での手動証拠の追加 AWS Audit Manager

Audit Manager は、多くのコントロールの証拠を自動的に収集できます。ただし、一部のコントロールでは、自動的に収集できない証拠が必要になる場合があります。このような場合は、独自の証拠を手動で追加できます。

次の例を考えます。

• 一部のコントロールは、物理記録 (署名など)、またはクラウドで生成されないイベント (観察やインタビューなど) の提供に関連しています。このような場合は、証拠としてファイルを手動で追加できます。例えば、コントロールで組織構造に関する情報が必要である場合は、手動証拠として会社の組織図のコピーをアップロードできます。

• 一部のコントロールは、ベンダーのリスク評価に関する質問を表します。リスク評価の質問には、証拠として文書 (組織図など)が必要となる場合があります。または、単純なテキスト回答 (役職のリストなど) のみが必要な場合もあります。後者の場合、質問に応答し、応答を手動証拠として保存できます。

手動アップロード機能を使用して、複数の環境からの証拠を管理することもできます。会社がハイブリッドクラウドモデルまたはマルチクラウドモデルを使用している場合は、オンプレミス環境、クラウドでホストされている環境、または SaaS アプリケーションから証拠をアップロードできます。これにより、証拠を Audit Manager 評価の構造内に保存することで (その出所に関係なく) 証拠を整理でき、証拠の各部分は特定のコントロールにマッピングされます。

重要ポイント

Audit Manager で評価に手動証拠を追加する場合は、3 つの方法から選択できます。

1. Amazon S3 からのファイルのインポート - この方法は、ドキュメント、レポート、Audit Manager で自動的に収集できないその他のアーティファクトなど、証拠ファイルが S3 バケットに保存されている場合に最適です。これらのファイルを S3 から直接インポートすることで、この手動証拠を自動的に収集した証拠とシームレスに統合できます。

2. ブラウザからファイルをアップロードする - コンピュータまたはネットワークに証拠ファイルがローカルに保存されている場合は、この方法を使用して Audit Manager に手動でアップロードできます。このアプローチは、スキャンされたドキュメントやイメージなどの、 AWS 環境内でデジタル形式で利用できない物理レコードを含める必要がある場合に特に役立ちます。

3. 自由形式のテキストを証拠として追加する - 場合によっては、提供する必要がある証拠はファイルの形式ではなく、テキストの応答や説明の形式です。この方法では、自由形式のテキストを Audit Manager に直接入力できます。これは、ベンダーのリスク評価の質問に回答する際に特に役立ちます。

追加リソース

• 評価コントロールに手動証拠を追加する方法については、以下のリソースを参照してください。一度に使用できるメソッドは 1 つだけであることに注意してください。

  • Amazon S3 からの手動証拠ファイルのインポート

  • ブラウザからの手動証拠ファイルのアップロード

  • 手動証拠としての自由形式のテキストレスポンスの入力

• 使用できるファイル形式については、「」を参照してください手動証拠にサポートされているファイル形式。

• Audit Manager のさまざまなタイプの証拠の詳細については、このガイドevidenceの「概念と用語」セクションの「」を参照してください。

• トラブルシューティングのサポートについては、「」を参照してくださいコントロールに手動証拠をアップロードできません。