翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
推奨機能および の有効化 AWS のサービス を AWS Audit Manager
これで、 AWS Audit Managerでは、サービスを最大限に活用するために、推奨される機能と統合をセットアップします。
重要ポイント
Audit Manager で最適なエクスペリエンスを得るには、以下の機能を設定し、以下を有効にすることをお勧めします。 AWS のサービス.
タスク
Audit Manager の推奨機能の設定
Audit Manager を有効にした後、エビデンスファインダー機能を有効にすることをお勧めします。
証拠ファインダー Audit Manager でエビデンスを検索する強力な方法を提供します。深くネストされたエビデンスフォルダをブラウズして探しているものを探す代わりに、エビデンスファインダーを使用してエビデンスをすばやく検索できます。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。
フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。
他の との推奨統合を設定する AWS のサービス
Audit Manager で最適なエクスペリエンスを得るには、以下を有効にすることを強くお勧めします。 AWS のサービス:
-
AWS Organizations – 組織を使用すると、複数のアカウントに対して Audit Manager の評価を実行し、委任された管理者アカウントに証拠を統合できます。
-
AWS Security Hub および AWS Config – Audit Manager はこれらに依存しています AWS のサービス 証拠収集のデータソースとして。を有効にした場合 AWS Config と Security Hub では、Audit Manager は完全な機能を使用して運用し、包括的な証拠を収集し、これらのサービスから直接コンプライアンスチェックの結果を正確に報告できます。
重要
を有効にして設定しない場合 AWS Config と Security Hub では、Audit Manager の評価で多くのコントロールについて意図した証拠を収集することはできません。その結果、特定のコントロールに対して証拠収集が不完全または失敗するリスクがあります。具体的には、次のようになります。
-
Audit Manager が を使用しようとした場合 AWS Config をコントロールデータソースとして、ただし必要な AWS Config ルールは有効になっていません。これらのコントロールの証拠は収集されません。
-
同様に、Audit Manager が Security Hub をコントロールデータソースとして使用しようとしても、Security Hub で必要な標準が有効になっていない場合、それらのコントロールの証拠は収集されません。
これらのリスクを軽減し、包括的な証拠収集を確実に行うには、このページの手順に従って を有効にし、設定します。 AWS Config Audit Manager の評価を作成する前に、 と Security Hub を使用します。
Audit Manager の多くのコントロールでは、 AWS Config をデータソースタイプとして指定します。これらのコントロールをサポートするには、 を有効にする必要があります。 AWS Config 各 のすべてのアカウントで AWS リージョン Audit Manager が有効になっている 。
Audit Manager が管理しない AWS Config お客様に代わって。以下の手順に従って を有効にできます。 AWS Config と の設定を行います。
重要
有効化 AWS Config はオプションのレコメンデーションです。ただし、 を有効にすると、 AWS Configでは、次の設定が必要です。Audit Manager が を使用するコントロールの証拠を収集しようとする場合 AWS Config データソースタイプとして、および AWS Config は以下で説明するように設定されていません。これらのコントロールの証拠は収集されません。
統合するタスク AWS Config Audit Manager を使用する
ステップ 1: を有効にする AWS Config
を有効にできます。 AWS Config の使用 AWS Config コンソールまたは API。手順については、「 の開始方法」を参照してください。 AWS Config ()AWS Config デベロッパーガイド 。
ステップ 2: を設定する AWS Config Audit Manager で使用する 設定
を有効にした後 AWS Config、必ず も有効にしてください AWS Config は、監査に関連するコンプライアンス標準のコンフォーマンスパックを ルールまたはデプロイします。このステップにより、Audit Manager が の検出結果をインポートできるようになります。 AWS Config 有効にした ルール。
を有効にした後 AWS Config ルール、そのルールのパラメータを確認することをお勧めします。次に、選択したコンプライアンスフレームワークの要件と照らし合わせてこれらのパラメータを検証する必要があります。必要に応じて、 でルールのパラメータを更新できます。 AWS Config フレームワークの要件に合致するようにします。これにより、評価によって特定のフレームワークに関する正しいコンプライアンスチェックの証拠が収集されるようになります。
例えば、v1.2.0 CIS の評価を作成するとします。このフレームワークには、1.4-アクセスキーが 90 日以内にローテーションされることを確認するコントロールがあります。In AWS Config、access-keys-rotatedルールにはデフォルト値が 90 日のmaxAccessKeyAge
パラメータがあります。その結果、このルールは統制要件と一致しています。デフォルト値を使用していない場合は、使用している値が v1.2.0 の 90 CIS 日の要件以上であることを確認してください。
各マネージドルールのデフォルトのパラメータの詳細は、「」を参照してください。 AWS Config ドキュメント 。ルールの設定方法については、「 の使用」を参照してください。 AWS Config マネージドルール 。
Audit Manager の多くのコントロールでは、データソースタイプとして Security Hub が必要です。これらの制御をサポートするには、Audit Manager が有効になっている各リージョンのすべてのアカウントで Security Hub を有効にする必要があります。
Audit Manager は、ユーザーに代わって Security Hub を管理しません。以下の手順に従って Security Hub を有効にし、設定を構成できます。
重要
Security Hub を有効にすることはオプションの推奨事項です。ただし、Security Hub を有効にする場合は、次の設定が必要です。Audit Manager がデータソースタイプとして Security Hub を使用するコントロールの証拠を収集しようとし、Security Hub が以下に説明するように設定されていない場合、それらのコントロールの証拠は収集されません。
統合するタスク AWS Security Hub Audit Manager を使用する
ステップ 1: を有効にする AWS Security Hub
Security Hub は、コンソールまたは を使用して有効にできますAPI。手順については、「 のセットアップ」を参照してください。 AWS Security Hub ()AWS Security Hub ユーザーガイド 。
ステップ 2: Audit Manager で使用する Security Hub の設定を設定する
Security Hub を有効にしたら、次も実行してください。
-
を有効にする AWS Config リソース記録の設定 – Security Hub はサービスにリンクされた を使用します AWS Config コントロールのセキュリティチェックのほとんどを実行する ルール。これらのコントロールをサポートするには、 AWS Config は、有効化された各標準で有効化したコントロールに必要なリソースを記録するように有効化および設定する必要があります。
-
すべてのセキュリティ標準を有効にする – このステップにより、Audit Manager はサポートされているすべてのコンプライアンス標準の結果をインポートできます。
-
Security Hub の [統合されたコントロールの検出結果] 設定を有効にする -この設定は、2023 年 2 月 23 日以降に Security Hub を有効にした場合、デフォルトで [有効] になっています。
注記
統合された検出結果を有効にすると、Security Hub はセキュリティチェックごとに 1 つの結果を生成します (同じチェックが複数の標準で使用されている場合でも)。Security Hub 結果はそれぞれ、Audit Manager に 1 つの固有のリソース評価として収集されます。その結果、検出結果を統合すると、Audit Manager が Security Hub の検出結果に対して実施する固有リソース評価の合計が減少します。このため、統合された検出結果を使用すると、多くの場合、Audit Manager の使用コストを削減できます。Security Hub をデータ ソースタイプとして使用する方法の詳細については、「AWS Security Hub でサポートされている コントロール AWS Audit Manager」を参照してください。Audit Manager の料金の詳細については、「」を参照してください。 AWS Audit Manager 料金
ステップ 3: 組織の Organizations 設定を構成する
を使用する場合 AWS Organizations メンバーアカウントから Security Hub の証拠を収集する場合は、Security Hub で次の手順も実行する必要があります。
組織の Security Hub の設定を構成するには
にサインインする AWS Management Console を開き、 AWS Security Hub の コンソールhttps://console.aws.amazon.com/securityhub/
。 -
の使用 AWS Organizations 管理アカウントで、アカウントを Security Hub の委任管理者として指定します。詳細については、「」の「Security Hub 管理者アカウントの指定」を参照してください。 AWS Security Hub ユーザーガイド 。
注記
Security Hub で指定する委任された管理者アカウントが、Audit Manager で指定したものと同じであることを確認してください。
-
Organizations の委任された管理者アカウントを使用して、設定、アカウントに移動し、すべてのアカウントを選択してから、[Auto-enroll] (自動登録) を選択してメンバーとして追加します。詳細については、「」の「組織からのメンバーアカウントの有効化」を参照してください。 AWS Security Hub ユーザーガイド 。
-
有効 AWS Config 組織内のすべてのメンバーアカウント。詳細については、「」の「組織からのメンバーアカウントの有効化」を参照してください。 AWS Security Hub ユーザーガイド 。
-
組織内のすべてのメンバーアカウントでPCIDSSセキュリティ標準を有効にします。- AWS CIS Foundations Benchmark 標準と AWS Foundational Best Practices 標準は、デフォルトで既に有効になっています。詳細については、「」の「セキュリティ標準の有効化」を参照してください。 AWS Security Hub ユーザーガイド 。
Audit Manager は、 との統合を通じて複数のアカウントをサポートします。 AWS Organizations。 Audit Manager は、複数のアカウントで評価を実行し、証拠を委任された管理者アカウントに統合できます。委任管理者は、組織を信頼ゾーンとして持つ Audit Manager リソースを作成および管理するための許可を持っています。管理アカウントのみが委任管理者を指定できます。
重要
有効化 AWS Organizations はオプションのレコメンデーションです。ただし、 を有効にすると、 AWS Organizationsでは、次の設定が必要です。
統合するタスク AWS Organizations Audit Manager を使用する
ステップ 1: 組織を作成または組織に参加する
の AWS アカウント は組織の一部ではなく、組織を作成または参加できます。手順については、「」の「組織の作成と管理」を参照してください。 AWS Organizations ユーザーガイド 。
ステップ 2: 組織内のすべての機能を有効にする
次に、組織内のすべての機能を有効にする必要があります。手順については、「」の「組織内のすべての機能の有効化」を参照してください。 AWS Organizations ユーザーガイド 。
ステップ 3: Audit Manager の委任された管理者を指定する
組織管理アカウントを使用して Audit Manager を有効にしてから、委任された管理者を設定することをお勧めします。その後、委任された管理者アカウントを使用してログインし、評価を実行できます。ベストプラクティスとして、管理アカウントではなく、委任された管理者アカウントを使用してのみ評価を作成することをお勧めします。
Audit Manager を有効にした後に委任管理者を追加または変更するには、委任された管理者の追加「」および「」を参照してください委任管理者の変更。
次のステップ
推奨設定で Audit Manager をセットアップしたので、サービスの使用を開始する準備が整いました。
-
最初の評価を開始するには、「」を参照してください監査所有者向けチュートリアル: 評価の作成。
-
今後設定を更新するには、「」を参照してくださいAWS Audit Manager 設定の確認と設定。