AWS Audit Manager への手動証拠の追加

Audit Manager は、多くのコントロールの証拠を自動的に収集できます。ただし、一部のコントロールでは、独自の証拠を手動で追加する必要があります。

次の例を考えます。

• 一部のコントロールは、物理記録（署名など)、またはクラウドで生成されないイベント (観察やインタビューなど) の提供に関連しています。このような場合は、ファイルを証拠として手動でアップロードできます。たとえば、コントロールで組織構造に関する情報が必要である場合は、手動証拠として会社の組織図のコピーをアップロードできます。

• 一部のコントロールは、ベンダーのリスク評価に関する質問を表します。リスク評価の質問には、証拠として文書 (組織図など)が必要となる場合があります。または、単純なテキスト回答 (役職のリストなど) のみが必要な場合もあります。後者の場合は、質問に回答し、その回答を手動証拠として保存できます。

手動アップロード機能を使用して、複数の環境からの証拠を管理することもできます。会社がハイブリッドクラウドモデルまたはマルチクラウドモデルを使用している場合は、オンプレミス環境、クラウドでホストされている環境、または SaaS アプリケーションから証拠をアップロードできます。これにより、証拠を Audit Manager 評価の構造内に保存することで（その出所に関係なく）証拠を整理でき、証拠の各部分は特定のコントロールにマッピングされます。

さまざまな証拠タイプの詳細については、本ガイドの概念と用語セクションの「証拠」を参照してください。

手動証拠を追加する方法

以下のいずれかの方法を使用して、独自の手動証拠を評価コントロールに追加できます。

以下に留意してください。

• 手動証拠の追加時には、一度に 1 つの方法のみ使用できます。

• 単一の手動証拠ファイルにサポートされる最大サイズは 100 MB です。

• 手動証拠にサポートされているファイル形式 がこのページの下でさらにリストされています。

• 各 AWS アカウント は、1 日あたり最大 100 の証拠ファイルのみコントロールに手動でアップロードできます。この 1 日あたりのクォータを超えると、そのコントロールについては追加の手動アップロードが失敗します。単一のコントロールに手動証拠を大量にアップロードする必要がある場合は、証拠を数日にわたってバッチでアップロードします。

• コントロールが 非アクティブの場合、そのコントロールに手動証拠は追加できません。手動証拠を追加するには、最初にコントロールのステータスを [レビュー中]または [レビュー済み] に変更する必要があります。手順については、「コントロールのステータスを更新する」を参照してください。

Amazon S3 からファイルをインポートする

以下の手順に従って、S3 バケットから手動証拠をインポートしてください。

AWS console

S3（コンソール）からファイルをインポートするには

1. AWS Audit Manager コンソール (https://console.aws.amazon.com/auditmanager/home) を開きます。

2. 左側のナビゲーションペインで、[Assessments（評価）] を選択し、評価の名前を選択して開きます。

3. [Controls（コントロール）] タブを選択し、[Control sets（コントロールセット）] までスクロールダウンしてから、コントロールの名前を選択して開きます。

4. [証拠フォルダ]タブで、[手動証拠を追加] を選択してから、[S3S3 からファイルをインポート] を選択します。

   • または、[Evidence folders（証拠フォルダ）] タブで証拠フォルダ名を選択し、証拠フォルダの概要を確認してから、[Add manual evidence（手動証拠の追加）]、[Import file from S3（S3 からファイルをインポート）] を選択します。

5. 次のページで、証拠の S3 URI を入力します。S3 URI は、Amazon S3 コンソールのオブジェクトに移動し、[Copy S3 URI（S3 URI をコピー）] を選択します。

6. [Upload（アップロード）] を選択します。

AWS CLI

次の手順では、プレースホルダ値を独自の情報に置き換えます。

S3(CLI)からファイルをインポートするには

1. list-assessments コマンドを実行して評価のリストを表示します。

   aws auditmanager list-assessments

   回答から証拠をアップロードする評価を検索して、評価 ID をメモします。

2. get-assessment コマンドを実行して、ステップ 1 の評価 ID を指定します。

   aws auditmanager get-assessment --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p

   回答から証拠をアップロードするコントロールセットとコントロールを検索して、その ID をメモします。

3. 次のパラメータを使用して、batch-import-evidence-to-assessment-control コマンドを実行します。

   • --assessment-id— ステップ 1 の評価 ID を使用します。

   • --control-set-id—ステップ 2 のコントロールセット ID を使用します。

   • --control-id— ステップ 2 のコントロール ID を使用します。

   • --manual-evidence— 手動証拠タイプとして s3ResourcePath を使用し、証拠の S3 URI を指定します。S3 URI は、Amazon S3 コンソールのオブジェクトに移動し、[Copy S3 URI（S3 URI をコピー）] を選択します。

   aws auditmanager batch-import-evidence-to-assessment-control --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p --control-set-id ControlSet --control-id a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6 --manual-evidence s3ResourcePath=s3://example-bucket/example-file.extension

Audit Manager API

S3（API）からファイルをインポートするには

1. ListAssessments 操作を呼び出し、評価のリストを表示します。回答から証拠をアップロードする評価を検索して、評価 ID をメモします。

2. GetAssessment 操作を呼び出し、ステップ 1 の評価 ID を指定します。回答から証拠をアップロードするコントロールセットとコントロールを検索して、その ID をメモします。

3. 以下のパラメータで BatchImportEvidenceToAssessmentControl 操作を呼び出します。

   • assessmentId— ステップ 1 の評価 ID を使用します。

   • controlSetId—ステップ 2 のコントロールセット ID を使用します。

   • controlId— ステップ 2 のコントロール ID を使用します。

   • manualEvidence— 手動証拠タイプとして s3ResourcePath を使用し、証拠の S3 URI を指定します。S3 URI は、Amazon S3 コンソールのオブジェクトに移動し、[Copy S3 URI（S3 URI をコピー）] を選択します。

詳細については、前述のリンクのいずれかを選択して、AWS Audit ManagerAPI リファレンスの詳細をご覧ください。これには言語固有の AWSSDK の 1 つでこれらの操作とパラメータの使用方法に関する情報が含まれます。

ブラウザからファイルをアップロードします。

これらの手順に従って、ブラウザから手動証拠をアップロードします。

AWS console

ブラウザからファイルをアップロードする

1. AWS Audit Manager コンソール (https://console.aws.amazon.com/auditmanager/home) を開きます。

2. 左側のナビゲーションペインで、[Assessments（評価）] を選択し、評価の名前を選択して開きます。

3. [Controls] (コントロール) タブで、[Control sets（コントロールセット）] までスクロールダウンしてから、コントロールの名前を選択して開きます。

   ここから、ファイルをアップロードするには 3 つの方法があります。

   • (オプション 1) 青の通知バナーで、[Upload manual evidence（手動証拠のアップロード）] を選択します。

   • (オプション 2)[証拠フォルダ] タブで、[手動証拠を追加]（手動証拠を追加）を選択してから、[Upload file from browser（ブラウザからファイルをアップロード）] を選択します。

   • (オプション 3) 証拠フォルダ名を選択してそのフォルダの概要を確認し、[手動証拠の追加] を選択してから、 [ブラウザからファイルをアップロード] を選択します。

4. アップロードするファイルを選択します。

5. [Upload（アップロード）] を選択します。

AWS CLI

次の手順では、プレースホルダ値を独自の情報に置き換えます。

ブラウザ (CLI) からファイルをアップロードするには

1. list-assessments コマンドを実行して評価のリストを表示します。

   aws auditmanager list-assessments

   回答から証拠をアップロードする評価を検索して、評価 ID をメモします。

2. get-assessment コマンドを実行して、ステップ 1 の評価 ID を指定します。

   aws auditmanager get-assessment --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p

   回答から証拠をアップロードするコントロールセットとコントロールを検索して、その ID をメモします。

3. get-evidence-file-upload-url コマンドを実行して、アップロードするファイルを指定します。

   aws auditmanager get-evidence-file-upload-url --file-name fileName.extension

   回答で指定された URL と evidenceFileName をメモします。

4. ステップ 3 で指定した URL で、ブラウザからファイルをアップロードします。このアクションにより、ファイルが Amazon S3 にアップロードされ、評価コントロールに添付できるオブジェクトとして保存されます。次のステップでは、evidenceFileName パラメータを使用して新しく作成したオブジェクトを参照します。

   注記

   署名付きURLを使用してファイルをアップロードすると、Audit Manager は AWS Key Management Service サーバー側の暗号化を使用してデータを保護して、保存します。これをサポートするには、署名付き URL を使用してファイルをアップロードするときに、リクエスト内の x-amz-server-side-encryption ヘッダーを使用する必要があります。

   Audit Manager データ暗号化 設定でカスタマーマネージド AWS KMS key を使用している場合は、リクエストに x-amz-server-side-encryption-aws-kms-key-id ヘッダーも含めるようにしてください。x-amz-server-side-encryption-aws-kms-key-idヘッダーがリクエストにない場合、Amazon S3 は AWS マネージドキー を使用すると見なします。

   詳細については、「Amazon Simple Storage Service ユーザーガイド」の「AWS Key Management Service (SSE-KMS) に保存されている KMS キーでサーバー側の暗号化を使用してデータを保護する」を参照してください。

5. 次のパラメータを使用して、batch-import-evidence-to-assessment-control コマンドを実行します。

   • --assessment-id— ステップ 1 の評価 ID を使用します。

   • --control-set-id—ステップ 2 のコントロールセット ID を使用します。

   • --control-id— ステップ 2 のコントロール ID を使用します。

   • --manual-evidence—手動による証拠タイプとして　evidenceFileName　使用して、ステップ 3 から証拠ファイル名を指定します。

   aws auditmanager batch-import-evidence-to-assessment-control --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p --control-set-id ControlSet --control-id a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6 --manual-evidence evidenceFileName=fileName.extension

Audit Manager API

ブラウザ (API) からファイルをアップロードするには

1. ListAssessments 操作を呼び出します。回答から証拠をアップロードする評価を検索して、評価 ID をメモします。

2. GetAssessment 操作を呼び出して、ステップ 1 から assessmentId を指定します。回答から証拠をアップロードするコントロールセットとコントロールを検索して、その ID をメモします。

3. GetEvidenceFileUploadUrl 操作を呼び出して、アップロードする fileName を指定します。回答で指定された URL と evidenceFileName をメモします。

4. ステップ 3 で指定した URL で、ブラウザからファイルをアップロードします。このアクションにより、ファイルが Amazon S3 にアップロードされ、評価コントロールに添付できるオブジェクトとして保存されます。次のステップでは、evidenceFileName パラメータを使用して新しく作成したオブジェクトを参照します。

   注記

   署名付きURLを使用してファイルをアップロードすると、Audit Manager は AWS Key Management Service サーバー側の暗号化を使用してデータを保護して、保存します。これをサポートするには、署名付き URL を使用してファイルをアップロードするときに、リクエスト内の x-amz-server-side-encryption ヘッダーを使用する必要があります。

   Audit Manager データ暗号化 設定でカスタマーマネージド AWS KMS key を使用している場合は、リクエストに x-amz-server-side-encryption-aws-kms-key-id ヘッダーも含めるようにしてください。x-amz-server-side-encryption-aws-kms-key-idヘッダーがリクエストにない場合、Amazon S3 は AWS マネージドキー を使用すると見なします。

   詳細については、「Amazon Simple Storage Service ユーザーガイド」の「AWS Key Management Service (SSE-KMS) に保存されている KMS キーでサーバー側の暗号化を使用してデータを保護する」を参照してください。

5. 以下のパラメータで BatchImportEvidenceToAssessmentControl 操作を呼び出します。

   • assessmentId— ステップ 1 の評価 ID を使用します。

   • controlSetId—ステップ 2 のコントロールセット ID を使用します。

   • controlId— ステップ 2 のコントロール ID を使用します。

   • manualEvidence—手動による証拠タイプとして　evidenceFileName　使用して、ステップ 3 から証拠ファイル名を指定します。

詳細については、前述のリンクのいずれかを選択して、AWS Audit ManagerAPI リファレンスの詳細をご覧ください。これには言語固有の AWSSDK の 1 つでこれらの操作とパラメータの使用方法に関する情報が含まれます。

テキストレスポンスを入力します。

以下の手順に従って、リスクアセスメントの質問に対する回答を入力して、回答を手動による証拠として保存してください。

AWS console

テキスト回答(コンソール)を入力するには

1. AWS Audit Manager コンソール (https://console.aws.amazon.com/auditmanager/home) を開きます。

2. 左側のナビゲーションペインで、[Assessments（評価）] を選択し、評価の名前を選択して開きます。

3. [Controls（コントロール）] タブを選択し、[Control sets（コントロールセット）] までスクロールダウンしてから、コントロールの名前を選択して開きます。

   ここから、テキストレスポンスを入力する方法は 3 つあります。

   • (オプション 1)青色の通知バナーで、回答を入力を選択します。

   • (オプション 2)証拠フォルダータブで、手動による証拠を追加しますを選択して、テキスト回答を入力しますを選択します。

   • (オプション 3)証拠フォルダを選択してそのフォルダの概要を確認して、手動による証拠を追加しますを選択してから、テキスト回答を入力しますを選択します。

4. 表示されるポップアップウィンドウに、プレーンテキスト形式で回答を入力してください。

5. [Confirm（確認）] を選択します。

AWS CLI

次の手順では、プレースホルダ値を独自の情報に置き換えます。

テキストレスポンス(CLI)を入力するには

1. list-assessments コマンドを実行します。

   aws auditmanager list-assessments

   回答から証拠をアップロードする評価を検索して、評価 ID をメモします。

2. get-assessment コマンドを実行して、ステップ 1 の評価 ID を指定します。

   aws auditmanager get-assessment --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p

   回答で、証拠のアップロード先のコントロールセットとコントロールを検索し、その ID をメモします。

3. 次のパラメータを使用して、batch-import-evidence-to-assessment-control コマンドを実行します。

   • --assessment-id— ステップ 1 の評価 ID を使用します。

   • --control-set-id—ステップ 2 のコントロールセット ID を使用します。

   • --control-id— ステップ 2 のコントロール ID を使用します。

   • --manual-evidence— 手動証拠タイプとして textResponse を使用して、手動証拠として保存するテキストを入力します。

   aws auditmanager batch-import-evidence-to-assessment-control --assessment-id 1a2b3c4d-5e6f-7g8h-9i0j-0k1l2m3n4o5p --control-set-id ControlSet --control-id a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6 --manual-evidence textResponse="enter text here"

Audit Manager API

テキスト回答(コンソール)を入力するには

1. ListAssessments 操作を呼び出します。回答から証拠をアップロードする評価を検索して、評価 ID をメモします。

2. GetAssessment 操作を呼び出して、ステップ 1 から assessmentId を指定します。回答で、証拠のアップロード先のコントロールセットとコントロールを検索し、その ID をメモします。

3. 以下のパラメータで BatchImportEvidenceToAssessmentControl 操作を呼び出します。

   • assessmentId— ステップ 1 の評価 ID を使用します。

   • controlSetId—ステップ 2 のコントロールセット ID を使用します。

   • controlId— ステップ 2 のコントロール ID を使用します。

   • manualEvidence— 手動証拠タイプとして textResponse を使用して、手動証拠として保存するテキストを入力します。

詳細については、前述のリンクのいずれかを選択して、AWS Audit ManagerAPI リファレンスの詳細をご覧ください。これには言語固有の AWSSDK の 1 つでこれらの操作とパラメータの使用方法に関する情報が含まれます。

手動証拠にサポートされているファイル形式

次の表に手動証拠としてアップロードできるファイルの種類をリスト表示して、説明します。各ファイルタイプに、表にはサポートされているファイル拡張子もリスト表示されます。

ファイルタイプ	説明	サポートされているファイル拡張子
圧縮またはアーカイブ	GNU Zip 圧縮アーカイブおよび ZIP 圧縮アーカイブ	.gz, .zip
ドキュメント	PDF、Microsoft Office ファイルなどの一般的なドキュメントファイル	.doc, .docx, .pdf, .ppt, .pptx, .xls, .xlsx
イメージ	イメージファイルとグラフィックファイル	.jpeg, .jpg, .png, .svg
テキスト	プレーンテキスト文書やマークアップ言語ファイルなど、その他の非バイナリテキストファイル	.cer, .csv, .html, .jmx, .json, .md, .out, .rtf, .txt, .xml, .yaml, .yml