンスチェックの証拠を収集します。 AWS Config データソースタイプとして および Security Hub を使用します。このエビデンス収集では、複数のリソースが評価される場合があります。その結果、1 つのコンプライアンスチェックエビデンスに 1 つ以上のリソースが含まれる可能性があります。

エビデンスファインダーのリソースコンプライアンスフィルターを使用して、リソースレベルでのコンプライアンスステータスを調べることができます。検索が完了すると、検索クエリに一致したリソースをプレビューできます。

エビデンスファインダーでは、リソースのコンプライアンス値として 3 つの値が指定できます。

説明

非準拠

これは、コンプライアンスチェックの問題があるリソースを指します。

これは、Security Hub がリソースの失敗結果を報告した場合、または AWS Config は非準拠の結果を報告します。

準拠

これは、コンプライアンスチェックの問題がないリソースを指します。

これは、Security Hub がリソースのパス結果を報告した場合、または AWS Config は、準拠の結果を報告します。

未決定

これは、コンプライアンスチェックが利用できない、または適用できないリソースを指します。

これは、次の場合に発生します。 AWS Config または Security Hub が基盤となるデータソースタイプですが、これらのサービスは有効になっていません。

これは、基盤となるデータソースタイプがコンプライアンスチェック (手動証拠、 AWS API 呼び出し、 または CloudTrail)。

S

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

対象サービス

Audit Manager が管理する AWS のサービス は評価の対象範囲です。古い評価がある場合は、過去にスコープ内のサービスを手動で指定した可能性があります。2024 年 6 月 4 日以降は、範囲内のサービスを手動で指定または編集することはできません。

対象範囲内のサービスは です。 AWS のサービス 評価が証拠を収集する 。サービスが評価の範囲に含まれると、Audit Manager はそのサービスのリソースを評価します。リソースの例は下記のとおりです。

  • Amazon EC2インスタンス

  • S3 バケット

  • IAM ユーザーまたはロール

  • DynamoDB テーブル。

  • Amazon Virtual Private Cloud (VPC)、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL) テーブルなどのネットワークコンポーネント

例えば、Amazon S3 が範囲内のサービスである場合、Audit Manager は S3 バケットに関する証拠を収集できます。収集される正確な証拠は、コントロールの によって決まりますdata source。例えば、データソースタイプが の場合 AWS Config、データソースマッピングは です。 AWS Config ルール ( などs3-bucket-public-write-prohibited)、Audit Manager はそのルール評価の結果を証拠として収集します。

注記

対象範囲内のサービスは、データソースタイプ とは異なることに注意してください。データソースタイプは、 AWS のサービス または別のもの。詳細については、このガイドのサービスの対象範囲とデータソースタイプにはどのような違いがありますか?「トラブルシューティング」セクションの「」を参照してください。

標準コントロール

control」を参照してください。