AWS Audit Manager の概念と用語

Audit Manager の評価を使用して、監査に関連する証拠を自動的に収集できます。

評価は、監査に関連するコントロールのグループであるフレームワークに基づいています。標準またはカスタムのフレームワークから評価を作成できます。標準フレームワークには、特定のコンプライアンス標準または規制をサポートする構築済みのコントロールセットが含まれています。対照的に、カスタムフレームワークには、特定の監査の要件に従ってカスタマイズおよびグループ化できるコントロールが含まれています。フレームワークを開始点として使用して、監査の範囲に含める AWS アカウント を指定する評価を作成できます。

評価を作成すると、Audit Manager は、フレームワークで定義されているコントロールに基づいて、AWS アカウント のリソース評価を自動的に開始します。次に、関連する証拠を収集し、監査人が確認しやすい形式に変換します。これを行った後、評価のコントロールに証拠をアタッチします。監査の時間になると、ユーザー (または任意の受任者) は収集された証拠をレビューし、それらの証拠を評価レポートに追加できます。この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。

証拠の収集は、評価を作成したときに開始される継続的なプロセスです。評価ステータスを [inactive] (非アクティブ) に変更することで、証拠の収集を停止できます。または、コントロールレベルで証拠の収集を停止することもできます。これを実行するには、評価内の特定のコントロールのステータスを [inactive] (非アクティブ) に変更します。

評価を作成および管理する方法については、「AWS Audit Manager での評価の管理」を参照してください。

評価レポートは、 Audit Manager の評価から生成された確定ドキュメントです。これらのレポートは、監査のために収集された関連する証拠を要約したものです。それらのレポートは、関連する証拠のフォルダにリンクしています。フォルダは、評価で指定されたコントロールに従って名前が付けられ、編成されています。各評価について、Audit Manager が収集した証拠をレビューし、評価レポートに含める証拠を決定できます。

評価レポートの詳細については、「評価レポート」を参照してください。評価レポートを生成する方法については、「AWS Audit Manager での評価レポートの準備」を参照してください。

評価レポートの送信先は、Audit Manager が評価レポートを保存するデフォルトの S3 バケットです。詳細については、「デフォルトの評価レポートの送信先の設定」を参照してください。

監査とは、組織の資産、オペレーション、または事業上の誠実さを独立して調べることをいいます。情報技術 (IT) 監査は、組織の情報システム内のコントロールを集中的に調べるものです。IT 監査の目的は、情報システムがアセットを保護し、効果的に運用されており、データの完全性を維持しているかどうかを確認することにあります。これらはすべて、コンプライアンス標準または規制によって義務付けられている規制要件を満たすために重要です。

監査所有者という用語には、文脈に応じて 2 つの異なる意味があります。

Audit Manager において、監査所有者とは、評価とその関連リソースを管理する IAM ユーザーまたはロールです。この Audit Manager のペルソナの責任には、評価の作成、証拠のレビュー、および評価レポートの生成が含まれます。Audit Manager はコラボレーションが可能なサービスであり、監査所有者は、他のステークホルダーが評価に参加する際にそのメリットを享受できます。例えば、他の監査所有者を評価に追加して、管理タスクを共有できます。または、ユーザーが監査所有者であり、コントロールのために収集された証拠の解釈についてサポートが必要な場合は、その分野における内容領域専門家であるステークホルダーにそのコントロールセットを委任できます。このような担当者は、受任者ペルソナとして知られています。

ビジネス用語では、監査所有者は、会社の監査準備に向けた取り組みを調整および監督し、監査人に証拠を提示する担当者をいいます。通常、これは、コンプライアンスオフィサーや GDPR データ保護オフィサーなどのガバナンス、リスク、およびコンプライアンス (GRC) の専門家です。GRC の専門家は、監査に向けた準備を管理するための専門知識と権限を有しています。より具体的には、これらの専門家はコンプライアンス要件を理解しており、レポートデータを分析、解釈、および準備できます。ただし、GRC の専門家だけがこの役割を担うのではなく、ビジネスにおける他の役割も監査所有者の Audit Manager のペルソナを引き受けることができます。例えば、次のいずれかのチームの技術エキスパートに Audit Manager の評価を設定および管理させることもできます。

Audit Manager の評価で監査所有者として誰を割り当てるかは、組織によって大きく異なります。また、セキュリティオペレーションをどのように構成するか、および監査の詳細によっても異なります。Audit Manager では、同じ個人がある評価で監査所有者のペルソナを引き受け、別の評価で委任ペルソナを引き受けることができます。

Audit Manager の使用方法にかかわらず、監査所有者/委任ペルソナを使用し、各ユーザーに特定の IAM ポリシーを付与することで、組織全体の職務の分離を管理できます。この 2 段階のアプローチにより、Audit Manager は、個々の評価のあらゆる詳細を完全にコントロールできるようにします。詳細については、「AWS Audit Manager のユーザーペルソナに推奨されるポリシー」を参照してください。

AWS マネージドソースは、AWS が管理する証拠ソースです。

各 AWS マネージドソースは、特定の一般的なコントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループです。一般的なコントロールを証拠ソースとして使用すると、その一般的なコントロールをサポートするすべてのコアコントロールの証拠が自動的に収集されます。個々のコアコントロールを証拠ソースとして使用することもできます。

AWS マネージドソースが更新されるたびに、AWS マネージドソースを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。つまり、カスタムコントロールは証拠ソースの最新の定義に照らして証拠を収集します。これにより、クラウドコンプライアンス環境の変化に応じて継続的なコンプライアンスを確保できます。

「customer managed source」、「evidence source」も参照してください。

各評価内のコントロールに対して、Audit Manager はそのコントロールに対するユーザー アクティビティを追跡します。その後、特定のコントロールに関連するアクティビティの監査証跡を確認できます。changelog にキャプチャされるユーザーアクティビティの詳細については、「Changelog タブ」を参照してください。

クラウドコンプライアンスは、クラウドをご利用のお客様が従わなければならない標準に、クラウドで提供されるシステムが準拠している必要があるという一般原則です。

「control」を参照してください。

コンプライアンス規制は、通常は行動を規制するために、当局によって規定される法令、規則、または他の命令です。1 つの例は GDPR です。

コンプライアンス標準は、組織のプロセスを詳述する一連の構造化されたガイドラインであり、確立された規制、仕様、または法律に従って維持することを目的としています。PCI DSS、HIPAA はその一例です。

統制とは、情報システムまたは組織に規定されている保護手段または対策です。コントロールは、情報の機密性、完全性、可用性を保護し、定義された一連の要件を満たすように設計されています。これは、リソースが意図したとおりに動作し、データが信頼でき、組織が適用される法律や規制を遵守していることを保証します。

Audit Manager では、統制はベンダーリスク評価アンケート内の質問を表すこともできます。この場合、統制とは、組織のセキュリティとコンプライアンス体制に関する情報を尋ねる具体的な質問です。

統制部門は、Audit Manager の評価で有効になっているときに、継続的に証拠を収集します。任意のコントロールに証拠を手動で追加することもできます。それぞれの証拠は、コントロールの要件への準拠を実証する際に役立つ記録となります。

Audit Manager には、以下のタイプのコントロールが用意されています。

コントロールドメインは、特定のコンプライアンス標準に固有ではないコントロールのカテゴリと考えることができます。コントロールドメインの例として、データ保護が挙げられます。

コントロールは、多くの場合、単純に整理する目的でドメイン別にグループ化されます。各ドメインには複数の目的があります。

コントロールドメインのグループ化は、Audit Manager のダッシュボードの最も強力な機能の 1 つです。Audit Manager は、非準拠の証拠がある評価のコントロールを強調表示し、コントロールドメインごとにグループ化します。これにより、監査に向けて準備する際に、特定の対象ドメインの是正に集中的に取り組むことができます。

コントロールの目的は、同じコントロールの目的を持つ一般的なコントロールの目標を示します。各目的には、複数の一般的なコントロールを含めることができます。これらの一般的なコントロールが正常に実装されると、目的を達成するのに役立ちます。

それぞれのコントロールの目的は、コントロールドメインに分類されます。例えば、データ保護コントロールドメインには、データの分類と処理という名前のコントロールの目的がある場合があります。このコントロール目的をサポートするために、アクセスコントロールと呼ばれる一般的なコントロールを使用して、リソースへの不正アクセスをモニタリングおよび検出できます。

「control」を参照してください。

「control」を参照してください。

カスタマーマネージドソースは、ユーザーが定義した証拠ソースです。

Audit Manager でカスタムコントロールを作成する際、このオプションを使用して独自の個別のデータソースを作成できます。これにより、カスタム AWS Config ルールなどのビジネス固有のリソースから自動証拠を収集することができるようになります。カスタムコントロールに手動証拠を追加する場合に、このオプションを使用することもできます。

カスタマーマネージドソースを使用する際は、作成したすべてのデータソースの管理責任はユーザーが負うことになります。

「AWS managed source」、「evidence source」も参照してください。

Audit Manager はデータソースを使用してコントロールの証拠を収集します。データソースには次のプロパティがあります。

1 つのコントロールに複数のデータソースタイプと複数のマッピングを含めることができます。例えば、1 つのコントロールがさまざまなデータソースタイプ (AWS Config と Security Hub など) から証拠を収集する場合があります。別のコントロールは、AWS Config を唯一のデータソースタイプとし、複数の AWS Config ルールをマッピングとして使用している場合があります。

次の表は、自動化されたデータソースタイプの一覧と、対応するマッピングの例を示しています。

受任者は、限定的な権限を有する AWS Audit Manager ユーザーです。受任者は通常、専門的なレベルでビジネスまたは技術に関する知識を有しています。例えば、これらの専門知識は、データ保持ポリシー、トレーニングプラン、ネットワークインフラストラクチャ、または ID 管理に関するものである可能性があります。受任者は、監査所有者が自らの専門分野に属するコントロールに関して収集された証拠をレビューするのをサポートします。受任者は、コントロールセットとそれに関連する証拠のレビュー、コメントの追加、追加の証拠のアップロード、レビュー用に割り当てられた各コントロールのステータスの更新を行うことができます。

監査所有者は、評価全体ではなく、特定のコントロールセットを委任者に割り当てます。その結果、代表者による評価へのアクセスが制限されます。コントロールセットを委任する方法については、「AWS Audit Manager での委任」を参照してください。

証拠とは、統制の要件への準拠を証明するために必要な情報を含む記録です。証拠の一例として、ユーザーによって呼び出された変更アクティビティとシステム設定スナップショットを挙げることができます。

Audit Manager の証拠には、主に自動と手動の証拠の 2 つのタイプがあります。

評価を作成すると、自動証拠収集が開始されます。これは継続的なプロセスであり、Audit Manager は、証拠タイプと基盤となるデータソースに応じてさまざまな頻度で証拠を収集します。詳細については、「AWS Audit Manager が証拠を収集する仕組み」を参照してください。

評価で証拠をレビューする方法については、「AWS Audit Manager での証拠のレビュー」を参照してください。

証拠ソースは、コントロールが証拠を収集する場所を定義します。これは、個々のデータソースでも、一般的なコントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループでもかまいません。

カスタムコントロールを作成する際は、AWS マネージドソース、カスタマーマネージドソース、またはその両方から証拠を収集できます。

「AWS managed source」、「customer managed source」も参照してください。

コントロールが証拠を収集する方法は 2 つあります。

エクスポート先は、証拠ファインダーからエクスポートしたファイルを Audit Manager が保存するデフォルトの S3 バケットです。詳細については、「証拠ファインダーのデフォルトのエクスポート先の設定」を参照してください。

Audit Manager フレームワークは、特定の標準またはリスクガバナンスの原則に関する評価を構造化および自動化するものです。これらのフレームワークには、構築済みまたはユーザー定義のコントロールのコレクションが含まれており、AWS リソースをこれらのコントロールの要件にマッピングするのに役立ちます。

Audit Manager のフレームワークには 2 つのタイプがあります。

フレームワークを作成および管理する方法については、「AWS Audit Manager でのフレームワークライブラリを使用したフレームワークの管理」を参照してください。

AWS Audit Manager でのカスタムフレームワークの共有 機能を使用すると、AWS アカウント およびリージョン間でカスタムフレームワークを簡単に共有できます。カスタムフレームワークを共有するには、[共有リクエスト] を作成します。受信者は、120 日以内にリクエストを承諾または拒否できます。承諾されると、Audit Manager は、フレームワークライブラリに共有されたカスタムフレームワークをレプリケートします。カスタムフレームワークをレプリケートすることに加えて、Audit Manager は、そのフレームワーク内に含まれているカスタムコントロールセットおよびコントロールもレプリケートします。これらのカスタムコントロールは、受信者のコントロールライブラリに追加されます。Audit Manager は、標準のフレームワークまたはコントロールをレプリケートしません。これは、これらのリソースが各アカウントとリージョンでデフォルトで既に利用可能であるためです。

リソースは、監査で評価される物理的な資産または情報アセットです。AWS リソースの例には、Amazon EC2 インスタンス、Amazon RDS インスタンス、Amazon S3 バケット、Amazon VPC サブネットが含まれます。

リソース評価は、個々のリソースを評価するプロセスです。この評価は、コントロールの要件に基づきます。評価がアクティブである間、は、評価の範囲内の個々のリソースごとにリソース評価を実行します。リソース評価では、次の一連のタスクが実行されます。

資源コンプライアンスとは、コンプライアンスチェックの証拠を収集する際に評価された資源の評価状況を指します。

Audit Manager は、データソースタイプとして AWS Config と Security Hub を使用するコントロールのコンプライアンスチェック証拠を収集します。この証拠収集では、複数のリソースが評価される場合があります。その結果、1 つのコンプライアンスチェック証拠に 1 つ以上のリソースが含まれる可能性があります。

証拠ファインダーのリソースコンプライアンスフィルターを使用して、リソースレベルでのコンプライアンスステータスを調べることができます。検索が完了すると、検索クエリに一致したリソースをプレビューできます。

証拠ファインダーでは、リソースのコンプライアンス値として 3 つの値が指定できます。

Audit Manager は、評価の対象となる AWS のサービス を管理します。古い評価では、スコープ内のサービスを手動で指定していました。2024 年 6 月 4 日以降は、スコープ内のサービスを手動で指定または編集することはできません。

スコープ内のサービスとは、評価によって証拠が収集される AWS のサービス です。サービスが評価のスコープ内にある場合、Audit Manager はそのサービスのリソースを評価します。リソースの例は下記のとおりです。

例えば、Amazon S3 がスコープ内のサービスの 1 つである場合、Audit Manager は S3 バケットに関する証拠を収集できます。収集される正確な証拠は、コントロールの data source によって決まります。例えば、データソースタイプが AWS Config で、データソースマッピングが AWS Config ルール (例えば s3-bucket-public-write-prohibited)の場合、Audit Manager はそのルール評価の結果を証拠として収集します。

「control」を参照してください。