AWS Audit Manager での評価の作成

このトピックは、監査所有者向けチュートリアル: 評価の作成 の内容に基づいています。このページには、フレームワークから評価を作成する詳細な手順が記載されています。次の手順に従って評価を作成し、継続的な証拠の収集を開始します。

前提条件

このチュートリアルを開始する前に、次の条件を満たしていることを確認してください。

• 推奨設定での AWS Audit Manager のセットアップ で説明されているすべての前提条件を満たしていること。このチュートリアルを完了するには、AWS アカウント と Audit Manager コンソールを使用する必要があります。

• IAM アイデンティティには、Audit Manager で評価を作成および管理するための適切な許可が付与されていること。これらのアクセス許可を付与する 2 つの推奨ポリシーは、AWSAuditManagerAdministratorAccess と ユーザーにはAWS Audit Managerへの管理アクセスを許可します です。

手順

タスク

• ステップ 1: 評価の詳細を指定する
• ステップ 2: 範囲内の AWS アカウント を指定する
• ステップ 3: 監査所有者を指定する
• ステップ 4: 確認して作成する

ステップ 1: 評価の詳細を指定する

フレームワークを選択し、評価のための基本的な情報を提供することから始めます。

評価の詳細を指定するには

1. AWS Audit Manager コンソール (https://console.aws.amazon.com/auditmanager/home) を開きます。

2. ナビゲーションペインで、[Assessments] (評価)、[Create assessment] (評価を作成) の順に選択します。

3. [名前] に評価の名前を入力します。

4. (オプション) [説明] に評価の説明を入力します。

5. [評価レポートの送信先] で、評価レポートを保存する S3 バケットを選択します。

   ヒント

   デフォルトの評価レポートの送信先は、[評価設定] に基づいています。必要に応じて、異なる評価レポートをわかりやすく整理するために、複数の S3 バケットを作成して使用できます。

6. [フレームワークの選択] で、評価の作成元となるフレームワークを選択します。検索バーを使用して、名前、またはコンプライアンス標準や規制によってフレームワークを検索することもできます。

   ヒント

   フレームワークの詳細を確認するには、フレームワーク名を選択してフレームワークの詳細ページを参照してください。

7. (オプション) [タグ] で、[新しいタグを追加] を選択して、タグを評価に関連付けます。タグごとにキーと値を指定できます。タグキーは必須であり、この評価を検索するときに検索条件として使用できます。

8. [Next] を選択します。

注記

評価が指定したフレームワークの正しいエビデンスを収集していることを確認することが重要です。証拠の収集を始める前に、選択したフレームワークの要件を確認することをお勧めします。次に、これらの要件を現在の AWS Config ルールパラメータに対して検証します。ルールパラメータがフレームワークの要件と一致していることを確認するために、AWS Config　でルールを更新できます。

例えば、CIS v1.2.0 の評価を作成するとします。このフレームワークには 1.9 - IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認と命名されたコントロールがあります。AWS Config　には、iam-password-policy ルールにパスワードの長さをチェックする MinimumPasswordLength パラメータがあります。このパラメータのデフォルト値は 14 文字です。その結果、このルールは統制要件と一致しています。デフォルトのパラメータ値を使用していない場合は、使用する値が CIS v1.2.0 の 14 文字要件以上であることを確認してください。各マネージドルールのデフォルトパラメータの詳細は、AWS Config ドキュメントに記載されています。

ステップ 2: 範囲内の AWS アカウント を指定する

評価の範囲で複数の　AWS アカウント　を指定できます。Audit Manager は、AWS Organizations との統合により複数のアカウントをサポートします。つまり、Audit Manager の評価は複数のアカウントで実行でき、収集された証拠は委任管理者アカウントに統合されます。Audit Manager で組織を有効にするには、AWS Organizations の有効化とセットアップ を参照してください。

注記

Audit Manager は、評価の範囲で最大 200 のアカウントをサポートできます。200 以上のアカウントを含めようとすると、評価の作成に失敗する可能性があります。

範囲内の AWS アカウント を指定するには

1. AWS アカウント で、評価の範囲に含める AWS アカウント を選択します。

   • Audit Manager で組織を有効にした場合は、複数のアカウントが表示されます。リストから 1 つ以上のアカウントを選択できます。または、アカウント名、ID、または E メールでアカウントを検索することもできます。

   • Audit Manager で組織を有効にしなかった場合は、現在の AWS アカウント のみが一覧表示されます。

2. [Next] を選択します。

注記

範囲内のアカウントが組織から削除されると、Audit Manager は、それ以降、そのアカウントの証拠を収集しなくなります。ただし、アカウントは引き続き [AWS アカウント] タブの評価に表示されます。範囲内のアカウントのリストからアカウントを削除するには、評価を編集を実行します。削除されたアカウントは編集中にリストに表示されなくなります。また、そのアカウントが範囲に含まれていなくても変更を保存できます。

ステップ 3: 監査所有者を指定する

このステップでは、評価の監査所有者を指定します。監査所有者は、職場の個人 (通常は GRC、SecOps、または DevOps チームに所属) であり、Audit Manager の評価の管理を担当します。AWSAuditManagerAdministratorAccess ポリシーを使用することをお勧めします。

監査所有者を指定するには

1. [Audit owners] (監査所有者) で、現在の監査所有者のリストを確認します。[監査所有者] の列には、ユーザーの ID とロールが表示されます。AWS アカウント 列には、その監査所有者の AWS アカウント が表示されます。

2. チェックボックスがオンになっている監査所有者は、評価に含まれます。監査所有者が自らを評価から削除するには、チェックボックスをオフにします。検索バーを使用して名前または AWS アカウント で検索すると、追加の監査所有者を検索できます。

3. 完了したら、[Next（次へ）] を選択します。

ステップ 4: 確認して作成する

評価に関する情報を確認します。ステップに関する情報を変更するには、[Edit（編集）] を選択します。完了したら、[Create assessment（評価を作成）] を選択します。

このアクションにより、評価のための継続的な証拠の収集が開始されます。評価を作成した後、評価ステータスを [inactive（非アクティブ）] に変更するまで、証拠の収集が続行されます。または、コントロールのステータスを [非アクティブ] に変更することで、特定のコントロールの証拠収集を停止できます。

注記

自動証拠は、評価が作成されてから 24 時間後に利用可能になります。Audit Manager は複数のデータ ソースから証拠を自動的に収集し、その証拠収集の頻度は証拠の種類に基づきます。詳細については、このガイドの「証拠収集の頻度」を参照してください。

次のステップ

後日評価を再確認するには、「AWS Audit Manager での評価の検索」を参照してください。これらの手順に従って、評価の表示、編集、または作業の継続を行うことができます。

追加リソース

Audit Manager の評価に関する問題の解決策については、「評価と証拠収集の問題に関するトラブルシューティング」を参照してください。