評価と証拠収集の問題に関するトラブルシューティング - AWS Audit Manager
評価を作成しましたが、まだ証拠が表示されません評価で からコンプライアンスチェックの証拠が収集されていない AWS Security HubSecurity Hub でセキュリティコントロールを無効にしました。Audit Manager は、そのセキュリティコントロールのコンプライアンスチェックの証拠を収集しますか?Security Hub Suppressedで検出結果のステータスを に設定します。Audit Manager は、その検出結果に関するコンプライアンスチェックの証拠を収集しますか?私の評価では、 からコンプライアンスチェックの証拠が収集されていません AWS Config私の評価では、 AWS CloudTrailからユーザーアクティビティの証拠が収集されていません評価で通話の設定データの証拠が AWS API収集されていない共通コントロールが自動証拠を収集していない証拠がさまざまな間隔で生成されており、収集頻度がわかりませんAudit Manager を無効にしてから再度有効にしましたが、既存の評価では証拠が収集されなくなりました評価の詳細ページで、評価を再作成するように求められます。データソースと証拠ソースの違いは何ですか?評価の作成に失敗した対象範囲内のアカウントを組織から削除するとどうなりますか?評価の対象となるサービスが表示されない評価の範囲内のサービスを編集できませんサービスの対象範囲とデータソースタイプにはどのような違いがありますか?

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

評価と証拠収集の問題に関するトラブルシューティング

このページの情報を参照して、Audit Manager での一般的な評価と証拠収集の問題を解決できます。

評価を作成しましたが、まだ証拠が表示されません

証拠が表示されない場合は、評価を作成してから 24 時間が経過していなかったか、設定エラーが発生している可能性があります。

次を確認することをお勧めします。

  1. 評価を作成してから 24 時間が経過していることを確認してください。自動証拠は、評価を作成してから 24 時間後に利用可能になります。

  2. 証拠が表示される予定の AWS リージョン と同じ で Audit Manager AWS のサービス を使用していることを確認してください。

  3. AWS Config および からのコンプライアンスチェックの証拠が表示されることが予想される場合は AWS Security Hub、 AWS Config と Security Hub コンソールの両方にこれらのチェックの結果が表示されていることを確認してください。 AWS Config および Security Hub の結果は、Audit Manager を使用する AWS リージョン のと同じ に表示されます。

それでも評価に証拠が見つからず、これらの問題のいずれかが原因ではない場合は、このページで説明されている他の考えられる原因を確認してください。

評価で からコンプライアンスチェックの証拠が収集されていない AWS Security Hub

AWS Security Hub コントロールのコンプライアンスチェックの証拠が表示されない場合は、次のいずれかの問題が原因である可能性があります。

AWS Security Hub に設定がありません

この問題は、 AWS Security Hubを有効にした際に一部の設定手順が行われなかった場合に発生する可能性があります。

この問題を解決するには、Audit Manager に必要な設定で Security Hub を有効にしていることを確認してください。手順については、「を有効にしてセットアップする AWS Security Hub」を参照してください。

Security Hub コントロール名がControlMappingSourceに誤って入力されました

Audit Manager を使用してカスタムコントロールAPIを作成する場合、証拠収集のデータソースマッピングとして Security Hub コントロールを指定できます。そのためには、コントロール ID をkeywordValueとして入力します。

Security Hub コントロールのコンプライアンスチェック証拠が表示されない場合は、ControlMappingSourcekeywordValueが正しく入力されていない可能性があります。keywordValue は、大文字と小文字が区別されます。間違って入力すると、Audit Manager が適用するルールを認識しない可能性があります。その結果、指定のコントロールのコンプライアンスチェックの証拠が期待どおりに収集されない可能性があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。Security Hub キーワードの正しい形式はさまざまです。精度については、 のリストを参照してくださいサポートされている Security Hub コントロール

AuditManagerSecurityHubFindingsReceiver Amazon EventBridge ルールがありません

Audit Manager を有効にすると、 という名前のルールAuditManagerSecurityHubFindingsReceiverが Amazon で自動的に作成され、有効になります EventBridge。このルールにより、Audit Manager は Security Hub の検出結果を証拠として収集できます。

Security Hub を使用する でこのルール AWS リージョン がリストされておらず、有効になっていない場合、Audit Manager はそのリージョンの Security Hub の検出結果を収集できません。

この問題を解決するには、EventBridge コンソールに移動し、AuditManagerSecurityHubFindingsReceiverルールが に存在することを確認します AWS アカウント。ルールが存在しない場合は、Audit Manager を無効にしてからサービスを再度有効にすることをお勧めします。このアクションを実行しても問題が解決されない場合や、Audit Manager を無効にできない場合は、AWS Supportまでお問い合わせください

Security Hub によって作成されたサービスにリンクされた AWS Config ルール

Audit Manager は、Security Hub が作成するサービスにリンクされた AWS Config ルールから証拠を収集しないことに注意してください。これは、Security Hub サービスによって有効および制御される特定のタイプのマネージド AWS Config ルールです。Security Hub は、同じルールの他のインスタンスがすでに存在する場合でも、これらのサービスにリンクされたルールのインスタンスを AWS 環境に作成します。そのため、証拠の重複を防ぐため、Audit Manager はサービスにリンクされたルールからの証拠収集をサポートしていません。

Security Hub でセキュリティコントロールを無効にしました。Audit Manager は、そのセキュリティコントロールのコンプライアンスチェックの証拠を収集しますか?

Audit Manager は、無効化されたセキュリティコントロールの証拠を収集しません。

Security Hub でセキュリティコントロールのステータスを無効にすると、現在のアカウントとリージョンでそのコントロールのセキュリティチェックは実行されません。その結果、Security Hub で利用できるセキュリティ検出結果はなく、Audit Manager によって関連する証拠も収集されません。

Security Hub で設定した無効ステータスを尊重することで、Audit Manager は、意図的に無効にしたコントロールを除き、評価が環境に関連するアクティブなセキュリティコントロールと検出結果を正確に反映するようにします。

Security Hub Suppressedで検出結果のステータスを に設定します。Audit Manager は、その検出結果に関するコンプライアンスチェックの証拠を収集しますか?

Audit Manager は、検出結果を抑制したセキュリティコントロールの証拠を収集します。

Security Hub で検出結果のワークフローステータスを抑制に設定した場合、検出結果を確認し、アクションが必要ではないと判断することを意味します。Audit Manager では、これらの抑制された検出結果は証拠として収集され、評価に添付されます。証拠の詳細には、Security Hub から直接SUPPRESSED報告された の評価ステータスが表示されます。

このアプローチにより、Audit Manager の評価が Security Hub の検出結果を正確に表し、監査でさらなるレビューや検討が必要な抑制された検出結果を可視化できます。

私の評価では、 からコンプライアンスチェックの証拠が収集されていません AWS Config

AWS Config ルールのコンプライアンスチェックの証拠が表示されない場合は、次のいずれかの問題が原因である可能性があります。

ルール ID がControlMappingSourceに誤って入力されました

Audit Manager を使用してカスタムコントロールAPIを作成する場合、証拠収集のデータソースマッピングとして AWS Config ルールを指定できます。指定するkeywordValueは、ルールのタイプによって異なります。

AWS Config ルールのコンプライアンスチェックの証拠が表示されない場合は、 が に正しく入力keywordValueされていない可能性がありますControlMappingSourcekeywordValue は、大文字と小文字が区別されます。誤って入力すると、Audit Manager が適用するルールを認識しない可能性があります。その結果、そのルールのコンプライアンスチェック証拠が期待どおりに収集されない可能性があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。

  • カスタムルールの場合は、keywordValueCustom_というプレフィックスがあり、その後にカスタムルール名が続くことを確認してください。カスタムルール名の形式は異なる場合があります。正確さを期すには、AWS Config コンソールにアクセスしてカスタムルール名を確認してください。

  • マネージドルールの場合は、keywordValueALL_CAPS_WITH_UNDERSCORES内のルール識別子であることを確認してください。例えば CLOUDWATCH_LOG_GROUP_ENCRYPTED です。正確さを期すには、サポートされているマネージドルールキーワードのリストを参照してください。

    注記

    マネージドルールによっては、ルール識別子はルール名と異なる場合があります。例えば、 restricted-ssh のルール識別子は INCOMING_SSH_DISABLED です。ルール名ではなく、必ずルール識別子を使用するようにしてください。ルール ID を検索するには、マネージドルールのリストからルールを選択し、その識別子の値を探します。

このルールはサービスにリンクされた AWS Config ルールである

マネージドルールカスタムルールを証拠収集用のデータソースマッピングとして使用できます。ただし、Audit Manager は、サービスにリンクされたルールからの証拠はほとんど収集しません。

Audit Manager が証拠を収集するサービスにリンクされたルールには、次の 2 つのタイプしかありません。

  • コンフォーマンスパックのサービスにリンクされたルール

  • のサービスにリンクされたルール AWS Organizations

Audit Manager は、他のサービスにリンクされたルール、特に以下のプレフィックスを含む Amazon リソースネーム (ARN) を持つルールから証拠を収集しません。 arn:aws:config:*:*:config-rule/aws-service-rule/...

Audit Manager がサービスにリンクされた AWS Config ルールからほとんど証拠を収集しない理由は、評価で証拠が重複するのを防ぐためです。サービスにリンクされたルールは、他の がアカウントにルール AWS のサービス を作成できるようにする特定のタイプのマネージド AWS Config ルールです。例えば、一部の Security Hub コントロールは AWS Config 、サービスにリンクされたルールを使用してセキュリティチェックを実行します。サービスにリンクされた AWS Config ルールを使用する Security Hub コントロールごとに、Security Hub は必要な AWS Config ルールのインスタンスを AWS 環境に作成します。これは、アカウントに元のルールが既に存在している場合でも発生します。そのため、同じルールから同じ証拠を 2 回収集することを避けるため、Audit Manager はサービスにリンクされたルールを無視し、そこから証拠を収集しません。

AWS Config が有効になっていない

AWS Config で を有効にする必要があります AWS アカウント。この AWS Config 方法で を設定すると、Audit Manager は AWS Config ルールの評価が行われるたびに証拠を収集します。 AWS Config で を有効にしていることを確認します AWS アカウント。手順については、「 の有効化とセットアップ AWS Config」を参照してください。

AWS Config ルールは、評価を設定する前にリソース設定を評価しました

特定のリソースの設定変更を評価するように AWS Config ルールが設定されている場合、 の評価 AWS Config と Audit Manager の証拠の間に不一致が生じることがあります。これは、Audit Manager 評価でコントロールを設定する前にルール評価が行われた場合に発生します。この場合、基になるリソースの状態が再び変更され、ルールの再評価がトリガーされるまで、Audit Manager は証拠を生成しません。

回避策として、 AWS Config コンソールでルール に移動し、ルール を手動で再評価できます。これにより、そのルールに関連するすべてのリソースの評価が新たに開始されます。

私の評価では、 AWS CloudTrailからユーザーアクティビティの証拠が収集されていません

Audit Manager を使用してカスタムコントロールAPIを作成する場合、証拠収集のデータソースマッピングとして CloudTrail イベント名を指定できます。そのためには、イベント名をkeywordValueとして入力します。

CloudTrail イベントのユーザーアクティビティの証拠が表示されない場合は、 が に正しく入力keywordValueされていない可能性がありますControlMappingSourcekeywordValue は、大文字と小文字が区別されます。誤って入力すると、Audit Manager がイベント名を認識しない可能性があります。その結果、該当イベントのユーザーアクティビティの証拠を意図したとおりに収集できない可能性があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。イベントがserviceprefix_ActionNameと記述されていることを確認してください。例えば cloudtrail_StartLogging です。正確さを期すために、サービス認証リファレンスで AWS のサービス プレフィックスとアクション名を確認してください。

評価で通話の設定データの証拠が AWS API収集されていない

Audit Manager を使用してカスタムコントロールAPIを作成する場合、証拠収集のデータソースマッピングとして 呼び出しを指定できます AWS API。これを行うには、API呼び出しを として入力しますkeywordValue

呼び出しの設定データの証拠 AWS APIが表示されない場合は、 keywordValueが に誤って入力された可能性がありますControlMappingSourcekeywordValue大文字と小文字を区別します。誤って入力すると、Audit Manager がAPI呼び出しを認識しない可能性があります。その結果、そのAPI呼び出しの設定データの証拠が意図したとおりに収集されない場合があります。

この問題を解決するには、カスタムコントロールを更新し、keywordValueを修正してください。API 呼び出しが として書き込まれていることを確認しますserviceprefix_ActionName。例えば iam_ListGroups です。精度については、 のリストを参照してくださいAWS でサポートされている API コール AWS Audit Manager

共通コントロールが自動証拠を収集していない

共通コントロールを確認すると、次のメッセージが表示されます。この共通コントロールは、コアコントロール から自動証拠を収集しません

つまり、現在、この共通コントロールをサポートできる AWS マネージド証拠ソースはありません。その結果、証拠ソースタブは空になり、コアコントロールは表示されません。

共通コントロールが自動証拠を収集しない場合、手動共通コントロール と呼ばれます。手動の一般的なコントロールでは、通常、物理的な記録と署名、または AWS 環境外で発生するイベントに関する詳細を提供する必要があります。このため、多くの場合、コントロールの要件をサポートする証拠を生成できる AWS データソースはありません。

共通コントロールが手動の場合、カスタムコントロールの証拠ソースとして使用できます。唯一の違いは、共通コントロールが証拠を自動的に収集しないことです。代わりに、共通コントロールの要件をサポートするために、独自の証拠を手動でアップロードする必要があります。

手動共通コントロールに証拠を追加するには
  1. カスタムコントロールを作成する

    • 手順に従って、カスタムコントロールを作成または編集します。

    • ステップ 2 で証拠ソースを指定するときは、証拠ソースとして手動の共通コントロールを選択します。

  2. カスタムフレームワークを作成する

    • 手順に従って、カスタムフレームワークを作成または編集します。

    • ステップ 2 でコントロールセットを指定する場合は、新しいカスタムコントロールを含めます。

  3. 評価を作成する

    • 手順に従って、カスタムフレームワークから評価を作成します

    • この時点で、手動共通コントロールはアクティブな評価コントロールの証拠ソースになりました。

  4. 手動証拠をアップロードする

注記

将来、より多くの AWS データソースが利用可能になるにつれて、 は共通のコントロールを更新して、コアコントロールを証拠ソースとして含め AWS る可能性があります。この場合、共通コントロールが 1 つ以上のアクティブな評価コントロールの証拠ソースである場合は、これらの更新が自動的に有効になります。これ以上のセットアップは必要ないため、共通コントロールをサポートする自動証拠の収集を開始します。

証拠がさまざまな間隔で生成されており、収集頻度がわかりません

Audit Manager の評価のコントロールでは、さまざまなデータソースの組み合わせにマッピングされます。データソースごとに、証拠収集の頻度が異なります。その結果、証拠が収集される頻度に対する one-size-fits-all 回答はありません。コンプライアンスを評価するデータソースもあれば、リソースの状態をキャプチャし、コンプライアンスに関して判断することなくデータを変更するだけのデータソースもあります。

さまざまなデータソースの種類と証拠を収集する頻度の概要を以下に示します。

[Data source type] 説明 証拠収集の頻度 このコントロールが評価でアクティブになっている場合
AWS CloudTrail

特定のユーザーアクティビティを追跡します。

継続的

Audit Manager は、選択したキーワードに基づいて CloudTrail ログをフィルタリングします。処理されたログは、[ユーザーアクティビティ] の証拠にインポートされます。

AWS Security Hub

Security Hub からの検出結果を報告することにより、リソースのセキュリティ体制のスナップショットをキャプチャします。

Security Hub チェックのスケジュールに基づく (通常は約 12 時間ごと)

Audit Manager は、Security Hub から直接セキュリティ検出結果を取得します。検出結果はコンプライアンスチェックの証拠としてインポートされます。

AWS Config

からの結果をレポートすることで、リソースセキュリティ体制のスナップショットを取得します AWS Config。

AWS Config ルールで定義されている設定に基づく Audit Manager は、ルール評価を から直接取得します AWS Config。評価はコンプライアンスチェックの証拠としてインポートされます。
AWS API 呼び出し

指定された へのAPI呼び出しを通じて、リソース設定のスナップショットを直接取得します AWS のサービス。

毎日、毎週、または毎月 Audit Manager は、指定した頻度に基づいてAPI呼び出しを行います。レスポンスは構成データ証拠としてインポートされます。

証拠収集の頻度にかかわらず、評価がアクティブである限り、新しい証拠が自動的に収集されます。詳細については、「証拠収集の頻度」を参照してください。

詳細については、「自動証拠でサポートされているデータソースタイプ」および「コントロールが証拠を収集する頻度の変更」を参照してください。

Audit Manager を無効にしてから再度有効にしましたが、既存の評価では証拠が収集されなくなりました

Audit Manager を無効にしてデータを削除しないことを選択すると、既存の評価は休止状態になり、証拠の収集が停止します。つまり、Audit Manager を再度有効にしても、以前に作成した評価は引き続き使用できます。ただし、証拠収集は自動的に再開はされません。

既存のアセスメントの証拠の収集を再開するには、評価を編集し、変更を加えずに保存を選択します。

評価の詳細ページで、評価を再作成するように求められます。

評価を再作成するよう求めるポップアップメッセージのスクリーンショット。

より包括的な証拠を収集するための新しい評価を作成するというメッセージが表示された場合は、Audit Manager が評価の作成元の標準フレームワークの新しい定義を提供するようになったことを示します。

新しいフレームワーク定義では、フレームワークのすべての標準コントロールがAWS マネージドソース から証拠を収集できるようになりました。つまり、共通コントロールまたはコアコントロールの基盤となるデータソースが更新されるたびに、Audit Manager は関連するすべての標準コントロールに同じ更新を自動的に適用します。

これらの AWS マネージドソースを活用するには、更新されたフレームワークから新しい評価を作成することをお勧めします。これを行うと、古い評価ステータスを非アクティブな に変更できます。このアクションは、新しい評価が AWS マネージドソースから入手可能な最も正確で包括的な証拠を収集できるようにするのに役立ちます。アクションを実行しない場合、評価では引き続き古いフレームワークとコントロール定義を使用して、以前とまったく同じように証拠を収集します。

データソースと証拠ソースの違いは何ですか?

証拠ソースは、証拠の収集元を決定します。これは、個々のデータソースでも、コアコントロールまたは共通コントロールにマッピングされるデータソースの事前定義されたグループでもかまいません。

データソースは、最も詳細なタイプの証拠ソースです。データソースには、証拠データを収集する正確な場所を Audit Manager に伝える以下の詳細が含まれています。

評価の作成に失敗した

アセスメントの作成に失敗した場合は、評価範囲で選択した AWS アカウント が多すぎることが原因である可能性があります。を使用している場合 AWS Organizations、Audit Manager は 1 つの評価の範囲内で最大 200 のメンバーアカウントをサポートできます。この数を超えると、評価の作成が失敗する可能性があります。回避策として、各評価の範囲内で異なるアカウントを使用して複数の評価を実行できます。

対象範囲内のアカウントを組織から削除するとどうなりますか?

範囲内のアカウントが組織から削除されると、Audit Manager は、それ以降、そのアカウントの証拠を収集しなくなります。ただし、アカウントは引き続き [AWS アカウント] タブの評価に表示されます。範囲内のアカウントのリストからアカウントを削除するには、評価を編集を実行します。削除されたアカウントは編集中にリストに表示されなくなります。また、そのアカウントが範囲に含まれていなくても変更を保存できます。

評価の対象となるサービスが表示されない

AWS のサービス タブが表示されない場合は、対象範囲内のサービスが Audit Manager によって管理されることを意味します。新しい評価を作成すると、Audit Manager はその時点から対象範囲内のサービスを管理します。

古い評価がある場合、評価でこのタブが以前に表示された可能性があります。ただし、Audit Manager は、評価からこのタブを自動的に削除し、次のいずれかのイベントが発生したときに、範囲内のサービスの管理を引き継ぎます。

  • 評価を編集する

  • 評価で使用されるカスタムコントロールのいずれかを編集する

Audit Manager は、評価コントロールとそのデータソースを調べ、この情報を対応する にマッピングすることで、対象範囲内のサービスを推測します AWS のサービス。評価の基盤となるデータソースが変更された場合、適切なサービスを反映するために、必要に応じてスコープが自動的に更新されます。これにより、評価によって AWS 、環境内のすべての関連サービスに関する正確で包括的な証拠が収集されます。

評価の範囲内のサービスを編集できません

での評価の編集 AWS Audit Manager ワークフローにサービスの編集ステップがなくなりました。これは、Audit Manager AWS のサービス が評価の対象となる を管理するようになったためです。

古い評価がある場合は、その評価の作成時に対象範囲内のサービスを手動で定義している可能性があります。ただし、これらのサービスは今後編集できません。Audit Manager は、次のいずれかのイベントが発生すると、評価の対象となる のサービスの管理を自動的に引き継ぎます。

  • 評価を編集する

  • 評価で使用されるカスタムコントロールのいずれかを編集する

Audit Manager は、評価コントロールとそのデータソースを調べ、この情報を対応する にマッピングすることで、対象範囲内のサービスを推測します AWS のサービス。評価の基盤となるデータソースが変更された場合、適切なサービスを反映するために、必要に応じてスコープが自動的に更新されます。これにより、評価によって AWS 、環境内のすべての関連サービスに関する正確で包括的な証拠が収集されます。

サービスの対象範囲とデータソースタイプにはどのような違いがありますか?

service in scope は AWS のサービス 、評価の範囲に含まれる です。サービスが対象範囲内にある場合、Audit Manager は対象サービスとそのリソースの使用状況に関する証拠を収集します。

注記

Audit Manager AWS のサービス は、評価の対象となる を管理します。古い評価がある場合は、過去にスコープ内のサービスを手動で指定した可能性があります。今後は、範囲内のサービスを指定または編集することはできません。

データソースタイプは、証拠が正確にどこから収集されたかを示します。独自のエビデンスをアップロードする場合、データソースタイプは手動です。Audit Manager が証拠を収集する場合、データソースは 4 つのタイプのいずれかになります。

  1. AWS Security Hub – Security Hub から検出結果をレポートすることで、リソースのセキュリティ体制のスナップショットを取得します。

  2. AWS Config – から結果を報告することで、リソースのセキュリティ体制のスナップショットを取得します AWS Config。

  3. AWS CloudTrail – リソースの特定のユーザーアクティビティを追跡します。

  4. AWS API calls – 特定の へのAPI呼び出しを通じて、リソース設定のスナップショットを直接取得します AWS のサービス。

対象範囲のサービスとデータソースタイプの違いを説明する 2 つの例を次に示します。

例 1

例えば、4.1.2 - S3 バケットへのパブリック書き込みアクセスを許可しないという名前のコントロールの証拠を収集するとします。このコントロールは S3 バケットポリシーのアクセスレベルをチェックします。このコントロールでは、Audit Manager は特定の AWS Config ルール (s3-bucket-public-write-prohibited) を使用して S3 バケットの評価を検索します。この例では、以下のことが当てはまります。

例 2

164.308 (a)(5)(ii)(C) という名前のHIPAAコントロールの証拠を収集するとします。このコントロールは、不適切なサインインを検出するためのモニタリング手順を要求します。このコントロールでは、Audit Manager は CloudTrail ログを使用して、すべての AWS マネジメントコンソールのサインインイベントを検索します。この例では、以下のことが当てはまります。