翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の および AWS のサービス の推奨機能を有効にする AWS Audit Manager
<a name="setup-recommendations"></a>





を有効にしたので AWS Audit Manager、サービスを最大限に活用するために推奨される機能と統合をセットアップします。

## 重要ポイント
<a name="setup-recommendations-key-points"></a>

Audit Manager を最適に使用するには、次の機能を設定し、次の AWS のサービスを有効にすることをお勧めします。

**タスク**
+ [Audit Manager の推奨機能の設定](#setup-recommendations-features)
+ [他の との推奨統合を設定する AWS のサービス](#setup-recommendations-services)
  + [を有効にしてセットアップする AWS Config](#config-recommendations)
  + [を有効にしてセットアップする AWS Security Hub CSPM](#securityhub-recommendations)
  + [を有効にしてセットアップする AWS Organizations](#enabling-orgs)

## Audit Manager の推奨機能の設定
<a name="setup-recommendations-features"></a>

Audit Manager を有効にした後、エビデンスファインダー機能を有効にすることをお勧めします。

**[証拠ファインダー](evidence-finder.md)** Audit Manager でエビデンスを検索する強力な方法を提供します。深くネストされたエビデンスフォルダをブラウズして探しているものを探す代わりに、エビデンスファインダーを使用してエビデンスをすばやく検索できます。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。

フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。

## 他の との推奨統合を設定する AWS のサービス
<a name="setup-recommendations-services"></a>

Audit Manager で最適なエクスペリエンスを得るには、以下を有効にすることを強くお勧めします AWS のサービス。
+ **AWS Organizations** – 組織を使用すると、複数のアカウントに対して Audit Manager の評価を実行し、委任された管理者アカウントに証拠を統合できます。
+ **AWS Security Hub CSPM** および **AWS Config** – Audit Manager は、証拠収集のデータソース AWS のサービス としてこれらに依存します。 AWS Config と Security Hub CSPM を有効にすると、Audit Manager は完全な機能で動作し、包括的な証拠を収集し、これらのサービスから直接コンプライアンスチェックの結果を正確に報告できます。

**重要**  
 AWS Config と Security Hub CSPM を有効にして設定しない場合、Audit Manager の評価で多くのコントロールについて意図した証拠を収集することはできません。結果として、特定のコントロールについて、不完全な証拠収集が行われたり、証拠収集が失敗する可能性があります。より具体的には、以下のような例が挙げられます。  
Audit Manager がコントロールデータソース AWS Config として を使用しようとしても、必要な AWS Config ルールが有効になっていない場合、それらのコントロールの証拠は収集されません。
同様に、Audit Manager が Security Hub CSPM をコントロールデータソースとして使用しようとしても、Security Hub CSPM で必要な標準が有効になっていない場合、それらのコントロールの証拠は収集されません。
これらのリスクを軽減し、包括的な証拠収集を確保するには、Audit Manager 評価を作成する前に、このページの手順に従って と Security Hub CSPM を有効に AWS Config して設定します。

### を有効にしてセットアップする AWS Config
<a name="config-recommendations"></a>



Audit Manager の多くのコントロールでは、データソースタイプ AWS Config として が必要です。これらのコントロールをサポートするには、Audit Manager が有効になってい AWS リージョン る各 AWS Config のすべてのアカウントで を有効にする必要があります。

Audit Manager はお客様 AWS Config に代わって を管理しません。以下の手順に従って設定 AWS Config を有効化および構成できます。

**重要**  
の有効化 AWS Config はオプションのレコメンデーションです。ただし、有効にする場合は AWS Config、次の設定が必要です。Audit Manager AWS Config がデータソースタイプ AWS Config として を使用するコントロールの証拠を収集しようとし、以下に説明するように設定されていない場合、それらのコントロールの証拠は収集されません。

**Audit Manager AWS Config と統合するタスク**
+ [ステップ 1: を有効にする AWS Config](#enabling-config)
+ [ステップ 2: Audit Manager で使用する AWS Config 設定を構成する](#set-up-config)

#### ステップ 1: を有効にする AWS Config
<a name="enabling-config"></a>

 AWS Config コンソールまたは API AWS Config を使用して を有効にできます。手順については、*AWS Config デベロッパーガイド*の[AWS Configの開始方法](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)を参照してください。

#### ステップ 2: Audit Manager で使用する AWS Config 設定を構成する
<a name="set-up-config"></a>

有効にしたら AWS Config、監査に関連するコンプライアンス標準の[AWS Config ルールも有効に](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)するか、コン[フォーマンスパックをデプロイ](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html)してください。この手順により、監査マネージャーが有効にした AWS Config ルールの検出結果を確実にインポートできるようになります。

 AWS Config ルールを有効にしたら、そのルールのパラメータを確認することをお勧めします。次に、選択したコンプライアンスフレームワークの要件と照らし合わせてこれらのパラメータを検証する必要があります。必要に応じて、[AWS Configでルールのパラメータ](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_manage-rules.html)を更新して、フレームワークの要件に合致するようにすることができます。これにより、評価によって特定のフレームワークに関する正しいコンプライアンスチェックの証拠が収集されるようになります。

例えば、CIS v1.2.0 の評価を作成するとします。このフレームワークには、[1.4-アクセスキーが 90 日以内にローテーションされることを確認するコントロールがあります](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html#securityhub-cis-controls-1.4)。 AWS Configでは、[アクセスキーのローテーション](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html)ルールには、デフォルト値が 90 日の `maxAccessKeyAge` パラメータがあります。その結果、このルールは統制要件と一致しています。デフォルト値を使用していない場合は、使用する値が CIS v1.2.0 の 90 日間の要件以上であることを確認してください。

各マネージドルールのデフォルトパラメータの詳細は、[AWS Config ドキュメント](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)に記載されています。ルールを設定する方法については、[AWS Config 「マネージドルールの使用](https://docs.aws.amazon.com/config/latest/developerguide/managing-aws-managed-rules.html)」を参照してください。

### を有効にしてセットアップする AWS Security Hub CSPM
<a name="securityhub-recommendations"></a>



Audit Manager の多くのコントロールでは、データソースタイプとして Security Hub CSPM が必要です。これらのコントロールをサポートするには、Audit Manager が有効になっている各リージョンのすべてのアカウントで Security Hub CSPM を有効にする必要があります。

Audit Manager は Security Hub CSPM を管理しません。以下の手順に従って、Security Hub CSPM を有効にし、設定を構成することができます。

**重要**  
Security Hub CSPM を有効にすることは、オプションの推奨事項です。ただし、Security Hub CSPM を有効にする場合は、次の設定が必要です。Audit Manager がデータソースタイプとして Security Hub CSPM を使用するコントロールの証拠を収集しようとし、Security Hub CSPM が以下に説明するように設定されていない場合、それらのコントロールの証拠は収集されません。

**Audit Manager AWS Security Hub CSPM と統合するタスク**
+ [ステップ 1: を有効にする AWS Security Hub CSPM](#enabling-securityhub)
+ [ステップ 2: Audit Manager で使用する Security Hub CSPM 設定を構成する](#set-up-securityhub)
+ [ステップ 3: 組織の Organizations 設定を構成する](#set-up-securityhub-orgs)

#### ステップ 1: を有効にする AWS Security Hub CSPM
<a name="enabling-securityhub"></a>

Security Hub CSPM は、 コンソールまたは API を使用して有効にできます。手順については、AWS Security Hub CSPM ユーザーガイドの[タスク設定の構成 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)を参照してください。

#### ステップ 2: Audit Manager で使用する Security Hub CSPM 設定を構成する
<a name="set-up-securityhub"></a>

Security Hub CSPM を有効にしたら、以下も実行してください。
+ [リソース記録の有効化 AWS Config と設定](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) – Security Hub CSPM は、サービスにリンクされた AWS Config ルールを使用して、コントロールのセキュリティチェックのほとんどを実行します。これらのコントロールをサポートするには、有効な各標準で有効にしたコントロールに必要なリソースを記録するように、 を有効にして設定 AWS Config する必要があります。
+ [すべてのセキュリティ標準を有効にする](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console) - この手順により、Audit Manager がサポートされているすべてのコンプライアンス標準の検出結果をインポートできるようになります。
+ [Security Hub CSPM で統合コントロールの検出結果設定を有効にする](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings) - 2023 年 2 月 23 日以降に Security Hub CSPM を有効にすると、この設定はデフォルトで*有効*になります。
**注記**  
統合検出結果を有効にすると、Security Hub CSPM はセキュリティチェックごとに 1 つの検出結果を生成します (同じチェックが複数の標準で使用されている場合でも）。各 Security Hub CSPM の検出結果は、Audit Manager で 1 つの一意のリソース評価として収集されます。その結果、統合された検出結果により、Audit Manager が Security Hub CSPM の検出結果に対して実行する一意のリソース評価の合計が減少します。このため、統合された検出結果を使用すると、多くの場合、Audit Manager の使用コストを削減できます。Security Hub CSPM をデータソースタイプとして使用する方法の詳細については、「」を参照してください[AWS Security Hub CSPM でサポートされているコントロール AWS Audit Manager](control-data-sources-ash.md)。Audit Manager の価格設定の詳細については、[「AWS Audit Manager 料金」](https://aws.amazon.com/audit-manager/pricing/)を参照してください。

#### ステップ 3: 組織の Organizations 設定を構成する
<a name="set-up-securityhub-orgs"></a>

を使用して AWS Organizations いて、メンバーアカウントから Security Hub CSPM の証拠を収集する場合は、Security Hub CSPM で次の手順も実行する必要があります。

**組織の Security Hub CSPM 設定をセットアップするには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1.  AWS Organizations 管理アカウントを使用して、アカウントを Security Hub CSPM の委任管理者として指定します。詳細については、「 *AWS Security Hub CSPM ユーザーガイド*[」の「Security Hub CSPM 管理者アカウントの指定](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-console)」を参照してください。
**注記**  
Security Hub CSPM で指定する委任管理者アカウントが、Audit Manager で使用するものと同じであることを確認します。

1. Organizations の委任された管理者アカウントを使用して、**設定、アカウント**に移動し、すべてのアカウントを選択してから、**[Auto-enroll]** (自動登録) を選択してメンバーとして追加します。詳細については、*AWS Security Hub CSPM ユーザーガイド*の「[組織からメンバーアカウントを有効にする](https://docs.aws.amazon.com/securityhub/latest/userguide/orgs-accounts-enable.html)」を参照してください。

1. 組織のメンバーアカウント AWS Config ごとに を有効にします。詳細については、*AWS Security Hub CSPM ユーザーガイド*の「[組織からメンバーアカウントを有効にする](https://docs.aws.amazon.com/securityhub/latest/userguide/orgs-accounts-enable.html)」を参照してください。

1. 組織のすべてのメンバーアカウントについて PCI DSS セキュリティ標準を有効にします。 AWS CIS Foundations Benchmark 標準と AWS Foundational Best Practices 標準は、デフォルトで既に有効になっています。詳細については、*AWS Security Hub CSPM ユーザーガイド*の「[セキュリティ標準の有効化](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console)」を参照してください。

### を有効にしてセットアップする AWS Organizations
<a name="enabling-orgs"></a>



Audit Manager は、 との統合を通じて複数のアカウントをサポートします AWS Organizations。Audit Manager は、複数のアカウントに対して評価を実行し、委任された管理者アカウントに証拠を統合できます。委任管理者は、組織を信頼ゾーンとして持つ Audit Manager リソースを作成および管理するための許可を持っています。管理アカウントのみが委任管理者を指定できます。

**重要**  
の有効化 AWS Organizations はオプションの推奨事項です。ただし、有効にする場合は AWS Organizations、次の設定が必要です。

**Audit Manager AWS Organizations と統合するタスク**
+ [ステップ 1: 組織を作成または組織に参加する](#enabling-orgs-create)
+ [ステップ 2: 組織内のすべての機能を有効にする](#enabling-orgs-enable-all-features)
+ [ステップ 3: Audit Manager の委任された管理者を指定する](#enabling-orgs-designate)

#### ステップ 1: 組織を作成または組織に参加する
<a name="enabling-orgs-create"></a>

 AWS アカウント が組織の一部でない場合は、組織を作成または参加できます。手順については、AWS Organizations ユーザーガイドの[「組織の作成と管理」](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)を参照してください。

#### ステップ 2: 組織内のすべての機能を有効にする
<a name="enabling-orgs-enable-all-features"></a>

次に、組織内のすべての機能を有効にする必要があります。手順については、AWS Organizations ユーザーガイドの[「組織内のすべての機能の有効化」](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)を参照してください。

#### ステップ 3: Audit Manager の委任された管理者を指定する
<a name="enabling-orgs-designate"></a>

組織管理アカウントを使用して Audit Manager を有効にしてから、委任された管理者を設定することをお勧めします。その後、委任された管理者アカウントを使用してログインし、評価を実行できます。ベストプラクティスとして、管理アカウントではなく、委任された管理者アカウントを使用してのみ評価を作成することをお勧めします。

Audit Manager の委任された管理者を追加または変更するには、「[委任管理者の追加](add-delegated-admin.md)」および「[委任管理者の変更](change-delegated-admin.md)」を参照してください。

## 次の手順
<a name="whatnow-setup"></a>

推奨設定を使用して Audit Manager の設定が完了したので、サービスの利用を開始する準備が整いました。
+ 最初の評価を開始するには、「[監査所有者向けチュートリアル: 評価の作成](tutorial-for-audit-owners.md)」を参照してください。
+ 今後設定を更新するには、「[AWS Audit Manager 設定の確認と設定](console-settings.md)」を参照してください。