AWS Audit Manager が証拠を収集する仕組み

AWS Audit Manager のアクティブな各評価は、さまざまなデータソースから証拠を自動的に収集します。各評価で、どの AWS アカウントについて Audit Manager が証拠を収集するかを定義し、Audit Manager はどの AWS のサービスがスコープに含まれるかを管理します。これらのサービスおよびアカウントには、所有および使用する複数のリソースが含まれています。Audit Manager における証拠収集では、範囲内の各リソースが評価されます。これをリソース評価と呼びます。

次の手順は、Audit Manager が各リソース評価の証拠を収集する方法を説明するものです。

1. データソースからのリソース評価

証拠収集を開始するために、Audit Manager はデータソースから範囲内のリソースを評価します。これは、設定スナップショット、関連するコンプライアンスチェックの結果、またはユーザーアクティビティをキャプチャすることによって実行されます。その後、分析を実行して、このデータがサポートするコントロールを判別します。その後、リソース評価の結果が保存され、証拠に変換されます。さまざまな証拠タイプの詳細については、このガイドの「AWS Audit Manager の概念と用語」の「evidence」を参照してください。

2. 評価結果を証拠に変換する

リソース評価の結果には、そのリソースからキャプチャされた元のデータと、データがサポートするコントロールを示すメタデータの両方が含まれます。Audit Manager は、元のデータを監査人が確認しやすい形式に変換します。変換されたデータとメタデータは、コントロールにアタッチされる前に Audit Manager の証拠として保存されます。

3. 関連するコントロールに証拠をアタッチする

Audit Manager は証拠のメタデータを読み取ります。その後、保存された証拠を評価内の関連するコントロールにアタッチします。アタッチされた証拠は、Audit Manager に表示されます。これで、リソース評価のサイクルが完了します。

注記

コントロールの設定によっては、同じ証拠を、複数の Audit Manager の評価からの複数のコントロールにアタッチできる場合があります。同じ証拠が複数のコントロールにアタッチされている場合、Audit Manager はリソース評価を 1 回だけ実行します。これは、同じ証拠が収集されるのが 1 回のみであることによります。ただし、Audit Manager の評価における 1 つのコントロールには、複数のデータソースからの複数の証拠が含まれている場合があります。

証拠収集の頻度

証拠の収集は、評価を作成したときに開始される継続的なプロセスです。Audit Manager は、さまざまな頻度で複数のデータソースから証拠を収集します。その結果、証拠収集の頻度についてあらゆる場合に当てはまる答えはありません。証拠収集の頻度は、以下で説明するように、証拠タイプとそのデータソースに基づいています。

コンプライアンスチェック - Audit Manager は、AWS Security Hub および AWS Config からこの証拠タイプを収集します。
- Security Hub については、証拠収集は Security Hub チェックのスケジュールに従います。Security Hub チェックのスケジュールの詳細については、AWS Security Hub ユーザーガイドの「セキュリティチェックの実行スケジュール」を参照してください。Audit Manager でサポートされている Security Hub チェックの詳細については、「AWS Audit Manager でサポートされている AWS Security Hub コントロール」を参照してください。
- AWS Config の場合、証拠収集は AWS Config のルールで定義されたトリガーに従います。AWS Config ルールのトリガーの詳細については、AWS Config ユーザーガイドの「トリガータイプ」を参照してください。Audit Manager でサポートされている AWS Config ルールの詳細については、「AWS Audit Manager でサポートされる AWS Config ルール」を参照してください。
ユーザーアクティビティ - Audit Manager は、この証拠タイプを AWS CloudTrail から継続的に収集します。この頻度は継続的です。これは、ユーザーアクティビティが 1 日のうち、いつでも発生する可能性があるためです。詳細については、「AWS Audit Manager によってサポートされる AWS CloudTrail イベント名」を参照してください。
設定データ — Audit Manager は、Amazon EC2、Amazon S3、IAM などの別の AWS のサービス API コールを使用して、この証拠タイプを収集します。どの API アクションを呼び出すかを選択できます。また、Audit Manager で頻度を日次、週次、または月次として設定します。コントロールライブラリでコントロールを作成または編集するときに、この頻度を指定できます。コントロールを編集または作成する手順については、「AWS Audit Manager のコントロールライブラリを使用したコントロールの管理」を参照してください。Audit Manager でサポートされている API コールの詳細については、「AWS Audit Manager でサポートされている AWS API コール」を参照してください。

データソースの証拠収集の頻度にかかわらず、コントロールと評価がアクティブである限り、新しい証拠は自動的に収集されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

概念と用語

コントロールの例