AWS Audit Manager でのカスタムコントロールの作成 - AWS Audit Manager
重要ポイント追加リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Audit Manager でのカスタムコントロールの作成

カスタムコントロールを使用して、特定のコンプライアンスニーズに関する証拠を収集できます。

標準コントロールと同様に、カスタムコントロールは評価で有効になっている間は継続的に証拠を収集します。また、作成したカスタムコントロールには手動証拠を追加できます。証拠はそれぞれ、カスタムコントロールの要件への準拠を実証するのに役立つ記録になります。

まず、カスタムコントロールの使用方法の例をいくつか示します。

エンタープライズコントロールを AWS データソースの事前定義されたグループにマッピングする

一般的なコントロールを証拠ソースとして使用することで、エンタープライズコントロールを Audit Manager に実装できます。目的を表す一般的なコントロールを選択し、それらを構成要素として使用して、コンプライアンスニーズのポートフォリオ全体で証拠を収集するコントロールを作成します。それぞれの一般的な自動コントロールは、データソースの事前定義されたグループにマッピングされます。つまり、どのデータソースが目標に関連する証拠を収集するかを知るために、AWS のエキスパートである必要はありません。また、一般的なコントロールを証拠ソースとして使用すると、データソースマッピングを維持する必要がなくなります。マッピングの維持は、Audit Manager によって処理されます。

ベンダーリスク評価用の質問を作成する

カスタムコントロールを使用して、ベンダーリスク評価の管理方法をサポートすることができます。作成した各コントロールで、個々のリスク評価に関する質問を表すことができます。例えば、コントロール名は質問にすることができ、ファイルのアップロード、またはテキストによる回答の入力を手動証拠として提供できます。

重要ポイント

Audit Manager でカスタムコントロールを作成する場合は、以下の 2 つの方法から選択できます。

  1. 何もない状態からコントロールを作成する - この方法では、最大限の柔軟性が得られ、ニーズに正確に合わせてコントロールを調整できます。これは、既存のコントロールで適切にカバーされていない特定のコンプライアンス要件がある場合に適しています。この方法は、組織のエンタープライズコントロールを AWS データソースの事前定義されたグループにマッピングする必要がある場合や、ベンダーリスク評価の質問を個々のコントロールとして作成する場合に特に便利です。

  2. 既存のコントロールの編集可能なコピーを作成する - 既存の標準コントロールまたはカスタムコントロールが部分的にニーズを満たす場合は、そのコントロールの編集可能なコピーを作成できます。このアプローチは、既存のコントロールにわずかな変更を加えるだけニーズを満たすことができる場合により効率的です。これは、コントロールを特定の要件に合わせて調整するために、いくつかの属性を調整する場合に適しています。例えば、コントロールが API コールを使用して証拠を収集する頻度を変更し、それを反映するようにコントロールの名前を変更することができます。

追加リソース

カスタムコントロールを作成する手順については、以下のリソースを参照してください。