AWS Audit Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Audit Manager 可用性の変更」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Audit Manager 可用性の変更
AWS Audit Manager は、SOC2、PCI DSS、HIPAA などのコントロールフレームワークを使用して、 AWS リソースのコンプライアンス体制を表示および報告できるサービスです。Audit Manager はメンテナンスモードに移行しており、2026 年 4 月 30 日以降、お客様は新しいアカウントでサービスをセットアップできなくなります。リージョン内の 1 つのアカウントに対して Audit Manager を設定した既存のお客様は、新しい評価の作成など、そのリージョン内のそのアカウントのサービスを引き続き使用できますが、追加のリージョンまたは新しいアカウントに対して Audit Manager をセットアップすることはできません。組織の管理アカウント内で Audit Manager をセットアップしたお客様は、その組織のアカウントを評価に追加できますが、使用量を追加のリージョンに拡張したり、新しい組織の Audit Manager を設定したりすることはできません。
メンテナンスモードでは、サービスチームは引き続きサービスをサポートします。これには、コードの修正と、現在サポートされているフレームワークのデータソースマッピングの維持が含まれます。ただし、サービスチームは新機能を構築したり、新しいフレームワークや既存のフレームワークの新しいバージョンのサポートを追加したり、新しいリージョンのサポートを追加したりすることはありません。
コンプライアンス管理ソリューションを求めるお客様は、「 コンフォーマンスパック」を確認することをお勧めします AWS Config。コンフォーマンスパックは、複数のアカウントとリージョンに検出コントロールを Config ルールの形式でデプロイおよびモニタリングする手段を提供します。一般的なフレームワーク (HIPAA、NIST、PCI-DSS など) 用の構築済みテンプレートを提供し、カスタムルールの作成を可能にします。コンフォーマンスパックは、単一のアカウントのレベルで管理することも、 の組織内のすべてのメンバーアカウントで管理することもできます AWS Organizations。
コンフォーマンスパックをデプロイすると、関連付けられたダッシュボード内でリソースのコンプライアンスステータスを表示できます。または、Config リソースコンプライアンスダッシュボードを使用して、複数の AWS アカウントとリージョンにわたる AWS リソースのインベントリとコンプライアンスステータスを表示できます。
Audit Manager のお客様向けのコンフォーマンスパックの制限
AWS Config は現在、SOC2 や GDPR など、Audit Manager でサポートされているすべてのフレームワークに Conformance Pack テンプレートを提供するわけではありません。次の表は、現在ギャップが存在する場所を強調表示したマッピングを示しています。利用可能な Conformance Pack テンプレートの更新については、製品ドキュメントを参照してください。
AWS Config には、Audit Manager のエクスポートと直接同等の監査レポート機能はありません。ただし、お客様は、コンプライアンスステータスをサポートする証拠をエクスポートして、以下のセクションで説明する 1 つ以上のメカニズム AWS Config を使用することはできます。
Conformance Pack ダッシュボードから、関連する各 Config ルールのコンプライアンスステータスを表示できます。お客様は、ルールをドリルダウンし、個々のリソースのステータスと証拠を、そのリソースの設定項目の形式で表示できます。
AWS Config は、設定項目 (CIs) のみをコンプライアンスの証拠として記録します。Audit Manager とは異なり、 AWS CloudTrail ログを収集したり、ターゲットサービスに対して API AWS Security Hub 呼び出しを行ったりすることはありません。によって収集された証拠 AWS Config はそれほど網羅的ではありませんが、ナビゲートは簡単です。によって収集されたすべての証拠 AWS Config は、Config ルールを介して AWS リソースのコンプライアンスステータスにマッピングされます。したがって、 AWS Config Audit Manager とは異なり、「決定的でない」証拠は提示されません。
AWS Audit Manager フレームワークを AWS Config コンフォーマンスパックにマッピングする
| AWS Audit Manager フレームワーク | AWS Config コンフォーマンスパックテンプレート |
|---|---|
| ACSC Essential Eight | ACSC の Essential 8 に関する運用上のベストプラクティス |
| ACSC ISM 02 March 2023 | ACSC ISM の運用上のベストプラクティス - パート 1、ACSC ISM の運用上のベストプラクティス - パート 2 |
| Audit Manager サンプルフレームワーク | -- 同等のものはありません -- |
| AWS Control Tower ガードレール | AWS Control Tower Detective ガードレールコンフォーマンスパック |
| AWS 生成 AI ベストプラクティスフレームワーク v2 | AI と機械学習に関する運用面のベストプラクティス |
| AWS License Manager | -- 同等のものはありません -- |
| AWS 基本的なセキュリティのベストプラクティス | AWS Well-Architected フレームワークのセキュリティの柱に関する運用上のベストプラクティスと、複数の個々のサービスに関するセキュリティのベストプラクティスパック |
| AWS 運用のベストプラクティス | -- 同等のものはありません -- |
| AWS Well-Architected フレームワーク WAF v10 | AWS Well-Architected フレームワークの信頼性の柱に関する運用上のベストプラクティス、 AWS Well-Architected フレームワークのセキュリティの柱に関する運用上のベストプラクティス |
| CCCS Medium Cloud Control | Operational-Best-Practices-for-CCCS-Medium |
| CIS AWS ベンチマーク v1.2.0 | -- 同等のものはありません -- |
| CIS AWS ベンチマーク v1.3.0 | -- 同等のものはありません -- |
| CIS AWS ベンチマーク v1.4.0 | Operational-Best-Practices-for-CIS-AWS-v1、Operational-Best-Practices-for-CIS-AWS-v1 |
| CIS Controls v7.1, IG1 | -- 同等のものはありません -- |
| CIS Critical Security Controls version 8.0, IG1 | Operational-Best-Practices-for-CIS-Critical-Security-Controls-v8-IG1 |
| FedRAMP Security Baseline Controls r4 | Operational-Best-Practices-for-FedRAMP(Low)、Operational-Best-Practices-for-FedRAMP(Moderate)、Operational-Best-Practices-for-FedRAMP(High Part 1)、Operational-Best-Practices-for-FedRAMP(High Part 2) |
| GDPR 2016 | -- 同等のものはありません -- |
| グラムリーチブライリー法 (Gramm-Leach-Bliley Act) | Operational-Best-Practices-for-Gramm-Leach-Bliley-Act |
| Title 21 CFR Part 11 | Operational-Best-Practices-for-FDA-21CFR-Part-11 |
| EU GMP Annex 11, v1 | Operational-Best-Practices-for-GxP-EU-Annex-11 |
| HIPAA Security Rule: Feb 2003 | Operational-Best-Practices-for-HIPAA-Security |
| HIPAA Omnibus Final Rule | Operational-Best-Practices-for-HIPAA-Security |
| ISO/IEC 27001:2013 附属書 A | -- 同等のものはありません -- |
| NIST SP 800-53 Rev 5 | Operational-Best-Practices-for-NIST-800-53-rev-5 |
| NIST Cybersecurity Framework v1.1 | Operational-Best-Practices-for-NIST-CSF |
| NIST SP 800-171 Rev 2 | Operational-Best-Practices-for-NIST-800-171 |
| PCI DSS V3.2.1 | PCI DSS 3.2.1 運用のベストプラクティス |
| PCI DSS V4.0 | Operational-Best-Practices-for-PCI-DSS-v4 |
| SSAE-18 SOC 2 | -- 同等のものはありません -- |
からの証拠のエクスポート AWS Config
- AWS Config 高度なクエリ (個々のリソース設定項目を証拠としてエクスポートするために推奨)
-
AWS Config コンソールで SQL クエリを使用して特定のリソースを選択し、現在の設定を CSV または JSON 形式でエクスポートできます。
-
方法: > AWS Config 高度なクエリに移動します。
-
クエリの例:
SELECT resourceId, resourceType, configuration, tags, compliance WHERE resourceType = 'AWS::EC2::Instance' AND resourceId = 'i-xxxxxxxxx' -
エクスポート: 「実行」を選択し、「結果のエクスポート」を CSV に選択します。
-
最適: リソースのサブセットに関する厳選されたレポート。
-
- GetResourceConfigHistory API (完全な履歴に推奨)
-
監査者が特定の期間 (現在の状態だけでなく) におけるリソースのコンプライアンス状態を確認する必要がある場合は、 CLI/API を使用します。
-
方法: で
get-resource-config-historyコマンドを使用します AWS CLI。 -
コマンドの例:
aws configservice get-resource-config-history \ --resource-typeAWS::EC2::Instance\ --resource-idi-xxxxxxxxx\ --regionus-east-1 -
出力: 各変更時のコンプライアンスステータスなど、設定変更の詳細な JSON オブジェクトを返します。
-
- Amazon Athena と Amazon Quick (複数のリソースにまたがるフィルタリングされたクエリに推奨)
-
お客様は Amazon Athena を使用して、 によって記録されたリソース設定データに対して SQL ベースのクエリを構築および実行できます AWS Config。お客様は Amazon Quick にデータをインポートして、分析とダッシュボードを作成することもできます。詳細については、Amazon Athena と Amazon Quick を使用した AWS Config データの視覚化
」を参照してください。
コンプライアンスソリューションの比較
| 機能 | AWS Audit Manager | AWS Config – コンフォーマンスパック |
|---|---|---|
| マネージドコントロール | SOC2、PCI DSS、HIPAA などの規制や業界のフレームワーク、 AWS ベストプラクティスフレームワークなど、35 のマネージドフレームワークを提供します。 | PCI DSS、HIPAA、 AWS Operational Best Practice Pack などの規制および業界パックを含む、100 を超える事前定義された Conformance Pack テンプレートを提供します。 |
| カスタマイズ | カスタムコントロールとカスタムフレームワークを作成します。 | カスタムルールと自己定義テンプレートを作成します。 |
| セットアップする | フレームワークに基づいて評価を作成します。 | コンフォーマンスパックをデプロイします。 |
| 証拠収集 | (1) サービス API コール、(2) コントロール、(3) AWS Security Hub AWS CloudTrail イベント、(4) 設定ルールの 4 つのデータソースから証拠を収集します。お客様はまず、 AWS Config または を使用してルールをデプロイする必要があります AWS Control Tower。 | Config ルールの評価をサポートする設定項目として証拠を記録します。 |
| コンプライアンスダッシュボード | 評価ダッシュボードは、非準拠の証拠を含む毎日のスナップショットとコントロールのビューを提供します。 | Conformance Pack ダッシュボードは、全体的なコンプライアンススコア、コンプライアンスタイムライン、ルール別の表示を提供します。ドリルダウンして、リソース別およびサポート証拠別のコンプライアンス体制を構成項目の形式で表示します。 |
| 非準拠リソースの修復 | サポート外。 | お客様は修復計画を定義して開始できます。 |
| 証拠形式 | Config ルールの評価結果、iam.getPolicy; AWS Security Hub findings などの個々の API コールの結果。 | Config ルールの評価結果、設定項目。 |
| 監査レポート | 証拠は監査レポートに含めるために選択でき、PDF 形式でエクスポートできます。また、 は証拠ファインダーツールからの CSV 形式のエクスポートもサポートしています。 | 個々の設定項目は、Config Advance クエリツールを使用してエクスポートできます。お客様は CLI スクリプトを作成して、サービス APIs を介して証拠をエクスポートできます。 |
無効化 AWS Audit Manager
Audit Manager を無効にすると、新しい証拠の収集は停止しますが、このオプションを明示的に選択しない限り、既存の証拠は削除されません。証拠は、収集日から 2 年間保持されます。既存のお客様は、サービスを再度有効にして証拠にアクセスし、証拠収集を再開できます。
お客様は、コンソールの設定タブまたは CLI を使用して、アカウントの Audit Manager を無効にすることができます。
組織の Audit Manager をデプロイしたお客様は、組織の管理アカウントからサービスを無効にする必要があります。デフォルトでは、委任管理者アカウントには、組織の Audit Manager を無効にするために必要なアクセス許可がありません。
その他のリソース
-
AWS Config – コンフォーマンスパックのドキュメント
-
AWS Audit Manager – Evidence Finder ドキュメント
よくある質問
- AWS Audit Manager サービスはシャットダウンされていますか?
-
いいえ。Audit Manager Service はメンテナンスモードに移行中です。既存のお客様は、通常どおりサービスを引き続き使用できます。
- Audit Manager をメンテナンスモード AWS に移行するのはなぜですか?
-
コンプライアンス管理 AWS Config のために に投資することで、より良く統合されたカスタマーエクスペリエンスを提供できます。
- 今すぐコンプライアンス管理 AWS Config に を使用できますか?
-
はい。のコンフォーマンスパック AWS Config は、PCI DSS、FedRAMP、HIPAA などのフレームワークとの AWS リソースコンプライアンスを管理するツールとして使用できます。コンフォーマンスパックを使用すると、お客様はさまざまなフレームワークの検出コントロールをまとめてデプロイし、リソースレベルのコンプライアンスを示すダッシュボードを提供できます。
- コンプライアンス管理 AWS Config に使用する への移行にはどのような利点がありますか?
-
内のコンフォーマンスパック AWS Config は、PCI DSS などのフレームワークによる AWS リソースのコンプライアンスをモニタリングするためのソリューションを求めるお客様に、より完全で実用的なソリューションを提供します。お客様は、(1) 個々のアカウントまたは組織全体の検出コントロールのデプロイ、(2) コンプライアンススコアを表示するダッシュボードへのアクセス、(3) 個々のリソースのコンプライアンスステータスのドリルダウンと表示、(4) コンプライアンス体制が時間の経過とともにどのように変化したかを示すリソースのタイムラインへのアクセス、(4) コントロールのリソースのコンプライアンスステータスをサポートする設定項目の形式で証拠をプルできます。
- コンフォーマンスパックは Audit Manager のフレームワーク AWS Config を直接置き換えるものですか?
-
いいえ。コンフォーマンスパックは、お客様が AWS リソースのコンプライアンス体制を管理するために使用できる強力なツールです。ただし、コンフォーマンスパックは Audit Manager フレームワークと同等ではありません。PCI DSS などのフレームワークに提供されるコンフォーマンスパックテンプレートには、Config ルールとして評価できる技術的なコアコントロールのみが含まれています。Conformance Pack テンプレートには、組織が PCI DSS 監査に合格するために満たす必要がある監査コントロールの完全なセットは含まれていません。組織がセキュリティポリシーと運用手順を文書化していることを確認する Config ルールはありません。Compliance Pack ダッシュボードは、Config ルールによって評価される AWS リソースのコンプライアンス体制を明確に通知します AWS Config が、PCI DSS などのフレームワークに必要な一連のコントロールの証拠をキャプチャ、整理、共有するための一般的なコンプライアンス管理ソリューションを提供しません。この問題の解決策を求めるお客様は、代わりに、Vanta や Drata などのパートナーソリューションを検討することをお勧めします。これは、 と組み合わせて使用 AWS Config してend-to-endのコンプライアンス自動化ソリューションを提供します。
- Audit Manager でサポートされているすべてのフレームワークのコンフォーマンスパックはありますか?
-
いいえ。現在、Audit Manager には対応する Conformance Pack がないフレームワークが多数あります AWS Config。上記の表は、Audit Manager フレームワークから Config コンフォーマンスパックへのマッピングを示しています。最も顕著なギャップは SOC2 と GDPR です。新しい Conformance Pack リリースの更新については、 AWS Config 「最新情報」の発表をモニタリングしてください。AWS が提供する定義済みの Conformance Pack テンプレートに加えて、お客様は Config ルールとともにグループ化された独自の Conformance Pack テンプレートを定義し、非準拠リソースの修復アクションを定義できます。
- 顧客は を使用して監査人の証拠をエクスポートできますか AWS Config?
-
AWS Config には、リソースコンプライアンスの証拠をエクスポートするためのツールが用意されています。このツールの使用に関するガイダンスについては、「可用性変更ページ」を参照してください。
- 既存のお客様は、通常どおり Audit Manager を引き続き使用できますか?
-
はい。既存のお客様は、評価の作成と保守、証拠の確認、監査レポートの生成など、Audit Manager を通常どおり引き続き使用できます。Audit Manager を組織全体にデプロイしたお客様は、評価を拡張して、組織からの新しいアカウントを含めることができます。
- 単一のアカウントデプロイを持つ既存の顧客の場合、組織の Audit Manager をデプロイできますか?
-
いいえ。2026 年 4 月 30 日現在、単一アカウントデプロイのお客様は、組織全体に Audit Manager をデプロイできません。
- Audit Manager がアカウント内で設定されているかどうかを確認するにはどうすればよいですか?
-
単一アカウントのデプロイの場合、お客様はアカウントにログインし、コンソール内で Audit Manager サービスに移動して、そのアカウント内で Audit Manager が設定されているかどうかを確認することができます。Organizations の場合、顧客は管理アカウント内からこれを行う必要があります。
- Audit Manager を無効にするにはどうすればよいですか?
-
お客様は、コンソールの設定タブまたは CLI を使用して、アカウントの Audit Manager を無効にすることができます。組織の Audit Manager をデプロイしたお客様は、組織の管理アカウントからサービスを無効にする必要があります。デフォルトでは、Audit Manager の委任管理者アカウントに必要なアクセス許可はありません。Audit Manager を無効にすると、新しい証拠の収集は停止しますが、このオプションを明示的に選択しない限り、既存の証拠は削除されません。証拠は、収集日から 2 年間保持されます。既存のお客様は、サービスを再度有効にして証拠にアクセスし、証拠収集を再開できます。
- Audit Manager を無効にした後も証拠に引き続きアクセスするにはどうすればよいですか?
-
Audit Manager によって収集された証拠に引き続きアクセスする最も簡単な方法は、まず Evidence Finder を有効にしてからサービスを無効にすることです。Evidence Finder Audit Manager を有効にすると、証拠が CloudTrail データレイクにエクスポートされ、Audit Manager を無効にした後も引き続きアクセスできます。
- コンプライアンス管理 AWS Control Tower に を使用するにはどうすればよいですか?
-
AWS Control Tower は、フレームワークによってキーされる予防的、プロアクティブ、検出的なコントロール (Config ルールとして実装) のカタログを提供します。これにより、これらのフレームワークに関連するすべてのコントロールを組織内の 1 つ以上の OUs にデプロイできます。新しいコントロール専用エクスペリエンスでは、組織がランディングゾーンとして作成された前提条件ではなくなりました。の利点 AWS Control Tower は、非準拠リソースの OU レベルのビューを提供することです。 AWS Control Tower はコンフォーマンスパックを使用して Config ルールをデプロイしないため、コンフォーマンスパックもデプロイしない限り、コンフォーマンスパックは表示されません。また、修復ワークフローもサポートしていません。
- コンプライアンス管理 AWS Security Hub CSPM に を使用するにはどうすればよいですか?
-
セキュリティ標準にマッピングされたフレームワークの場合、 はコンプライアンス管理と 1 つのアカウント内の修復 AWS Config に の代替 AWS Security Hub CSPM 手段を提供します。Security Hub CSPM コンソール内から標準を有効にすると、関連するフレームワークのサービスにリンクされたルールのセットがデプロイされます。お客様は、全体的なコンプライアンススコアと各コントロールのステータスを示すコンプライアンスダッシュボードを表示できます。また、個々のリソースのレベルまでドリルダウンすることもできます。Security Hub CSPM を使用すると、お客様はルールの検出結果を JSON 形式でダウンロードし、コントロールの重要度評価を追加して、修復計画の優先順位を付けることができます。中央設定を使用すると、複数のリージョン、アカウント、組織単位 (OUs) にわたって Security Hub CSPM を設定できます。ただし、Security Hub CSPM は、NIST 800-53 や PCI-DSS など、限られた数のフレームワークにのみセキュリティ標準を提供します。
