評価と証拠収集の問題に関するトラブルシューティング - AWS Audit Manager
評価を作成しましたが、まだ証拠が表示されません私の評価では、AWS Security Hub からコンプライアンスチェックの証拠が収集されていませんSecurity Hub でセキュリティコントロールを無効にしました。Audit Manager は、このセキュリティコントロールのコンプライアンスチェックの証拠を収集しますか?Security Hub で検出結果のステータスを Suppressed に設定しました。Audit Manager は、コンプライアンスチェックの証拠を収集しますか?私の評価では、AWS Config からコンプライアンスチェックの証拠が収集されていません私の評価では、AWS CloudTrail からユーザーアクティビティの証拠が収集されていません私の評価では、AWS API コールの構成データの証拠が収集されていません一般的なコントロールが自動証拠を収集しない証拠がさまざまな間隔で生成されており、収集頻度がわかりませんAudit Manager を無効にしてから再度有効にしましたが、既存の評価では証拠が収集されなくなりました評価の詳細ページで、評価を再作成するように求められるデータソースと証拠ソースの違いは何ですか?評価の作成に失敗した対象範囲内のアカウントを組織から削除するとどうなりますか?評価の範囲内のサービスが表示されない評価の範囲内のサービスを編集できませんサービスの対象範囲とデータソースタイプにはどのような違いがありますか?

評価と証拠収集の問題に関するトラブルシューティング

このページの情報を参照して、Audit Manager での一般的な評価と証拠収集の問題を解決できます。

証拠収集の問題
評価の問題

評価を作成しましたが、まだ証拠が表示されません

証拠が表示されない場合は、評価を作成してから 24 時間が経過していなかったか、設定エラーが発生している可能性があります。

次を確認することをお勧めします。

  1. 評価を作成してから 24 時間が経過していることを確認してください。自動証拠は、評価を作成してから 24 時間後に利用可能になります。

  2. 証拠が表示される予定の AWS のサービス と同じ AWS リージョン で Audit Manager を使用していることを確認します。

  3. AWS Config および AWS Security Hub からのコンプライアンスチェックの証拠が表示される予定である場合は、AWS Config と Security Hub コンソールの両方にこれらのチェックの結果が表示されていることを確認します。AWS Config および Security Hub の結果は、Audit Manager を使用しているのと同じ AWS リージョン に表示されます。

それでも評価に証拠が見つからず、これらの問題のいずれかが原因ではない場合は、このページで説明されている他の考えられる原因を確認してください。

私の評価では、AWS Security Hub からコンプライアンスチェックの証拠が収集されていません

AWS Security Hub コントロールのコンプライアンスチェックの証拠が表示されない場合は、以下のいずれかの問題が原因である可能性があります。

AWS Security Hub に設定がありません

この問題は、AWS Security Hub を有効にした際に一部の設定手順が行われなかった場合に発生する可能性があります。

この問題を修正するには、Audit Manager に必要な設定で Security Hub が有効になっていることを確認します。手順については、AWS Security Hub の有効化とセットアップ を参照してください。

Security Hub コントロール名がControlMappingSourceに誤って入力されました

Audit Manager API を使用してカスタムコントロールを作成する場合、証拠収集のデータソースマッピングとして Security Hub コントロールを指定できます。そのためには、コントロール ID をkeywordValueとして入力します。

Security Hub コントロールのコンプライアンスチェック証拠が表示されない場合は、ControlMappingSourcekeywordValueが正しく入力されていない可能性があります。keywordValue は、大文字と小文字が区別されます。間違って入力すると、Audit Manager が適用するルールを認識しない可能性があります。その結果、指定のコントロールのコンプライアンスチェックの証拠が期待どおりに収集されない可能性があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。Security Hub キーワードの正しい形式はさまざまです。精度については、サポートされている Security Hub コントロール のリストを参照してください。

AuditManagerSecurityHubFindingsReceiverAmazon EventBridge ルールが見つかりません

Audit Manager を有効にすると、AuditManagerSecurityHubFindingsReceiverという名前のルールが自動的に作成され、Amazon EventBridge で有効になります。このルールにより、Audit Manager は Security Hub の検出結果を証拠として収集できます。

Security Hub を使用する AWS リージョン でこのルールが一覧表示されておらず、有効になっていない場合、Audit Manager はそのリージョンのSecurity Hub 検出結果を収集できません。

この問題を解決するには、EventBridge コンソールにアクセスして、AuditManagerSecurityHubFindingsReceiverルールが AWS アカウント に存在することを確認してください。ルールが存在しない場合は、Audit Manager を無効にしてからサービスを再度有効にすることをお勧めします。このアクションを実行しても問題が解決されない場合や、Audit Manager を無効にできない場合は、AWS Support までお問い合わせください

Security Hub が作成したサービスにリンクされた AWS Config ルール

Audit Manager は Security Hub が作成するサービスにリンクされた AWS Config ルールから証拠を収集しませんので、ご注意ください。これは、Security Hub サービスによって有効化および制御される、特定のタイプのマネージド AWS Config ルールです。同じルールの他のインスタンスが既に存在している場合も、Security Hub はこれらのサービスリンクルールがAWS環境内で作成されます。そのため、証拠の重複を防ぐため、Audit Manager はサービスにリンクされたルールからの証拠収集をサポートしていません。

Security Hub でセキュリティコントロールを無効にしました。Audit Manager は、このセキュリティコントロールのコンプライアンスチェックの証拠を収集しますか?

Audit Manager は、無効化されたセキュリティコントロールの証拠は収集しません。

Security Hub でセキュリティコントロールのステータスを無効に設定した場合、現在のアカウントとリージョンでそのコントロールのセキュリティチェックは実行されません。その結果、Security Hub でセキュリティ検出結果を利用できなくなり、Audit Manager によって関連する証拠が収集されることはありません。

Security Hub で設定した無効ステータスに従って、Audit Manager は、意図的に無効にしたコントロールを除き、環境に関連するアクティブなセキュリティコントロールと検出結果を正確に評価へ反映します。

Security Hub で検出結果のステータスを Suppressed に設定しました。Audit Manager は、コンプライアンスチェックの証拠を収集しますか?

Audit Manager は、検出結果が抑制されたセキュリティコントロールの証拠を収集します。

Security Hub で検出結果のワークフローステータスを抑制に設定すると、検出結果はレビュー済みで、アクションは必要ではないことを意味します。Audit Manager では、これらの抑制された検出結果は証拠として収集され、評価にアタッチされます。証拠の詳細には、Security Hub から直接報告された SUPPRESSED の評価ステータスが表示されます。

このアプローチにより、Audit Manager の評価に Security Hub からの結果が正確に反映され、監査でさらにレビューや検討が必要な可能性のある抑制された結果も可視化できます。

私の評価では、AWS Config からコンプライアンスチェックの証拠が収集されていません

AWS Configルールのコンプライアンスチェック証拠が表示されない場合は、以下のいずれかの問題が原因である可能性があります。

ルール ID がControlMappingSourceに誤って入力されました

Audit Manager API を使用してカスタム コントロールを作成する場合、証拠収集のためのデータソースマッピングとして AWS Config ルールを指定できます。指定するkeywordValueは、ルールのタイプによって異なります。

AWS Config ルールのコンプライアンスチェック証拠が表示されない場合は、ControlMappingSourcekeywordValueが誤って入力された可能性があります。keywordValue は、大文字と小文字が区別されます。誤って入力すると、Audit Manager が適用するルールを認識しない可能性があります。その結果、そのルールのコンプライアンスチェック証拠が期待どおりに収集されない可能性があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。

  • カスタムルールの場合は、keywordValueCustom_というプレフィックスがあり、その後にカスタムルール名が続くことを確認してください。カスタムルール名の形式は異なる場合があります。正確さを期すには、AWS Configコンソールにアクセスしてカスタムルール名を確認してください。

  • マネージドルールの場合は、keywordValueALL_CAPS_WITH_UNDERSCORES内のルール識別子であることを確認してください。例えば、CLOUDWATCH_LOG_GROUP_ENCRYPTED と指定します。正確さを期すには、サポートされているマネージドルールキーワードのリストを参照してください。

    注記

    マネージドルールによっては、ルール識別子はルール名と異なる場合があります。例えば、 restricted-ssh のルール識別子は INCOMING_SSH_DISABLED です。ルール名ではなく、必ずルール識別子を使用するようにしてください。ルール ID を検索するには、マネージドルールのリストからルールを選択し、その識別子の値を探します。

このルールはサービスにリンクされた AWS Config ルールである

マネージドルールカスタムルールを証拠収集用のデータソースマッピングとして使用できます。ただし、Audit Manager は、サービスにリンクされたルールからの証拠はほとんど収集しません。

Audit Manager が証拠を収集するサービスにリンクされたルールには、次の 2 つのタイプしかありません。

  • コンフォーマンスパックのサービスにリンクされたルール

  • AWS Organizationsのサービスにリンクされたルール

Audit Manager は、他のサービスにリンクされたルール、特に以下のプレフィックスを含む Amazon リソースネーム (ARN) を持つルールからの証拠を収集しません。arn:aws:config:*:*:config-rule/aws-service-rule/...

Audit Manager がサービスにリンクされた AWS Config ルールからほとんど証拠を収集しない理由は、評価で証拠が重複するのを防ぐためです。サービスにリンクされたルールは、特定のタイプの管理ルールであり、アカウントに AWS Config ルールを作成する他の AWS のサービス のサービスをサポートします。例えば、一部の Security Hub は、セキュリティチェックの実行に、AWS Configサービスリンクのルールを使用します。サービスリンク AWS Config ルールを使用するすべてのコントロールについて、Security Hub はAWS環境内で必要な AWS Config ルールのインスタンスを作成します。これは、アカウントに元のルールが既に存在している場合でも発生します。そのため、同じルールから同じ証拠を 2 回収集することを避けるため、Audit Manager はサービスにリンクされたルールを無視し、そこから証拠を収集しません。

AWS Config が有効になっていません

AWS アカウント で AWS Config が有効になっている必要があります。このように AWS Config を設定すると、Audit Manager は AWS Config ルールの評価が行われるたびに証拠を収集します。AWS アカウント で AWS Config が有効になっていることを確認します。手順については、AWS Config の有効化と設定を参照してください。

この AWS Config ルールは、評価を設定する前にリソース構成を評価した

特定のリソースの構成変更を評価するように AWS Config ルールが設定されている場合、AWS Config の評価と Audit Manager の証拠の間に不一致が発生する可能性があります。これは、Audit Manager 評価でコントロールを設定する前にルール評価が行われた場合に発生します。この場合、基になるリソースの状態が再び変更され、ルールの再評価がトリガーされるまで、Audit Manager は証拠を生成しません。

回避策として、AWS Config コンソールでルールに移動し、手動でルールを再評価できます。これにより、そのルールに関連するすべてのリソースの評価が新たに開始されます。

私の評価では、AWS CloudTrail からユーザーアクティビティの証拠が収集されていません

Audit Manager API を使用してカスタム コントロールを作成する場合、証拠収集のためのデータソースマッピングとして CloudTrail イベント名を指定できます。そのためには、イベント名をkeywordValueとして入力します。

CloudTrail イベントのユーザーアクティビティの証拠が表示されない場合は、ControlMappingSourcekeywordValueが正しく入力されていない可能性があります。keywordValue は、大文字と小文字が区別されます。誤って入力すると、Audit Manager がイベント名を認識しない可能性があります。その結果、該当イベントのユーザーアクティビティの証拠を意図したとおりに収集できない可能性があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。イベントがserviceprefix_ActionNameと記述されていることを確認してください。例えば、cloudtrail_StartLogging と指定します。正確さを期すために、サービス認可リファレンスで AWS のサービス プレフィックスとアクション名を確認してください。

私の評価では、AWS API コールの構成データの証拠が収集されていません

Audit Manager API を使用してカスタムコントロールを作成する場合は、証拠収集のためのデータソースマッピングとして AWS API コールを指定できます。そのためには、API コールをkeywordValueとして入力します。

AWSAPI コールの設定データが表示されない場合は、ControlMappingSourcekeywordValueが誤って入力された可能性があります。keywordValue大文字と小文字を区別します。誤って入力すると、Audit Manager がそのAPI コールを認識しない可能性があります。その結果、その API コールに関する構成データの証拠を意図したとおりに収集できない可能性があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。API コールがserviceprefix_ActionNameと記述されていることを確認してください。例えば、iam_ListGroups と指定します。精度については、AWS Audit Manager でサポートされている AWS API コール のリストを参照してください。

一般的なコントロールが自動証拠を収集しない

一般的なコントロールをレビューする際、次のメッセージが表示されます。この一般的なコントロールは、コアコントロールから自動証拠を収集しません

これは、現在、この一般的なコントロールをサポートする AWS マネージド証拠ソースがないことを示します。結果として、証拠ソースタブは空で、コアコントロールは表示されません。

自動証拠を収集しない一般的なコントロールは、手動の一般的なコントロールと呼ばれます。手動の一般的なコントロールでは、通常、物理レコードおよび署名、または AWS 環境外で発生するイベントに関する詳細を提供する必要があります。このため、多くの場合、コントロールの要件を裏付ける証拠を生成できる AWS データソースはありません。

一般的なコントロールが手動の場合、カスタムコントロールの証拠ソースとして使用できます。唯一の違いは、一般的なコントロールが証拠を自動的に収集しないことです。代わりに、一般的なコントロールの要件をサポートするために、独自の証拠を手動でアップロードする必要があります。

手動の一般的なコントロールに証拠を追加するには

  1. カスタムコントロールの作成

    • カスタムコントロールの作成手順または編集手順に従います。

    • ステップ 2 で証拠ソースを指定する際、証拠ソースとして手動の一般的なコントロールを選択します。

  2. カスタムフレームワークの作成

    • カスタムフレームワークの作成手順または編集手順に従います。

    • ステップ 2 でコントロールセットを指定する際は、新しいカスタムコントロールを含めます。

  3. 評価の作成

    • 手順に従って、カスタムフレームワークから評価を作成します

    • これで、手動の一般的なコントロールがアクティブな評価コントロールの証拠ソースになります。

  4. 手動証拠のアップロード

注記

より多くの AWS データソースが利用可能になるにつれて、AWS が一般的なコントロールを更新して、証拠ソースとしてコアコントロールを含める可能性があります。一般的なコントロールが 1 つ以上のアクティブな評価コントロールの証拠ソースである場合、そのような更新で自動的にメリットを受けることになります。これ以上の設定は必要なく、一般的なコントロールをサポートする自動証拠の収集が開始されます。

証拠がさまざまな間隔で生成されており、収集頻度がわかりません

Audit Manager の評価のコントロールでは、さまざまなデータソースの組み合わせにマッピングされます。データソースごとに、証拠収集の頻度が異なります。その結果、証拠収集の頻度についてあらゆる場合に当てはまる答えはありません。コンプライアンスを評価するデータソースもあれば、リソースの状態をキャプチャし、コンプライアンスに関して判断することなくデータを変更するだけのデータソースもあります。

さまざまなデータソースの種類と証拠を収集する頻度の概要を以下に示します。

[Data source type] 説明 証拠収集の頻度 このコントロールが評価でアクティブになっている場合
AWS CloudTrail

特定のユーザーアクティビティを追跡します。

 継続的

Audit Manager は、選択したキーワードに基づいて CloudTrail ログをフィルタリングします。処理されたログは、[ユーザーアクティビティ] の証拠にインポートされます。
AWS Security Hub

Security Hub からの検出結果を報告することにより、リソースのセキュリティ体制のスナップショットをキャプチャします。

 Security Hub チェックのスケジュールに基づく (通常は約 12 時間ごと)

Audit Manager は、Security Hub から直接セキュリティ検出結果を取得します。検出結果はコンプライアンスチェックの証拠としてインポートされます。
AWS Config

AWS Config からの検出結果を報告することにより、リソースのセキュリティ体制のスナップショットをキャプチャします。

 AWS Config ルールで定義された設定に基づく Audit Manager はルール評価を AWS Config から直接取得します。評価はコンプライアンスチェックの証拠としてインポートされます。
AWS API コール

指定された AWS のサービスに対する API コールを介して、リソース設定のスナップショットを直接取得します。

 毎日、毎週、または毎月 Audit Manager は、指定された頻度に基づいて API コールを行います。レスポンスは構成データ証拠としてインポートされます。

証拠収集の頻度にかかわらず、評価がアクティブである限り、新しい証拠が自動的に収集されます。詳細については、「証拠収集の頻度」を参照してください。

詳細については、「自動証拠でサポートされているデータソースタイプ」および「コントロールが証拠を収集する頻度の変更」を参照してください。

Audit Manager を無効にしてから再度有効にしましたが、既存の評価では証拠が収集されなくなりました

Audit Manager を無効にしてデータを削除しないことを選択すると、既存の評価は休止状態になり、証拠の収集が停止します。つまり、Audit Manager を再度有効にしても、以前に作成した評価は引き続き使用できます。ただし、証拠収集は自動的に再開はされません。

既存のアセスメントの証拠の収集を再開するには、評価を編集し、変更を加えずに保存を選択します。

評価の詳細ページで、評価を再作成するように求められる

評価を再作成するよう求めるプロンプトを表示するポップアップメッセージのスクリーンショット。

より包括的な証拠を収集する新しい評価を作成してくださいというメッセージが表示された場合は、評価が作成された標準フレームワークの新しい定義を Audit Manager が提供するようになったことを示します。

新しいフレームワークの定義では、フレームワークのすべての標準コントロールが、AWS マネージドソースから証拠を収集できるようになりました。つまり、一般的なコントロールまたはコアコントロールの基盤となるデータソースが更新されるたびに、Audit Manager は関連するすべての標準コントロールに同じ更新を自動的に適用します。

これらの AWS マネージドソースを活用するには、更新されたフレームワークから新しい評価を作成することをお勧めします。その後、古い評価のステータスを非アクティブに変更することができます。このアクションによって、新しい評価は AWS マネージドソースから入手可能な最も正確で包括的な証拠を確実に収集できるようになります。何もしない場合、評価は引き続き古いフレームワークとコントロール定義を使用して、以前とまったく同じ証拠を収集します。

データソースと証拠ソースの違いは何ですか?

証拠ソースは、証拠が収集される場所を決定します。これは、個々のデータソースでも、コアコントロールまたは一般的なコントロールにマッピングされるデータソースの事前定義されたグループでもかまいません。

データソースは、最も詳細な証拠ソースのタイプです。データソースには、証拠データを収集する正確な場所を Audit Manager に伝える以下の詳細が含まれます。

評価の作成に失敗した

アセスメントの作成に失敗した場合は、評価範囲で選択した AWS アカウント が多すぎることが原因である可能性があります。AWS Organizations を使用している場合は、Audit Manager は、単一の評価の範囲で最大 200 のメンバーアカウントをサポートできます。この数を超えると、評価の作成が失敗する可能性があります。回避策として、各評価の範囲内で異なるアカウントを使用して複数の評価を実行できます。

対象範囲内のアカウントを組織から削除するとどうなりますか?

範囲内のアカウントが組織から削除されると、Audit Manager は、それ以降、そのアカウントの証拠を収集しなくなります。ただし、アカウントは引き続き [AWS アカウント] タブの評価に表示されます。範囲内のアカウントのリストからアカウントを削除するには、評価を編集を実行します。削除されたアカウントは編集中にリストに表示されなくなります。また、そのアカウントが範囲に含まれていなくても変更を保存できます。

評価の範囲内のサービスが表示されない

AWS のサービス タブが表示されない場合、範囲内のサービスが Audit Manager によって管理されていることを示します。新しい評価が作成された時点から、Audit Manager は範囲内のサービスを管理します。

古い評価では、以前このタブは評価に表示されていました。ただし、Audit Manager は評価からこのタブを自動的に削除し、次のいずれかのイベントが発生した場合に、範囲内のサービスの管理を引き継ぎます。

  • 評価の編集

  • 評価で使用されるいずれかのカスタムコントロールの編集

Audit Manager は、評価コントロールとそのデータソースを調べ、この情報を対応する AWS のサービス にマッピングすることで、範囲内のサービスを推測します。評価の基盤となるデータソースが変更された場合、適切なサービスを反映するために、必要に応じて範囲が自動的に更新されます。これにより、AWS 環境内のすべての関連サービスについての正確で包括的な証拠を評価で収集できます。

評価の範囲内のサービスを編集できません

AWS Audit Manager での評価の編集 ワークフローにサービスの編集手順が含まれなくなりました。これは、Audit Manager が評価の対象となる AWS のサービス を管理するようになったためです。

古い評価では、評価を作成した際に、範囲内のサービスを手動で定義していました。ただし、これらのサービスは今後編集することはできません。Audit Manager は、次のいずれかのイベントが発生した場合に、評価の範囲内のサービスの管理を引き継ぎます。

  • 評価の編集

  • 評価で使用されるいずれかのカスタムコントロールの編集

Audit Manager は、評価コントロールとそのデータソースを調べ、この情報を対応する AWS のサービス にマッピングすることで、範囲内のサービスを推測します。評価の基盤となるデータソースが変更された場合、適切なサービスを反映するために、必要に応じて範囲が自動的に更新されます。これにより、AWS 環境内のすべての関連サービスについての正確で包括的な証拠を評価で収集できます。

サービスの対象範囲とデータソースタイプにはどのような違いがありますか?

service in scope は評価の範囲に含まれる AWS のサービス です。サービスが対象範囲内にある場合、Audit Manager は対象サービスとそのリソースの使用状況に関する証拠を収集します。

注記

Audit Manager は、評価の対象となる AWS のサービス を管理します。古い評価では、スコープ内のサービスを手動で指定していました。今後、範囲内のサービスを指定したり編集したりすることはできません。

データソースタイプは、証拠が正確にどこから収集されたかを示します。独自のエビデンスをアップロードする場合、データソースタイプは手動です。Audit Manager が証拠を収集する場合、データソースは 4 つのタイプのいずれかになります。

  1. AWS Security Hub — Security Hub からの検出結果を報告することにより、リソースのセキュリティ体制のスナップショットをキャプチャします。

  2. AWS Config — AWS Config からの検出結果を報告することにより、リソースのセキュリティ体制のスナップショットをキャプチャします。

  3. AWS CloudTrail — リソースに関する特定のユーザーアクティビティを追跡します。

  4. AWS API コール – 指定された AWS のサービス に対する API コールを介して、リソース設定のスナップショットを直接取得します。

対象範囲のサービスとデータソースタイプの違いを説明する 2 つの例を次に示します。

例 1

例えば、4.1.2 - S3 バケットへのパブリック書き込みアクセスを許可しないという名前のコントロールの証拠を収集するとします。このコントロールは S3 バケットポリシーのアクセスレベルをチェックします。このコントロールでは、Audit Manager は特定の AWS Config ルール (s3-bucket-public-write-prohibited) を使用して S3 バケットの評価を確認します。この例では、以下のことが当てはまります。

例 2

164.308(a)(5)(ii)(C)という名前の HIPAA コントロールの証拠を収集するとします。このコントロールは、不適切なサインインを検出するためのモニタリング手順を要求します。このコントロールについて、Audit Manager は CloudTrail ログを使用して、すべての AWS マネジメントコンソールサインインイベントを探します。この例では、以下のことが当てはまります。