AWS Audit Manager は、IT 監査の準備に役立つコンプライアンスレポートのための AWS サービスです。このサービスは、コンプライアンスオフィサーと内部/外部監査人向けの事前パッケージ化済みのレポートに重点を置いています。このサービスは、AWS Config と AWS Security Hub からのコンプライアンスデータを統合し、AWS サービスに対する API コールと AWS CloudTrail イベントを介して監査証拠を収集します。
構築済みのフレームワーク
Audit Manager は現在、IT コントロール (要件が満たされていることを検証するのに役立つ手順またはポリシー) のデータソースへのマッピングを備えた事前構築済みのフレームワークを提供しており、AWS の利用に関する技術的な詳細を理解する負担を軽減します。これらのフレームワークは、AWS リソースを業界標準および規制の要件にマッピングするのに役に立ちます。AWS Audit Manager の事前構築済みフレームワークの例には、Payment Card Industry Data Security Standard (PCI DSS) V4.0、Systems and Organization Controls 2 (SOC 2)、NIST 800-53 (Rev 5) Low-Moderate-High、Health Insurance Portability and Accountability Act (HIPAA) Final Omnibus Security Rule 2013、CIS Benchmark for CIS Amazon Web Services Foundations Benchmark v1.2.0 & v1.3.0、CIS Controls v7.1 Implementation Group 1、FedRAMP Moderate Baseline、General Data Protection Regulation (GDPR)、GxP 21 CFR パート 11 が含まれます。 サポートされているフレームワークの詳細なリストは、AWS Audit Manager ドキュメントをご覧ください。
カスタムフレームワークとコントロール
AWS Audit Manager では、既存の事前構築済みフレームワークをカスタマイズしたり、カスタムコントロールやカスタムフレームワークを最初から作成したりできます。内部監査とコンプライアンスの要件を満たしていることを示すのに役立つよう、カスタムコントロールを定義して、AWS マネージドの共通コントロールまたは特定のデータソースから証拠を収集できます。
AWS Audit Manager は、共通コントロールのライブラリを提供します。これは、お客様が各エンタープライズコントロールを AWS データソースレベルにマッピングすることなく、独自のエンタープライズコントロールのレプリケーションを迅速に操作するのに役立ちます。証拠に関連するすべての AWS データソース (API コール、CloudTrail イベント、AWS Config ルール、Security Hub チェック) がこれらのコントロールにマッピングされます。これらのマッピングは自動的に更新されます。例えば、新しい AWS Config ルールが起動されると、関連する共通コントロールにそのルールが追加されます。その結果、共通コントロールに対する証拠マッピングは AWS で使用可能な最新の自動証拠セットを提供し、お客様はマッピングを手動で管理または更新する必要がなくなります。
自動化された証拠収集
評価を定義して起動すると、AWS Audit Manager は、監査の範囲に含まれるように定義した AWS アカウントのデータを自動的に収集します。証拠には、そのリソースからキャプチャされたデータと、セキュリティ、変更管理、ビジネス継続性、およびソフトウェアライセンスにおけるコンプライアンスの実証に役立つ、データがサポートするコントロールを示すメタデータの両方が含まれています。Audit Manager は、AWS CloudTrail と、AWS Config、AWS Security Hub、AWS License Manager など、使用している可能性のあるその他の AWS サービスから証拠を収集して整理します。ポリシードキュメント、トレーニングトランスクリプト、アーキテクチャ図などの他の証拠を手動でアップロードして、整理することもできます。
マルチアカウントの証拠収集
AWS Audit Manager は、AWS Organizations との統合を通じて複数のアカウントをサポートします。Audit Manager の評価は複数のアカウントで実施でき、証拠を収集して、委任された AWS Organizations の管理者アカウントに統合します。
委任ワークフロー
ネットワークインフラストラクチャ、ID 管理、ソフトウェアライセンス、人事ポリシーなど、特定のトピック領域に特化したチームメンバーに一連のコントロールを委任できます。委任機能を使用すれば、サポートチームのメンバーは、一連のコントロールと関連する証拠を確認し、コメントを追加し、追加の証拠をアップロードして、各コントロールの状態を更新できます。
証拠の検索
AWS Audit Manager では、傾向や相互参照に関する問題を特定する検索フィルターやグループ化を使用することで、分散した複数のソースから収集した何千もの証拠をより簡単に選別できます。これは、評価 (特定のコントロールセットに対する自動データ収集プロセス) 内、または AWS Audit Manager ダッシュボード上で、サービスにおいてフラグ付きのコンプライアンスチェックを介して特定された問題を詳細に検討するのに役立ちます。証拠の検索を開始するには、AWS Audit Manager コンソールの左側のナビゲーションメニューに移動して [証拠ファインダー] ページを選択し、検索する評価と時間範囲を選択してから、検索のためにパラメータとフィルターを選択します。検索結果から証拠をコンマ区切り値 (CSV) ファイルとしてエクスポートすることもできます。この機能を有効にすると、AWS Audit Manager の証拠の取り込みと AWS CloudTrail Lake への保存がトリガーされます。CloudTrail Lake の料金が適用されます。
監査対応レポート
AWS Audit Manager は、証拠収集を自動化し、選択したフレームワークで設定されたコントロールによって定義された証拠を整理します。あなたやチームは、証拠を確認し、証拠にコメントを残し、裏付けとなる他の証拠をアップロードして、各コントロールの状態を更新することができます。次に、評価レポートに関連する証拠を選択して含め、最終的な評価レポートを生成して監査人と共有します。最終評価レポートには、評価に関する要約ファイルが含まれ、各フレームワークの一連のコントロールで定義されているように名前が付けられます。整理済みの関連証拠を含む一連のフォルダへのリンクが提供されます。Audit Manager 評価レポートは、暗号化検証を使用して、評価レポートの整合性を確保します。
第三者リスク評価
AWS Audit Manager には、第三者によるリスク評価の手作業を減らすのに役立つ機能が用意されています。その一例が、組織のコンプライアンス要件に従ってカスタムフレームワークをベンダーと共有できるフレームワーク共有機能です。その後、ベンダーはこれらのカスタマイズされたフレームワークにアクセスして、それらを使用して評価を作成できます。Audit Manager では、評価を使用して監査の範囲内のコントロールの証拠を収集します。ベンダーは、共有フレームワークを出発点として、そのフレームワークにおけるコントロールの証拠を収集する評価を作成できます。
さらに、ベンダーリスク評価用の質問を作成してベンダーやパートナーと共有し、テキストによる回答やドキュメントを通じて監査証拠を収集できます。その後、これらの第三者は、アップロードされたファイルや収集された自動化された証拠と共に、回答を評価レポートにまとめ、お客様と共有することができます。
ベンダーは、AWS アカウントで収集されたすべての自動化された証拠を証拠ファインダーの CSV ファイルとしてエクスポートすることもできます。これにより、広くサポートされている形式で証拠を簡単に共有できます。