評価の作成 - AWS Audit Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

評価の作成

このトピックは、開始方法: 評価の作成のチュートリアルに基づいています。フレームワークから評価を作成する方法の詳細な手順が含まれています。次の手順に従って評価を作成し、継続的な証拠の収集を開始します。

ステップ 1: 評価の詳細を指定する

フレームワークを選択し、評価のための基本的な情報を提供することから始めます。

評価の詳細を指定するには
  1. AWS Audit Manager コンソール (https://console.aws.amazon.com/auditmanager/home) を開きます。

  2. ナビゲーションペインで、[Assessments] (評価)、[Create assessment] (評価を作成) の順に選択します。

    • または、ナビゲーションペインで、[Getting started(開始方法)] を選択し、[Create assessment(評価を作成)] を選択します。

  3. [Assessment name(評価名)] で、評価名を入力します。

  4. (オプション) [Assessment description(評価の説明)] で、評価の説明を入力します。

  5. [Assessment reports destination(評価レポートの宛先)] で、評価レポートの保存先とする既存の Amazon S3 バケットを選択します。

    ヒント

    デフォルトの評価レポートの宛先は、 Audit Manager の設定に基づいています。詳細については、「AWS Audit Manager の設定、評価レポートの宛先」を参照してください。必要に応じて、評価レポートを整理するのに役立てるために、複数の S3 バケットを作成して使用できます。

  6. [Frameworks(フレームワーク)] で、評価の作成元となるフレームワークを選択します。検索バーを使用して、名前、またはコンプライアンス標準や規制によってフレームワークを検索することもできます。

    ヒント

    フレームワークの詳細を確認するには、フレームワーク名を選択してください。これにより、フレームワークの概要のページが開きます。このページでは、そのフレームワークの内容を確認できます。これにはフレームワークのコントロールとデータソースが含まれます。

  7. [Tags(タグ)] (タグ) で、[Add new tag(新しいタグを追加)] を選択して、タグを評価に関連付けます。タグごとにキーと値を指定できます。タグキーは必須であり、この評価を検索するときに検索条件として使用できます。Audit Manager のタグの詳細については、「AWS Audit Manager リソースのタグ付け」を参照してください。

  8. [Next(次へ)] をクリックします。

注記

評価が指定したフレームワークの正しいエビデンスを収集していることを確認することが重要です。エビデンス収集を始める前に、選択したフレームワークの要件を確認することをお勧めします。次に、これらの要件を現在の AWS Config ルールパラメータに対して検証します。ルールパラメータがフレームワークの要件と一致していることを確認するために、AWS Config でルールを更新できます

たとえば、CIS v1.2.0 の評価を作成するとします。このフレームワークには 1.9 - IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認と命名されたコントロールがあります。AWS Config には、iam-password-policy ルールにパスワードの長さをチェックする MinimumPasswordLength パラメータがあります。このパラメータのデフォルト値は 14 文字です。その結果、このルールは統制要件と一致しています。デフォルトのパラメータ値を使用していない場合は、使用する値が CIS v1.2.0 の 14 文字要件以上であることを確認してください。各マネージドルールのデフォルトパラメータの詳細は、AWS Config ドキュメントに記載されています。

ステップ 2: 範囲内の AWS アカウント を指定する

評価の範囲で複数の AWS アカウント を指定できます。Audit Manager は、AWS Organizations との統合により複数のアカウントをサポートします。つまり、Audit Manager の評価は複数のアカウントで実行でき、収集された証拠は委任管理者アカウントに統合されます。Audit Manager で組織を有効にするには、有効化 (オプション) AWS Organizations を参照してください。

注記

Audit Manager は、評価の範囲で約 150 のアカウントをサポートできます。150以上のアカウントを含めようとすると、評価の作成に失敗する可能性があります。

範囲内の AWS アカウント を指定するには
  1. AWS アカウント で、評価の範囲に含める AWS アカウント を選択します。

    • Audit Manager で組織を有効にした場合は、複数のアカウントが表示されます。リストから 1 つ以上のアカウントを選択できます。または、アカウント名、ID、または E メールでアカウントを検索することもできます。

    • Audit Manager で組織を有効にしなかった場合は、現在の AWS アカウント のみが一覧表示されます。

  2. [Next] (次へ) をクリックします。

注記

範囲内のアカウントが組織から削除されると、 は、それ以降、そのアカウントの証拠を収集しなくなります。ただし、アカウントは引き続き [AWS アカウント] タブの評価に表示されます。範囲内のアカウントのリストからアカウントを削除するには、評価を編集できます。削除されたアカウントは編集中にリストに表示されなくなります。また、そのアカウントが範囲に含まれていなくても変更を保存できます。

ステップ 3: 範囲内の AWS のサービス を指定する

以前に選択したフレームワークは、Audit Manager がモニタリングおよび証拠を収集する AWS のサービス を定義します。リストされた AWS のサービス が選択されていない場合、または選択されているがご利用の環境で有効にしていない場合、Audit Manager は、そのサービスに関連するリソースから証拠を収集しません。

範囲内の AWS のサービス は次のように指定できます。

Audit Manager コンソールを使用して標準フレームワークから評価を作成する場合、範囲内の AWS のサービス のリストはデフォルトで選択されています。このリストは編集できません。これは、Audit Manager がデータソースとサービスを自動的にマッピングして選択するためです。この選択は、標準フレームワークの要件に従って行われます。選択した標準フレームワークに手動コントロールのみが含まれている場合、評価の範囲に含まれる AWS のサービス はなく、サービスを追加することはできません。

続行するには、リストを確認して [Next(次へ)] を選択します。

ヒント

範囲内のサービスのリストを編集する必要がある場合は、Audit Manager によって提供される CreateAssessment API を使用して編集できます。

または、標準フレームワークをカスタマイズしてから、カスタムフレームワークから評価を作成することもできます。

ステップ 1 でカスタムフレームワークを選択した場合は、評価の範囲に含まれる AWS のサービス のリストを確認および変更できます。選択したカスタムフレームワークに手動コントロールのみが含まれている場合、すべての AWS のサービス が表示されますが、いずれも選択されていません。評価の範囲に含めるサービスを選択しないことも、1 個以上選択することもできます。

範囲内の AWS のサービス を指定するには (カスタムフレームワークのみから作成された評価の場合)
  1. AWS のサービス で、評価に含めるサービスを選択します。検索バーを使用してサービス、カテゴリ、または説明で検索すると、追加のサービスを見つけることができます。サービスを追加するには、サービス名の横にあるチェックボックスをオンにします。サービスを削除するには、チェックボックスをオフにします。

  2. AWS のサービス の選択が完了したら、[Next(次へ)] を選択します。

ステップ 4: 監査所有者を指定する

このステップでは、評価の監査所有者を指定します。監査所有者は、職場の個人 (通常は GRC、SecOps、または DevOps チームに所属) であり、Audit Manager の評価の管理を担当します。AWSAuditManagerAdministratorAccess ポリシーを使用することをお勧めします。

監査所有者を指定するには
  1. [Audit owners] (監査所有者) で、現在の監査所有者のリストを確認します。[Audit owner] (監査所有者) の列には、ユーザーの ID とロールが表示されます。AWS アカウント 列には、その監査所有者の関連 AWS アカウント が表示されます。

  2. チェックボックスがオンになっている監査所有者は、評価に含まれます。監査所有者が自らを評価から削除するには、チェックボックスをオフにします。検索バーを使用して名前または AWS アカウント で検索すると、追加の監査所有者を検索できます。

  3. 完了したら、[Next(次へ)] を選択します。

ステップ 5: 確認して作成する

評価に関する情報を確認します。ステップに関する情報を変更するには、[Edit(編集)] を選択します。完了したら、[Create assessment(評価を作成)] を選択します。

このアクションにより、評価のための継続的な証拠の収集が開始されます。評価を作成した後、評価ステータスを [inactive(非アクティブ)]変更するまで、証拠の収集が続行されます。または、コントロールのステータスを [inactive(非アクティブ)]変更することで、特定のコントロールの証拠収集を停止できます。

注記

自動証拠は、評価を作成してから 24 時間後に利用可能になります。Audit Manager は複数のデータ ソースから証拠を自動的に収集し、その証拠収集の頻度は証拠の種類に基づきます。詳細については、このガイドの「証拠収集の頻度」を参照してください。

次のステップ

評価を作成したら、次の事項の詳細を確認することをお勧めします。