AWS Audit Manager 概念と用語を理解する - AWS Audit Manager
ACDEFRS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Audit Manager 概念と用語を理解する

使用を開始するのに役立つように、このページでは用語を定義し、 AWS Audit Managerの主要な概念のいくつかを説明します。

A

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

評価

Audit Manager の評価を使用して、監査に関連する証拠を自動的に収集できます。

評価は、監査に関連するコントロールのグループであるフレームワークに基づいています。標準またはカスタムのフレームワークから評価を作成できます。標準フレームワークには、特定のコンプライアンス標準または規制をサポートする構築済みのコントロールセットが含まれています。対照的に、カスタムフレームワークには、特定の監査要件に応じてカスタマイズおよびグループ化できるコントロールが含まれています。フレームワークを開始点として使用 AWS アカウント して、監査の範囲に含める を指定する評価を作成できます。

評価を作成すると、Audit Manager はフレームワークで定義されているコントロール AWS アカウント に基づいて、 内のリソースの評価を自動的に開始します。次に、関連する証拠を収集し、監査人が確認しやすい形式に変換します。これを行った後、評価のコントロールに証拠をアタッチします。監査の時間になると、ユーザー (または任意の受任者) は収集された証拠をレビューし、それらの証拠を評価レポートに追加できます。この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。

証拠の収集は、評価を作成したときに開始される継続的なプロセスです。評価ステータスを [inactive] (非アクティブ) に変更することで、証拠の収集を停止できます。または、コントロールレベルで証拠の収集を停止することもできます。これを実行するには、評価内の特定のコントロールのステータスを [inactive] (非アクティブ) に変更します。

評価を作成および管理する方法については、「での評価の管理 AWS Audit Manager」を参照してください。

評価レポート

評価レポートは、 Audit Manager の評価から生成された確定ドキュメントです。これらのレポートは、監査のために収集された関連する証拠を要約したものです。それらのレポートは、関連する証拠のフォルダにリンクしています。フォルダは、評価で指定されたコントロールに従って名前が付けられ、編成されています。各評価について、Audit Manager が収集した証拠をレビューし、評価レポートに含める証拠を決定できます。

評価レポートの詳細については、「評価レポート」を参照してください。評価レポートを生成する方法については、「での評価レポートの準備 AWS Audit Manager」を参照してください。

評価レポートの宛先

評価レポートの送信先は、Audit Manager が評価レポートを保存するデフォルトの S3 バケットです。詳細については、「デフォルトの評価レポートの送信先の設定」を参照してください。

監査

監査とは、組織の資産、オペレーション、または事業上の誠実さを独立して調べることをいいます。情報技術 (IT) 監査は、組織の情報システム内のコントロールを集中的に調べるものです。IT 監査の目的は、情報システムがアセットを保護し、効果的に運用されており、データの完全性を維持しているかどうかを確認することにあります。これらはすべて、コンプライアンス標準または規制によって義務付けられている規制要件を満たすために重要です。

監査所有者

監査所有者という用語には、文脈に応じて 2 つの異なる意味があります。

Audit Manager において、監査所有者とは、評価とその関連リソースを管理する IAM ユーザーまたはロールです。この Audit Manager のペルソナの責任には、評価の作成、証拠のレビュー、および評価レポートの生成が含まれます。Audit Manager はコラボレーションが可能なサービスであり、監査所有者は、他のステークホルダーが評価に参加する際にそのメリットを享受できます。例えば、他の監査所有者を評価に追加して、管理タスクを共有できます。または、ユーザーが監査所有者であり、コントロールのために収集された証拠の解釈についてサポートが必要な場合は、その分野における内容領域専門家であるステークホルダーにそのコントロールセットを委任できます。このような担当者は、受任者ペルソナとして知られています。

ビジネス用語では、監査所有者は、会社の監査準備に向けた取り組みを調整および監督し、監査人に証拠を提示する担当者をいいます。通常、これは、コンプライアンスオフィサーや GDPR データ保護オフィサーなどのガバナンス、リスク、およびコンプライアンス (GRC) の専門家です。GRC の専門家は、監査に向けた準備を管理するための専門知識と権限を有しています。より具体的には、これらの専門家はコンプライアンス要件を理解しており、レポートデータを分析、解釈、および準備できます。ただし、GRC の専門家だけがこの役割を担うのではなく、ビジネスにおける他の役割も監査所有者の Audit Manager のペルソナを引き受けることができます。例えば、次のいずれかのチームの技術エキスパートに Audit Manager の評価を設定および管理させることもできます。

  • SecOps

  • IT/DevOps

  • セキュリティオペレーションセンター/インシデント対応

  • クラウドアセットを所有、開発、修復、およびデプロイし、組織のクラウドインフラストラクチャを理解している同様のチーム

Audit Manager の評価で監査所有者として誰を割り当てるかは、組織によって大きく異なります。また、セキュリティオペレーションをどのように構成するか、および監査の詳細によっても異なります。Audit Manager では、同じ個人がある評価で監査所有者のペルソナを引き受け、別の評価で委任ペルソナを引き受けることができます。

Audit Manager の使用方法にかかわらず、監査所有者/委任ペルソナを使用し、各ユーザーに特定の IAM ポリシーを付与することで、組織全体の職務の分離を管理できます。この 2 段階のアプローチにより、Audit Manager は、個々の評価のあらゆる詳細を完全にコントロールできるようにします。詳細については、「 のユーザーペルソナに推奨されるポリシー AWS Audit Manager」を参照してください。

AWS マネージドソース

AWS マネージドソースは、 が AWS 管理する証拠ソースです。

各 AWS マネージドソースは、特定の共通コントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループです。証拠ソースとして共通コントロールを使用すると、その共通コントロールをサポートするすべてのコアコントロールの証拠が自動的に収集されます。個々のコアコントロールを証拠ソースとして使用することもできます。

AWS マネージドソースが更新されるたびに、その AWS マネージドソースを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。つまり、カスタムコントロールは、その証拠ソースの最新の定義に照らして証拠を収集します。これにより、クラウドコンプライアンス環境の変化に応じて継続的なコンプライアンスを確保できます。

「」、customer managed source「」も参照してくださいevidence source

C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

変更ログ

Audit Manager は、評価内のコントロールごとに、そのコントロールのユーザーアクティビティを追跡します。その後、特定のコントロールに関連するアクティビティの監査証跡を確認できます。変更ログにキャプチャされるユーザーアクティビティの詳細については、「」を参照してくださいChangelog タブ

クラウドコンプライアンス

クラウドコンプライアンスは、クラウドをご利用のお客様が従わなければならない標準に、クラウドで提供されるシステムが準拠している必要があるという一般原則です。

共通コントロール

control を参照してください。

コンプライアンス規制

コンプライアンス規制は、通常は行動を規制するために、当局によって規定される法令、規則、または他の命令です。1 つの例は GDPR です。

コンプライアンス標準

コンプライアンス標準は、組織のプロセスを詳述する一連の構造化されたガイドラインであり、確立された規制、仕様、または法律に従って維持することを目的としています。PCI DSS、HIPAA はその一例です。

コントロール

統制とは、情報システムまたは組織に規定されている保護手段または対策です。コントロールは、情報の機密性、完全性、可用性を保護し、定義された一連の要件を満たすように設計されています。リソースが意図したとおりに動作していること、データが信頼できること、組織が適用可能な法律や規制に準拠していることを保証します。

Audit Manager では、統制はベンダーリスク評価アンケート内の質問を表すこともできます。この場合、統制とは、組織のセキュリティとコンプライアンス体制に関する情報を尋ねる具体的な質問です。

統制部門は、Audit Manager の評価で有効になっているときに、継続的に証拠を収集します。任意のコントロールに証拠を手動で追加することもできます。各証拠は、コントロールの要件への準拠を示すのに役立つレコードです。

Audit Manager には、次のタイプのコントロールが用意されています。

コントロールタイプ 説明

共通コントロール

共通のコントロールは、コントロールの目的を達成するのに役立つアクションと考えることができます。一般的なコントロールはコンプライアンス標準に固有のものではないため、重複するコンプライアンス義務の範囲をサポートできる証拠を収集するのに役立ちます。

例えば、データ分類と処理というコントロール目標があるとします。この目標を達成するために、アクセスコントロールと呼ばれる共通のコントロールを実装して、 リソースへの不正アクセスをモニタリングおよび検出できます。

  • 自動共通コントロールは証拠を収集します。これらは、1 つ以上の関連するコアコントロールのグループ化で構成されます。次に、これらの各コアコントロールは、事前定義された AWS データソースグループから関連する証拠を自動的に収集します。 AWS は、これらの基盤となるデータソースを管理し、規制や標準が変更され、新しいデータソースが特定されるたびにそれらを更新します。

  • 手動の一般的なコントロールでは、独自の証拠をアップロードする必要があります。これは、通常、物理レコードのプロビジョニング、または AWS 環境外で発生するイベントの詳細が必要なためです。このため、手動の共通コントロールの要件をサポートする証拠を生成できる AWS データソースは存在しないことがよくあります。

共通コントロールを編集することはできません。ただし、カスタムコントロール を作成するときに、証拠ソースとして任意の共通コントロールを使用できます。

コアコントロール

これは、 AWS 環境の規範的なガイドラインです。コアコントロールは、共通のコントロールの要件を満たすのに役立つアクションと考えることができます。

例えば、アクセスコントロールと呼ばれる共通のコントロールを使用して、 リソースへの不正アクセスをモニタリングするとします。この共通コントロールをサポートするには、S3 バケットのパブリック読み取りアクセスのブロックと呼ばれるコアコントロールを使用できます。

コアコントロールはコンプライアンス標準に固有ではないため、重複するコンプライアンス義務の範囲をサポートできる証拠を収集します。各コアコントロールは、1 つ以上のデータソースを使用して、特定の に関する証拠を収集します AWS のサービス。 は、これらの基盤となるデータソース AWS を管理し、規制や標準が変更され、新しいデータソースが特定されるたびにそれらを更新します。

コアコントロールを編集することはできません。ただし、カスタムコントロール を作成するときに、任意のコアコントロールを証拠ソースとして使用できます。

標準コントロール

これは、Audit Manager が提供する構築済みのコントロールです。

標準コントロールを使用して、特定のコンプライアンス標準に対する監査の準備を支援できます。各標準コントロールは Audit Manager frameworkの特定の標準に関連しており、そのフレームワークへの準拠を示すために使用できる証拠を収集します。標準コントロールは、 が AWS 管理する基盤となるデータソースから証拠を収集します。これらのデータソースは、規制や標準が変更され、新しいデータソースが特定されるたびに自動的に更新されます。

標準コントロールは編集できません。ただし、標準コントロールの編集可能なコピーを作成できます

カスタムコントロール

これは、特定のコンプライアンス要件を満たすために Audit Manager で作成するコントロールです。

カスタムコントロールを最初から作成することも、既存の標準コントロールの編集可能なコピーを作成することもできます。カスタムコントロールを作成するときに、evidence sourceAudit Manager が証拠を収集する場所を決定する特定の を定義できます。カスタムコントロールを作成したら、そのコントロールを編集したり、カスタムフレームワークに追加したりできます。カスタムコントロールの編集可能なコピーを作成することもできます。
コントロールドメイン

コントロールドメインは、コンプライアンス標準に固有ではないコントロールのカテゴリと考えることができます。コントロールドメインの例は、データ保護 です。

コントロールは、多くの場合、単純な組織上の目的でドメインごとにグループ化されます。各ドメインには複数の目標があります。

コントロールドメインのグループ化は、Audit Manager のダッシュボードの最も強力な機能の 1 つです。Audit Manager は、非準拠の証拠がある評価のコントロールを強調表示し、コントロールドメインごとにグループ化します。これにより、監査に向けて準備する際に、特定の対象ドメインの是正に集中的に取り組むことができます。

コントロールの目標

コントロールの目標には、その下にある一般的なコントロールの目標が記述されます。各目標には、複数の共通コントロールを含めることができます。これらの一般的なコントロールが正常に実装されれば、目的を達成するのに役立ちます。

各コントロール目標はコントロールドメインに分類されます。例えば、データ保護コントロールドメインには、データ分類と処理という名前のコントロール目標がある場合があります。このコントロールの目的をサポートするために、アクセスコントロールと呼ばれる共通のコントロールを使用して、 リソースへの不正アクセスをモニタリングおよび検出できます。

コアコントロール

control を参照してください。

カスタムコントロール

control を参照してください。

カスタマーマネージドソース

カスタマーマネージドソースは、ユーザーが定義する証拠ソースです。

Audit Manager でカスタムコントロールを作成する場合、このオプションを使用して独自の個々のデータソースを作成できます。これにより、カスタム AWS Config ルールなどのビジネス固有のリソースから自動証拠を柔軟に収集できます。カスタムコントロールに手動証拠を追加する場合は、このオプションを使用することもできます。

カスタマーマネージドソースを使用する場合は、作成するすべてのデータソースを維持する責任があります。

「」、AWS managed source「」も参照してくださいevidence source

D

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

データソース

Audit Manager はデータソースを使用してコントロールの証拠を収集します。データソースには次のプロパティがあります。

  • データソースタイプは、Audit Manager が証拠を収集するデータソースのタイプを定義します。

    • 自動証拠の場合、タイプは AWS Security Hub、、、または API AWS Config AWS CloudTrailコールです。 AWS

    • 独自の証拠をアップロードする場合、タイプは手動 です。

    • Audit Manager API は、データソースタイプを sourceTypeと呼びます。

  • データソースマッピングは、特定のデータソースタイプについて証拠が収集される場所を特定するキーワードです。

    • 例えば、これは CloudTrail イベントの名前や AWS Config ルールの名前などです。

    • Audit Manager API は、データソースマッピングを sourceKeywordと呼びます。

  • データソース名は、データソースタイプとマッピングのペアにラベルを付けます。

    • 標準コントロールの場合、Audit Manager はデフォルト名を提供します。

    • カスタムコントロールの場合は、独自の名前を指定できます。

    • Audit Manager API は、データソース名を sourceName 名と呼びます。

1 つのコントロールに複数のデータソースタイプと複数のマッピングを含めることができます。例えば、1 つのコントロールが、データソースタイプ ( AWS Config や Security Hub など) の混在から証拠を収集する場合があります。別のコントロールは、マッピング AWS Config として複数の AWS Config ルールを使用して、唯一のデータソースタイプとして を持つ場合があります。

次の表は、自動化されたデータソースタイプの一覧と、対応するマッピングの例を示しています。

[Data source type] 説明 マッピングの例
AWS Security Hub

このデータソースタイプを使用して、リソースのセキュリティ体制のスナップショットをキャプチャします。

Audit Manager は、Security Hub コントロールの名前をマッピングキーワードとして使用し、セキュリティチェックの結果を Security Hub から直接報告します。

EC2.1
AWS Config

このデータソースタイプを使用して、リソースのセキュリティ体制のスナップショットをキャプチャします。

Audit Manager は、マッピングキーワードとして AWS Config ルールの名前を使用し、そのルールチェックの結果を から直接レポートします AWS Config。

SNS_ENCRYPTED_KMS
AWS CloudTrail

このデータソースタイプを使用して、Audit で必要な特定のユーザーアクティビティを追跡します。

Audit Manager は、 CloudTrail イベントの名前をマッピングキーワードとして使用し、 CloudTrail ログから関連するユーザーアクティビティを収集します。

CreateAccessKey
AWS API コール

このデータソースタイプを使用して、特定の への API コールを通じてリソース設定のスナップショットを作成します AWS のサービス。

Audit Manager は API 呼び出しの名前をマッピングキーワードとして使用し、API レスポンスを収集します。

kms_ListKeys
受任者

代理人は、アクセス許可が制限された AWS Audit Manager ユーザーです。受任者は通常、専門的なレベルでビジネスまたは技術に関する知識を有しています。例えば、これらの専門知識は、データ保持ポリシー、トレーニングプラン、ネットワークインフラストラクチャ、または ID 管理に関するものである可能性があります。受任者は、監査所有者が自らの専門分野に属するコントロールに関して収集された証拠をレビューするのをサポートします。受任者は、コントロールセットとそれに関連する証拠のレビュー、コメントの追加、追加の証拠のアップロード、レビュー用に割り当てられた各コントロールのステータスの更新を行うことができます。

監査所有者は、評価全体ではなく、特定のコントロールセットを委任者に割り当てます。その結果、代表者による評価へのアクセスが制限されます。コントロールセットを委任する方法については、「での委任 AWS Audit Manager」を参照してください。

E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

証拠

証拠とは、統制の要件への準拠を証明するために必要な情報を含む記録です。証拠の一例として、ユーザーによって呼び出された変更アクティビティとシステム設定スナップショットを挙げることができます。

Audit Manager の証拠には、主に自動と手動の証拠の 2 つのタイプがあります。

証拠タイプ

説明

自動証拠

これは、Audit Manager が自動的に収集する証拠です。これには、次の 3 つのカテゴリの自動証拠が含まれます。

  1. コンプライアンスチェック — コンプライアンスチェックの結果は AWS Security Hub、、 AWS Config、またはその両方から取得されます。

    コンプライアンスチェックの例には、PCI DSS コントロールの Security Hub からのセキュリティチェック結果や、HIPAA コントロールの AWS Config ルール評価などがあります。

    詳細については、「AWS Config ルール でサポートされる AWS Audit Manager」および「AWS Security Hub でサポートされている コントロール AWS Audit Manager」を参照してください。

  2. ユーザーアクティビティ — リソース設定を変更するユーザーアクティビティは、そのアクティビティが発生すると CloudTrail ログからキャプチャされます。

    ユーザーアクティビティの例には、ルートテーブルの更新、Amazon RDS インスタンスのバックアップ設定の変更、S3 バケット暗号化ポリシーの変更が含まれます。

    詳細については、「AWS CloudTrail でサポートされているイベント名 AWS Audit Manager」を参照してください。

  3. 設定データ — リソース設定のスナップショットは、日次、週次、または月次ベースで AWS のサービス のサービスから直接キャプチャされます。

    設定スナップショットの例には、VPC ルートテーブルのルートのリスト、Amazon RDS インスタンスのバックアップ設定、および S3 バケット暗号化ポリシーが含まれます。

    詳細については、「AWS でサポートされている API コール AWS Audit Manager」を参照してください。
手動証拠

これは、Audit Manager に自分で追加した証拠です。独自の証拠を追加する方法は 3 つあります。

  1. Amazon S3 からファイルをインポートする

  2. ブラウザからファイルをアップロードする

  3. リスクアセスメントの質問に対する回答をテキストで入力する

詳細については、「での手動証拠の追加 AWS Audit Manager」を参照してください。

評価を作成すると、自動証拠収集が開始されます。これは継続的なプロセスであり、Audit Manager は、証拠タイプと基盤となるデータソースに応じてさまざまな頻度で証拠を収集します。詳細については、「が証拠を AWS Audit Manager 収集する方法を理解する」を参照してください。

評価で証拠をレビューする方法については、「での証拠の確認 AWS Audit Manager」を参照してください。

証拠ソース

証拠ソースは、コントロールが証拠を収集する場所を定義します。個々のデータソースでも、共通のコントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループでもかまいません。

カスタムコントロールを作成すると、マネージドソース、カスタマーマネージドソース、またはその両方から AWS 証拠を収集できます。

ヒント

AWS マネージドソースを使用することをお勧めします。 AWS マネージドソースが更新されるたびに、これらのソースを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。つまり、カスタムコントロールは常に、その証拠ソースの最新の定義に照らして証拠を収集します。これにより、クラウドコンプライアンス環境の変化に応じて継続的なコンプライアンスを確保できます。

「」、AWS managed source「」も参照してくださいcustomer managed source

証拠収集方法

コントロールがエビデンスを収集する方法は 2 つあります。

証拠収集方法

説明

自動

自動コントロールは、 AWS データソースから証拠を自動的に収集します。この自動エビデンスは、統制の完全または部分的な遵守を証明するのに役立ちます。
手動

手動コントロールでは、コントロールへの準拠を実証するために独自の証拠をアップロードする必要があります。
注記

手動による証拠はどの自動統制にも添付できます。多くの場合、統制への完全な準拠を証明するには、自動化された証拠と手動の証拠を組み合わせる必要があります。Audit Manager は有用で関連性のある自動エビデンスを提供できますが、一部の自動エビデンスは部分的なコンプライアンスしか証明できない場合があります。この場合、Audit Manager が提供する自動エビデンスを独自のエビデンスで補足できます。

例:

  • には、 というコントロールAWS 生成 AI ベストプラクティスフレームワーク v2が含まれていますError analysis。このコントロールでは、モデルの使用状況に誤りが検出された場合にそれを特定する必要があります。また、根本原因を理解して是正措置を講じるために、徹底的なエラー分析を行う必要があります。

  • このコントロールをサポートするために、Audit Manager は、評価が実行されている でアラームが有効になっているかどうか CloudWatchを示す自動証拠を収集 AWS アカウント します。この証拠を利用して、アラームとチェックが正しく設定されていることを証明することで、統制に部分的に準拠していることを証明できます。

  • 完全なコンプライアンスを証明するには、自動エビデンスを手作業によるエビデンスで補足できます。例えば、エラー分析プロセス、エスカレーションや報告の基準値、根本原因分析の結果を示すポリシーや手順をアップロードできます。この手作業によるエビデンスを使用して、確立されたポリシーが実施されていること、および求められたときに是正措置が講じられたことを証明できます。

より詳細な例については、「データソースが混在する場合の管理」を参照してください。

エクスポート先

エクスポート先は、エビデンスファインダーからエクスポートしたファイルを Audit Manager が保存するデフォルトの S3 バケットです。詳細については、「エビデンスファインダーのデフォルトのエクスポート先の設定」を参照してください。

F

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

フレームワーク

Audit Manager フレームワークは、特定の標準またはリスクガバナンス原則の評価を構造化および自動化します。これらのフレームワークには、構築済みコントロールまたはユーザー定義コントロールのコレクションが含まれており、 AWS リソースをこれらのコントロールの要件にマッピングするのに役立ちます。

Audit Manager には 2 種類のフレームワークがあります。

フレームワークタイプ

説明

標準フレームワーク

これは、さまざまなコンプライアンス標準および規制の AWS ベストプラクティスに基づく構築済みのフレームワークです。

標準フレームワークを使用して、PCI DSS や HIPAA などの特定のコンプライアンス標準または規制の監査準備を支援できます。
カスタムフレームワーク

これは、Audit Manager ユーザーとして定義するカスタマイズされたフレームワークです。

カスタムフレームワークを使用して、特定の GRC 要件に従って監査の準備を支援できます。

フレームワークを作成および管理する方法については、「フレームワークライブラリを使用して でフレームワークを管理する AWS Audit Manager」を参照してください。

注記

AWS Audit Manager は、特定のコンプライアンス標準および規制への準拠の検証に関連する証拠の収集を支援します。ただし、コンプライアンス自体を評価するものではありません。 AWS Audit Manager そのため、 を通じて収集された証拠には、監査に必要な AWS 使用状況に関するすべての情報が含まれていない場合があります。 AWS Audit Manager は、法律顧問やコンプライアンスの専門家に代わるものではありません。

フレームワークの共有

でのカスタムフレームワークの共有 AWS Audit Manager この機能を使用すると、カスタムフレームワークを AWS アカウント およびリージョン間ですばやく共有できます。カスタムフレームワークを共有するには、[共有リクエスト] を作成します。その後、受信者はリクエストを承諾または拒否するまでに 120 日かかります。承諾されると、Audit Manager は、フレームワークライブラリに共有されたカスタムフレームワークをレプリケートします。カスタムフレームワークをレプリケートすることに加えて、Audit Manager は、そのフレームワーク内に含まれているカスタムコントロールセットおよびコントロールもレプリケートします。これらのカスタムコントロールは、受信者のコントロールライブラリに追加されます。Audit Manager は、標準のフレームワークまたはコントロールをレプリケートしません。これは、これらのリソースが各アカウントとリージョンでデフォルトで既に利用可能であるためです。

R

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

リソース

リソースは、監査で評価される物理的な資産または情報アセットです。 AWS リソースの例としては、Amazon EC2 インスタンス、Amazon RDS インスタンス、Amazon S3 バケット、Amazon VPC サブネットなどがあります。

リソース評価

リソース評価は、個々のリソースを評価するプロセスです。この評価は、コントロールの要件に基づきます。評価がアクティブである間、は、評価の範囲内の個々のリソースごとにリソース評価を実行します。リソース評価では、次の一連のタスクが実行されます。

  1. リソース設定、イベントログ、検出結果などの証拠を収集する

  2. 証拠を変換してコントロールにマッピングする

  3. 完全性を保つために証拠の系統を保存および追跡する

リソースコンプライアンス

資源コンプライアンスとは、コンプライアンスチェックの証拠を収集する際に評価された資源の評価状況を指します。

Audit Manager は、 AWS Config と Security Hub をデータソースタイプとして使用するコントロールのコンプライアンスチェックの証拠を収集します。このエビデンス収集では、複数のリソースが評価される場合があります。その結果、1 つのコンプライアンスチェックエビデンスに 1 つ以上のリソースが含まれる可能性があります。

エビデンスファインダーのリソースコンプライアンスフィルターを使用して、リソースレベルでのコンプライアンスステータスを調べることができます。検索が完了すると、検索クエリに一致したリソースをプレビューできます。

エビデンスファインダーでは、リソースのコンプライアンス値として 3 つの値が指定できます。

説明

非準拠

これは、コンプライアンスチェックの問題があるリソースを指します。

これは、Security Hub がリソースの失敗結果を報告した場合、または が非準拠結果を AWS Config 報告した場合に発生します。
準拠

これは、コンプライアンスチェックの問題がないリソースを指します。

これは、Security Hub がリソースのパス結果を報告した場合、または が準拠結果を AWS Config 報告した場合に発生します。
未決定

これは、コンプライアンスチェックが利用できない、または適用できないリソースを指します。

これは、 AWS Config または Security Hub が基盤となるデータソースタイプであるが、それらのサービスが有効になっていない場合に発生します。

これは、基盤となるデータソースタイプがコンプライアンスチェック (手動証拠、 AWS API コール、 など) をサポートしていない場合にも発生します CloudTrail。

S

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

対象サービス

Audit Manager AWS のサービス は、評価の対象となる を管理します。古い評価がある場合は、過去にスコープ内のサービスを手動で指定していた可能性があります。2024 年 6 月 4 日以降は、対象範囲内のサービスを手動で指定または編集することはできません。

対象範囲内のサービスとは、評価によって証拠 AWS のサービス が収集される です。サービスが評価の範囲に含まれると、Audit Manager はそのサービスのリソースを評価します。リソースの例は下記のとおりです。

  • Amazon EC2 インスタンス

  • S3 バケット

  • IAM ユーザーまたはロール

  • DynamoDB テーブル。

  • Amazon 仮想プライベートクラウド (VPC)、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL) の表などのネットワークコンポーネント

例えば、Amazon S3 が範囲内のサービスである場合、Audit Manager は S3 バケットに関する証拠を収集できます。収集される正確な証拠は、コントロールの によって決まりますdata source。例えば、データソースタイプが で AWS Config、データソースマッピングが AWS Config ルール ( などs3-bucket-public-write-prohibited) の場合、Audit Manager はそのルール評価の結果を証拠として収集します。

注記

対象範囲内のサービスは、データソースタイプ とは異なることに注意してください。データソースタイプは、 AWS のサービス または別のものでもかまいません。詳細については、このガイドのサービスの対象範囲とデータソースタイプにはどのような違いがありますか?「トラブルシューティング」セクションの「」を参照してください。

標準コントロール

control を参照してください。