AWS Audit Manager での推奨機能と AWS のサービス の有効化 - AWS Audit Manager
重要ポイント 推奨機能推奨インテグレーション次のステップ

AWS Audit Manager での推奨機能と AWS のサービス の有効化

AWS Audit Manager を有効にしたら、サービスを最大限に活用するために、推奨される機能と統合をセットアップします。

重要ポイント

Audit Manager を最適に使用するには、次の機能を設定し、次の AWS のサービスを有効にすることをお勧めします。

タスク

Audit Manager の推奨機能の設定

Audit Manager を有効にした後、エビデンスファインダー機能を有効にすることをお勧めします。

証拠ファインダー Audit Manager でエビデンスを検索する強力な方法を提供します。深くネストされたエビデンスフォルダをブラウズして探しているものを探す代わりに、エビデンスファインダーを使用してエビデンスをすばやく検索できます。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。

フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。

他の AWS のサービス との推奨統合を設定してください

Audit Manager で最適なエクスペリエンスを実現するために、AWS のサービス を有効にすることを強くお勧めします。

  • AWS Organizations – 組織を使用すると、複数のアカウントに対して Audit Manager の評価を実行し、委任された管理者アカウントに証拠を統合できます。

  • AWS Security Hub および AWS Config – Audit Manager は、証拠収集のデータソースとしてこれらの AWS のサービス に依存します。AWS Config と Security Hub を有効にすると、Audit Manager は完全な機能で動作し、包括的な証拠を収集して、これらのサービスから直接コンプライアンスチェックの結果を正確に報告できます。

重要

AWS Config と Security Hub を有効にして設定しない場合、Audit Manager の評価の多くのコントロールについて意図した証拠を収集できません。結果として、特定のコントロールについて、不完全な証拠収集が行われたり、証拠収集が失敗する可能性があります。より具体的には、以下のような例が挙げられます。

  • Audit Manager がコントロールデータソースとして AWS Config を使用しようとしても、必要な AWS Config ルールが有効になっていない場合、それらのコントロールの証拠は収集されません。

  • 同様に、Audit Manager がコントロールデータソースとして Security Hub を使用しようとしても、必要な基準が Security Hub で有効になっていない場合、それらのコントロールの証拠は収集されません。

これらのリスクを軽減し、包括的な証拠収集を確実にするには、Audit Manager 評価を作成する前に、このページの手順に従って AWS Config と Security Hub を有効にして設定します。

Audit Manager の多くのコントロールでは、データソースタイプとして AWS Config が必要です。これらのコントロールをサポートするには、Audit Manager が有効になっている各アカウントの AWS リージョン すべてのアカウントで AWS Config を有効にする必要があります。

Audit Manager は、お客様に代わって AWS Config の管理を行いません。以下の手順に従って設定 AWS Config を有効化および構成できます。

重要

AWS Config 有効化はオプションとして推奨されます。ただし、有効にする場合は AWS Config、次の設定が必要です。Audit Manager がデータソースタイプとして AWS Config を使用するコントロールの証拠を収集しようとし、AWS Config が以下のように設定されていない場合、それらのコントロールの証拠は収集されません。

Audit Manager AWS Config と統合するタスク

ステップ 1: AWS Config を有効にする

AWS Config コンソールまたは API を AWS Config 使用して有効にできます。手順については、AWS Config デベロッパーガイドAWS Config の開始方法を参照してください。

ステップ 2: Audit Manager AWS Config で使用できるように設定を行う

AWS Config を有効にした後、必ず AWS Config のルールも有効にするか、監査に関連するコンプライアンス標準の適合パック を展開してください。この手順により、監査マネージャーが有効にした AWS Config ルールの検出結果を確実にインポートできるようになります。

ルールを有効にしたら、その AWS Config ルールのパラメータを確認することをお勧めします。次に、選択したコンプライアンスフレームワークの要件と照らし合わせてこれらのパラメータを検証する必要があります。必要に応じて、AWS Config でルールのパラメータを更新して、フレームワークの要件に合致するようにすることができます。これにより、評価によって特定のフレームワークに関する正しいコンプライアンスチェックの証拠が収集されるようになります。

例えば、CIS v1.2.0 の評価を作成するとします。このフレームワークには、1.4-アクセスキーが 90 日以内にローテーションされることを確認するコントロールがあります。AWS Config では、アクセスキーのローテーションルールには、デフォルト値が 90 日の maxAccessKeyAge パラメータがあります。その結果、このルールは統制要件と一致しています。デフォルト値を使用していない場合は、使用する値が CIS v1.2.0 の 90 日間の要件以上であることを確認してください。

各マネージドルールのデフォルトパラメータの詳細は、AWS Config ドキュメントに記載されています。ルールを設定する方法については、「AWS Config マネージドルールの使用」を参照してください。

Audit Manager の多くのコントロールは、データソースタイプとして Security Hub が必要です。これらの制御をサポートするには、Audit Manager が有効になっている各リージョンのすべてのアカウントで Security Hub を有効にする必要があります。

Audit Manager は、ユーザーに代わって Security Hub を管理しません。以下の手順に従って Security Hub を有効にし、設定を構成できます。

重要

Security Hub を有効にすることはオプションの推奨事項です。ただし、Security Hub を有効にする場合は、次の設定が必要です。Audit Manager がデータソースタイプとして Security Hub を使用するコントロールの証拠を収集しようとし、Security Hub が以下のように設定されていない場合、それらのコントロールの証拠は収集されません。

Audit Manager AWS Security Hub と統合するタスク

ステップ 1: AWS Security Hub を有効にする

Security Hub は、コンソールまたは API を使用して有効にすることができます。手順については、AWS Security Hub ユーザーガイドのタスク設定の構成 AWS Security Hubを参照してください。

ステップ 2: Audit Manager で使用する Security Hub の設定を設定する

Security Hub を有効にしたら、次も実行してください。

  • AWS Config を有効にしてリソース記録を構成する - Security Hub は、サービスにリンクされた AWS Config ルールを使用して、コントロールのセキュリティチェックのほとんどを実行します。これらのコントロールをサポートするには、AWS Config を有効にし、有効な各標準で有効にしたコントロールに必要なリソースを記録するように構成する必要があります。

  • すべてのセキュリティ標準を有効にする - この手順により、Audit Manager がサポートされているすべてのコンプライアンス標準の検出結果をインポートできるようになります。

  • Security Hub の [統合されたコントロールの検出結果] 設定を有効にする -この設定は、2023 年 2 月 23 日以降に Security Hub を有効にした場合、デフォルトで [有効] になっています。

    注記

    統合された検出結果を有効にすると、Security Hub はセキュリティチェックごとに 1 つの結果を生成します (同じチェックが複数の標準で使用されている場合でも)。Security Hub 結果はそれぞれ、Audit Manager に 1 つの固有のリソース評価として収集されます。その結果、検出結果を統合すると、Audit Manager が Security Hub の検出結果に対して実施する固有リソース評価の合計が減少します。このため、統合された検出結果を使用すると、多くの場合、Audit Manager の使用コストを削減できます。Security Hub をデータ ソースタイプとして使用する方法の詳細については、「AWS Audit Manager でサポートされている AWS Security Hub コントロール」を参照してください。Audit Manager の価格設定の詳細については、「AWS Audit Manager料金」を参照してください。

ステップ 3: 組織の Organizations 設定を構成する

AWS Organizations を使用し、メンバー アカウントから Security Hub の証拠を収集する場合は、Security Hub で次の手順も実行する必要があります。

組織の Security Hub の設定を構成するには

  1. AWS Management Console にサインインして、AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。

  2. AWS Organizations 管理アカウントを使用して、Security Hub の委任された管理者としてアカウントを指定します。詳細については、AWS Security Hub ユーザーガイドの「Security Hub 管理者アカウントの指定」を参照してください。

    注記

    Security Hub で指定する委任された管理者アカウントが、Audit Manager で指定したものと同じであることを確認してください。

  3. Organizations の委任された管理者アカウントを使用して、設定、アカウントに移動し、すべてのアカウントを選択してから、[Auto-enroll] (自動登録) を選択してメンバーとして追加します。詳細については、AWS Security Hub ユーザーガイドの「組織からメンバーアカウントを有効にする」を参照してください。

  4. 組織のすべてのメンバーアカウントについて AWS Config を有効にします。詳細については、AWS Security Hub ユーザーガイドの「組織からメンバーアカウントを有効にする」を参照してください。

  5. 組織のすべてのメンバーアカウントについて PCI DSS セキュリティ標準を有効にします。デフォルトでは、AWS CIS Foundations Benchmark 標準と AWS Foundational Best Practices 標準は既に有効になっています。詳細については、AWS Security Hub ユーザーガイドの「セキュリティ標準の有効化」を参照してください。

Audit Manager は、AWS Organizations との統合により複数のアカウントをサポートします。Audit Manager は、複数のアカウントに対して評価を実行し、委任された管理者アカウントに証拠を統合できます。委任管理者は、組織を信頼ゾーンとして持つ Audit Manager リソースを作成および管理するための許可を持っています。管理アカウントのみが委任管理者を指定できます。

重要

AWS Organizations 有効化はオプションとして推奨されます。ただし、有効にする場合は AWS Organizations、次の設定が必要です。

Audit Manager AWS Organizations と統合するタスク

ステップ 1: 組織を作成または組織に参加する

お客様の AWS アカウント は組織に所属していない場合は、組織を作成したり、参加したりできます。手順については、AWS Organizations ユーザーガイドの「組織の作成と管理」を参照してください。

ステップ 2: 組織内のすべての機能を有効にする

次に、組織内のすべての機能を有効にする必要があります。手順については、AWS Organizations ユーザーガイドの「組織内のすべての機能の有効化」を参照してください。

ステップ 3: Audit Manager の委任された管理者を指定する

組織管理アカウントを使用して Audit Manager を有効にしてから、委任された管理者を設定することをお勧めします。その後、委任された管理者アカウントを使用してログインし、評価を実行できます。ベストプラクティスとして、管理アカウントではなく、委任された管理者アカウントを使用してのみ評価を作成することをお勧めします。

Audit Manager の委任された管理者を追加または変更するには、「委任管理者の追加」および「委任管理者の変更」を参照してください。

次のステップ

推奨設定を使用して Audit Manager の設定が完了したので、サービスの利用を開始する準備が整いました。