Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Audit Manager の証拠を GRC システムに統合する

PDF
RSS
フォーカスモード
Audit Manager の証拠を GRC システムに統合する - AWS Audit Manager
前提条件ステップ 1: Audit Manager を有効にするステップ 2: 権限をセットアップするステップ 3: コントロールをマッピングするステップ 4: マッピングを最新に保つステップ 5: 評価を作成するステップ 6。証拠を収集する料金追加リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

エンタープライズのお客様は、他のクラウドベンダーやオンプレミス環境など、複数のデータセンターにリソースを持っている可能性があります。これらの環境から証拠を収集するため、MetricStream CyberGRC や RSA Archer などのサードパーティーの GRC (ガバナンス、リスク、コンプライアンス) ソリューションを使用する場合があります。または、社内で開発した独自の GRC システムを使用することもできます。

このチュートリアルでは、内部または外部の GRC システムを Audit Manager と統合する方法について説明します。この統合により、ベンダーはお客様の AWS の使用状況と設定に関する証拠を収集し、その証拠を Audit Manager から GRC アプリケーションに直接送信できます。これにより、複数の環境にわたるコンプライアンスレポートを一元化することができます。

このチュートリアルでは、以下の用語を使用します。

  1. ベンダーとは、Audit Manager と統合されている GRC アプリケーションを所有するエンティティまたは会社を指します。

  2. お客様とは、AWS を使用し、内部または外部の GRC アプリケーションも使用するエンティティまたは会社を指します。

注記

一部の GRC アプリケーションは同じ会社によって所有および使用されます。このシナリオでは、ベンダーは GRC アプリケーションを所有するグループまたはチームで、お客様は GRC アプリケーションを使用するチームまたはグループです。

このチュートリアルでは、以下のことを実行する方法を示します。

前提条件

作業を始める前に、以下の条件を満たしていることを確認します。

  • AWS で実行されているインフラストラクチャがある。

  • 社内の GRC システムを使用する、またはベンダーが提供するサードパーティーの GRC ソフトウェアを使用する。

  • Audit Manager の設定に必要なすべての前提条件を満たしている。

  • AWS Audit Manager の概念と用語 をよく理解している。

留意すべきいくつかの制限事項:

  • Audit Manager はリージョンに基づく AWS のサービス です。Audit Manager は、AWS ワークロードを実行する各リージョンで、個別に設定する必要があります。

  • Audit Manager は、複数のリージョンから単一のリージョンへの証拠の集約をサポートしていません。リソースが複数の AWS リージョン にまたがる場合は、GRC システム内で証拠を集約する必要があります。

  • Audit Manager には、作成できるリソース数のデフォルトのクォータがあります。必要に応じて、デフォルトのクォータの引き上げをリクエストできます。詳細については、「Quotas and restrictions for AWS Audit Manager.」を参照してください。

ステップ 1: Audit Manager を有効にする

このステップを完了するユーザー

お客様

必要な作業

まず、AWS アカウント で Audit Manager を有効にします。アカウントが組織の一部である場合は、管理アカウントを使用して Audit Manager を有効にし、Audit Manager の委任管理者を指定できます。

手順

Audit Manager を有効にするには

手順に従って Audit Manager を有効にします。証拠を収集するすべてのリージョンについて、セットアップ手順を繰り返します。

ヒント

AWS Organizations を使用する場合は、この手順中に委任管理者を設定することを強くお勧めします。Audit Manager で委任管理者を使用する際は、証拠ファインダーを使用して組織内のすべてのアカウントで証拠を検索することができます。

ステップ 2: 権限をセットアップする

このステップを完了するユーザー

お客様

必要な作業

このステップでは、お客様はアカウントの IAM ロールを作成します。次に、お客様はロールを引き受けるアクセス許可をベンダーに付与します。

IAM ロールがベンダーアカウントのアクセスを許可する方法を示す図。

手順

お客様のアカウントのロールを作成するには

手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。

  • ロール作成ワークフローのステップ 8 で、[ポリシーの作成] を選択し、ロールのポリシーを入力します。

    ロールには、少なくとも以下のアクセス許可が必要です。

    {
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid" : "AuditManagerAccess",
      "Effect" : "Allow",
      "Action" : [
        "auditmanager:*"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "OrganizationsAccess",
      "Effect" : "Allow",
      "Action" : [
        "organizations:ListAccountsForParent",
        "organizations:ListAccounts",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:ListParents",
        "organizations:ListChildren"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "IAMAccess",
      "Effect" : "Allow",
      "Action" : [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:ListRoles"
      ],
      "Resource" : "*"
    },        
    {
      "Sid" : "S3Access",
      "Effect" : "Allow",
      "Action" : [
        "s3:ListAllMyBuckets"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "KmsAccess",
      "Effect" : "Allow",
      "Action" : [
        "kms:DescribeKey",
        "kms:ListKeys",
        "kms:ListAliases"
      ],
      "Resource" : "*"
    },
    {
      "Sid" : "KmsCreateGrantAccess",
      "Effect" : "Allow",
      "Action" : [
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "Bool" : {
          "kms:GrantIsForAWSResource" : "true"
        },
        "StringLike" : {
          "kms:ViaService" : "auditmanager.*.amazonaws.com"
        }
      }
    },
    {
      "Sid" : "SNSAccess",
      "Effect" : "Allow",
      "Action" : [
        "sns:ListTopics"
      ],
      "Resource" : "*"
    }, 
    {
      "Sid" : "TagAccess",
      "Effect" : "Allow",
      "Action" : [
        "tag:GetResources"
      ],
      "Resource" : "*"
    }
  ]
}

  • ロール作成ワークフローのステップ 11 で、ロール名vendor-auditmanager と入力します。

ベンダーアカウントにロールの引き受けを許可するには

「IAM ユーザーガイド」の「ロールを切り替えるアクセス許可をユーザーに付与する」の手順に従います。

  • ポリシーステートメントには sts:AssumeRole action への Allow の影響を含める必要があります。

  • リソース要素のロールの Amazon リソースネーム (ARN) を含める必要があります。

  • 使用できるポリシーステートメントの例を次に示します。

    このポリシーでは、placeholder text をベンダーの AWS アカウント ID に置き換えます。

    {
 "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::account-id:role/vendor-auditmanager"
  }
}

ステップ 3. エンタープライズコントロールを Audit Manager コントロールにマッピングする

このステップを完了するユーザー

お客様

必要な作業

ベンダーは、お客様が評価で使用できるエンタープライズコントロールの厳選されたリストを管理します。Audit Manager と統合するには、お客様がエンタープライズコントロールを対応する Audit Manager コントロールにマッピングできるようにするインターフェイスをベンダーが作成する必要があります。common control (推奨) または standard control をマッピングできます。ベンダーの GRC アプリケーションで評価を開始する前に、このマッピングを完了する必要があります。

エンタープライズコントロールが Audit Manager コントロールにどのようにマッピングされるかを示す図。

以下は、エンタープライズコントロールを Audit Manager にマッピングするための推奨方法です。この方法が推奨されているのは、一般的なコントロールが一般的な業界標準とほぼ一致しているためです。これにより、エンタープライズコントロールへのマッピングが容易になります。

このアプローチでは、ベンダーは、お客様がエンタープライズコントロールと Audit Manager が提供する対応する一般的なコントロールとの間で 1 回限りのマッピングを実行できるようにするインターフェイスを作成します。ベンダーは ListControlsListCommonControls、および GetControl API オペレーションを使用して、この情報をお客様に提供できます。お客様がマッピングを完了すると、ベンダーはこれらのマッピングを使用して Audit Manager でカスタムコントロールを作成できます。

一般的なコントロールマッピングの例を次に示します。

Asset Management というエンタープライズコントロールがあるとします。このエンタープライズコントロールは、Audit Manager (Asset maintenance scheduling および Asset performance management) の 2 つの一般的なコントロールにマッピングされます。ここでは、Audit Manager でカスタムコントロールを作成する必要があります (名前は enterprise-asset-management)。次に、Asset performance managementAsset maintenance scheduling を証拠ソースとして新しいカスタムコントロールに追加します。これらの証拠ソースは、事前に定義された AWS データソースグループから裏付けとなる証拠を収集します。これにより、エンタープライズコントロールの要件にマッピングされる AWS データソースを効率的に特定できます。

手順

マッピングできる利用可能な一般的なコントロールを見つけるには

手順に従って、Audit Manager で使用可能な一般的なコントロールのリストを確認します。

カスタムコントロールを作成するには

  1. 手順に従って、エンタープライズコントロールと一致するカスタムコントロールを作成します。

    カスタムコントロールの作成ワークフローのステップ 2 で証拠ソースを指定する場合は、以下を実行します。

    • 証拠ソースとして [AWS マネージドソース] を選択します。

    • [コンプライアンス目標に一致する一般的なコントロールを使用する] を選択します。

    • エンタープライズコントロールの証拠ソースとして、最大 5 つの一般的なコントロールを選択します。

  2. すべてのエンタープライズコントロールに対してこのタスクを繰り返し、対応するカスタムコントロールを Audit Manager にそれぞれ作成します。

オプション 1: エンタープライズコントロールを一般的なコントロールにマッピングする (推奨)

以下は、エンタープライズコントロールを Audit Manager にマッピングするための推奨方法です。この方法が推奨されているのは、一般的なコントロールが一般的な業界標準とほぼ一致しているためです。これにより、エンタープライズコントロールへのマッピングが容易になります。

このアプローチでは、ベンダーは、お客様がエンタープライズコントロールと Audit Manager が提供する対応する一般的なコントロールとの間で 1 回限りのマッピングを実行できるようにするインターフェイスを作成します。ベンダーは ListControlsListCommonControls、および GetControl API オペレーションを使用して、この情報をお客様に提供できます。お客様がマッピングを完了すると、ベンダーはこれらのマッピングを使用して Audit Manager でカスタムコントロールを作成できます。

一般的なコントロールマッピングの例を次に示します。

Asset Management というエンタープライズコントロールがあるとします。このエンタープライズコントロールは、Audit Manager (Asset maintenance scheduling および Asset performance management) の 2 つの一般的なコントロールにマッピングされます。ここでは、Audit Manager でカスタムコントロールを作成する必要があります (名前は enterprise-asset-management)。次に、Asset performance managementAsset maintenance scheduling を証拠ソースとして新しいカスタムコントロールに追加します。これらの証拠ソースは、事前に定義された AWS データソースグループから裏付けとなる証拠を収集します。これにより、エンタープライズコントロールの要件にマッピングされる AWS データソースを効率的に特定できます。

手順

マッピングできる利用可能な一般的なコントロールを見つけるには

手順に従って、Audit Manager で使用可能な一般的なコントロールのリストを確認します。

カスタムコントロールを作成するには

  1. 手順に従って、エンタープライズコントロールと一致するカスタムコントロールを作成します。

    カスタムコントロールの作成ワークフローのステップ 2 で証拠ソースを指定する場合は、以下を実行します。

    • 証拠ソースとして [AWS マネージドソース] を選択します。

    • [コンプライアンス目標に一致する一般的なコントロールを使用する] を選択します。

    • エンタープライズコントロールの証拠ソースとして、最大 5 つの一般的なコントロールを選択します。

  2. すべてのエンタープライズコントロールに対してこのタスクを繰り返し、対応するカスタムコントロールを Audit Manager にそれぞれ作成します。

Audit Manager には、事前に構築された標準コントロールが多数用意されています。エンタープライズコントロールとこれらの標準コントロールの間で 1 回限りのマッピングを実行できます。エンタープライズコントロールに対応する標準コントロールを特定したら、これらの標準コントロールをカスタムフレームワークに直接追加できます。このオプションを選択した場合、Audit Manager でカスタムコントロールを作成する必要はありません。

手順

マッピングできる利用可能な標準コントロールを見つけるには

手順に従って、Audit Manager で使用可能な標準コントロールのリストを確認します。

カスタムフレームワークを作成するには

  1. 手順に従って、Audit Manager でカスタムフレームワークを作成します。

    フレームワーク作成手順のステップ 2 でコントロールセットを指定する際は、エンタープライズコントロールにマッピングする標準コントロールを含めます。

  2. カスタムフレームワークに対応するすべての標準コントロールを含めるまで、すべてのエンタープライズコントロールに対してこのタスクを繰り返します。

Audit Manager には、事前に構築された標準コントロールが多数用意されています。エンタープライズコントロールとこれらの標準コントロールの間で 1 回限りのマッピングを実行できます。エンタープライズコントロールに対応する標準コントロールを特定したら、これらの標準コントロールをカスタムフレームワークに直接追加できます。このオプションを選択した場合、Audit Manager でカスタムコントロールを作成する必要はありません。

手順

マッピングできる利用可能な標準コントロールを見つけるには

手順に従って、Audit Manager で使用可能な標準コントロールのリストを確認します。

カスタムフレームワークを作成するには

  1. 手順に従って、Audit Manager でカスタムフレームワークを作成します。

    フレームワーク作成手順のステップ 2 でコントロールセットを指定する際は、エンタープライズコントロールにマッピングする標準コントロールを含めます。

  2. カスタムフレームワークに対応するすべての標準コントロールを含めるまで、すべてのエンタープライズコントロールに対してこのタスクを繰り返します。

ステップ 4. コントロールマッピングを最新の状態に保つ

このステップを完了するユーザー

ベンダー、お客様

必要な作業

Audit Manager は、利用可能な最新の AWS データソースを確実に使用できるように、一般的なコントロールと標準コントロールを継続的に更新します。つまり、コントロールのマッピングは 1 回限りのタスクです。カスタムフレームワークに追加した後に標準コントロールを管理する必要はなく、カスタムコントロールに証拠ソースとして追加した後に一般的なコントロールを管理する必要もありません。一般的なコントロールが更新されるたびに、その一般的なコントロールを証拠ソースとして使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。

ただし、時間の経過とともに、新しい一般的なコントロールと標準コントロールが証拠ソースとして使用できるようになる可能性があります。これを念頭に置いて、ベンダーとお客様は、Audit Manager から最新の一般的なコントロールと標準コントロールを定期的に取得するワークフローを作成する必要があります。その後、エンタープライズコントロールと Audit Manager コントロール間のマッピングを確認し、必要に応じてマッピングを更新できます。

マッピングプロセス中に、カスタムコントロールを作成しました。Audit Manager を使用してこれらのカスタムコントロールを編集し、利用可能な最新の一般的なコントロールを証拠ソースとして使用できます。カスタムコントロールの更新が有効になると、既存の評価は更新されたカスタムコントロールに対する証拠を自動的に収集します。新しいフレームワークや評価を作成する必要はありません。

手順

マッピングできる最新の一般的なコントロールを見つけるには

手順に従って、Audit Manager で使用可能な一般的なコントロールを確認します。

カスタムコントロールを編集するには

  1. 手順に従って、Audit Manager でかカスタムコントロールを編集します。

    編集ワークフローのステップ 2 で証拠ソースを更新する際は、以下を実行します。

    • 証拠ソースとして [AWS マネージドソース] を選択します。

    • [コンプライアンス目標に一致する一般的なコントロールを使用する] を選択します。

    • カスタムコントロールの証拠ソースとして使用する新しい一般的なコントロールを選択します。

  2. 更新するすべてのエンタープライズコントロールに対して、このタスクを繰り返します。

マッピングプロセス中に、カスタムコントロールを作成しました。Audit Manager を使用してこれらのカスタムコントロールを編集し、利用可能な最新の一般的なコントロールを証拠ソースとして使用できます。カスタムコントロールの更新が有効になると、既存の評価は更新されたカスタムコントロールに対する証拠を自動的に収集します。新しいフレームワークや評価を作成する必要はありません。

手順

マッピングできる最新の一般的なコントロールを見つけるには

手順に従って、Audit Manager で使用可能な一般的なコントロールを確認します。

カスタムコントロールを編集するには

  1. 手順に従って、Audit Manager でかカスタムコントロールを編集します。

    編集ワークフローのステップ 2 で証拠ソースを更新する際は、以下を実行します。

    • 証拠ソースとして [AWS マネージドソース] を選択します。

    • [コンプライアンス目標に一致する一般的なコントロールを使用する] を選択します。

    • カスタムコントロールの証拠ソースとして使用する新しい一般的なコントロールを選択します。

  2. 更新するすべてのエンタープライズコントロールに対して、このタスクを繰り返します。

この場合、ベンダーは最新の利用可能な標準コントロールを含む新しいカスタムフレームワークを作成し、この新しいフレームワークを使用して新しい評価を作成する必要があります。新しい評価を作成したら、古い評価を非アクティブとしてマークします。

手順

マッピングできる最新の標準コントロールを見つけるには

手順に従って、Audit Manager で使用可能な標準コントロールを確認します。

カスタムフレームワークを作成し、最新の標準コントロールを追加するには

手順に従って、Audit Manager でカスタムフレームワークを作成します。

フレームワーク作成ワークフローのステップ 2 でコントロールセットを指定する際は、新しい標準コントロールを含めます。

評価を作成するには

GRC アプリケーションで評価を作成します。

評価のステータスを非アクティブに変更するには

手順に従って、Audit Manager で評価のステータスを変更します。

この場合、ベンダーは最新の利用可能な標準コントロールを含む新しいカスタムフレームワークを作成し、この新しいフレームワークを使用して新しい評価を作成する必要があります。新しい評価を作成したら、古い評価を非アクティブとしてマークします。

手順

マッピングできる最新の標準コントロールを見つけるには

手順に従って、Audit Manager で使用可能な標準コントロールを確認します。

カスタムフレームワークを作成し、最新の標準コントロールを追加するには

手順に従って、Audit Manager でカスタムフレームワークを作成します。

フレームワーク作成ワークフローのステップ 2 でコントロールセットを指定する際は、新しい標準コントロールを含めます。

評価を作成するには

GRC アプリケーションで評価を作成します。

評価のステータスを非アクティブに変更するには

手順に従って、Audit Manager で評価のステータスを変更します。

ステップ 5: 評価を作成する

このステップを完了するユーザー

GRC アプリケーション、ベンダーからの入力

必要な作業

お客様は Audit Manager で直接評価を作成する必要はありません。GRC アプリケーションで特定のコントロールの評価を開始すると、GRC アプリケーションは Audit Manager で対応するリソースを作成します。まず、GRC アプリケーションは、作成したマッピングを使用して、関連する Audit Manager コントロールを識別します。次に、コントロール情報を使用してカスタムフレームワークを作成します。最後に、新しく作成されたカスタムフレームワークを使用して Audit Manager で評価を作成します。

Audit Manager で評価を作成するには、スコープも必要です。スコープは、お客様が評価を実行して証拠を収集する AWS アカウント のリストを取得します。お客様は、GRC アプリケーションでこのスコープを直接定義する必要があります。

ベンダーは、GRC アプリケーションで開始された評価にマッピングされた assessmentId を保存する必要があります。この assessmentId は、Audit Manager から証拠を取得するために必要です。

評価 ID を検索するには

  1. Audit Manager で評価を見るには、ListAssessments 操作を使用します。ステータスパラメータを使用して、アクティブな評価を表示できます。

    aws auditmanager list-assessments --status ACTIVE

  2. レスポンスで、GRC アプリケーションに保存したい評価を特定し、assessmentId をメモします。

ステップ 6。証拠の収集を開始する

このステップを完了するユーザー

AWS Audit Manager、ベンダーからの入力

必要な作業

評価を作成した後、証拠の収集を開始するまでに最大 24 時間かかります。この時点で、エンタープライズコントロールは Audit Manager 評価の証拠を収集しています。

Audit Manager で証拠をすばやくクエリして見つけるには、証拠ファインダー機能を使用することをお勧めします。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。

証拠ファインダーを有効にするには

証拠ファインダーを有効にしたら、Audit Manager から評価用の証拠を取得する頻度を決定できます。評価で特定のコントロールの証拠を取得し、エンタープライズコントロールにマッピングされた GRC アプリケーションに証拠を保存することもできます。以下の Audit Manager API オペレーションを使用して証拠を取得できます。

料金

この統合セットアップには、ベンダーかお客様かにかかわらず、追加料金は発生しません。Audit Manager で収集された証拠については、お客様に課金されます。料金の詳細については、「AWS Audit Manager 料金表」を参照してください。

追加リソース

このチュートリアルで紹介されている概念の詳細については、以下のリソースを参照してください。

  • 評価 – 評価を管理するための概念とタスクについて説明します。

  • コントロールライブラリ – カスタムコントロールを管理するための概念とタスクについて説明します。

  • フレームワークライブラリ – カスタムフレームワークを管理するための概念とタスクについて説明します。

  • 証拠ファインダー - クエリ結果からの CSV ファイルのエクスポート、評価レポートの生成方法について説明します。

  • ダウンロードセンター - Audit Manager から評価レポートと CSV エクスポートをダウンロードする方法について説明します。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.