AWS Audit Manager は、AWS の使用状況を継続的に監査してリスクとコンプライアンを簡単に評価します。Audit Manager を使用すると、ポリシー、手順、および活動 (コントロールとも呼ばれる) が効果的に機能しているかどうかを簡単に評価できるようになります。Audit Manager は、一般的な業界標準と規制にマッピングされたコントロール、フレームワークとコントロールの完全なカスタマイズ、および各コントロール要件で定義された AWS を使用することで、証拠の自動収集と編成を備えたビルド済みフレームワークを提供します。監査シーズンになると、AWS Audit Manager を使用して、コントロールの利害関係者によるレビューを管理し、手動作業を大幅に減らして監査に対応するためのレポートを作成できます。
構築済みのフレームワーク
AWS Audit Manager は、さまざまなコンプライアンス標準を対象とするビルド済みのフレームワークを提供し、AWS のベストプラクティスを念頭に置いて開発されています。これらのフレームワークは、AWS リソースを業界標準および規制の要件にマッピングする際に役に立ちます。AWS Audit Manager で事前に構築された例には、AWS Control Tower、AWS License Manager、CIS AWS Foundations Benchmark 1.2.0 および 1.3.0、CIS Controls v7.1 実装グループ 1、FedRAMP Moderate、一般データ保護規則 (GDPR)、GxP 21 CFR パート 11、医療保険の相互運用性と説明責任に関する法令 (HIPAA)、PCI データセキュリティスタンダード (PCI DSS) v3.2.1、Service Organization Control 2 (SOC 2)、および NIST 800-53 (Rev 5) が含まれます。 AWS Audit Manager には、Amazon Bedrock での生成系 AI の実装が、AWS が推奨するベストプラクティスに対してどのように動作しているかを可視化するための構築済みフレームワークも用意されています。サポートされているフレームワークの全リストは、AWS Audit Manager ドキュメントを参照してください。
カスタムフレームワークとコントロール
AWS Audit Manager を使用すれば、監査要件を満たす際に役に立つカスタムコントロールまたは AWS が管理するコントロールのいずれかを使用して独自のフレームワークを構築できます。Audit Manager フレームワークをカスタマイズすると、特定のビジネス要件に準拠しているかどうか、既存のフレームワークのコントロールを評価する際に役に立ちます。カスタムコントロールを定義して、特定のデータソースから証拠を収集し、内部監査とコンプライアンスの要件を満たしていることを確認することができます。証拠の各部分は、コントロールによって指定された要件への準拠を実証するために必要な情報を含む記録となります。
自動化された証拠収集
評価を定義して起動すると、AWS Audit Manager は、監査の対象となるように定義した AWS アカウントとサービスのデータが自動的に収集されます。証拠には、そのリソースからキャプチャされたデータと、セキュリティ、変更管理、ビジネス継続性、およびソフトウェアライセンスにおけるコンプライアンスの実証に役立つデータがサポートする制御を示すメタデータの両方が含まれています。Audit Manager は、AWS CloudTrail と、AWS Config、AWS Security Hub、AWS License Manager など、使用している可能性のあるその他の AWS サービスから証拠を収集して整理します。ポリシードキュメント、トレーニングトランスクリプト、アーキテクチャ図などの他の証拠を手動でアップロードして、整理することもできます。
マルチアカウントの証拠収集
AWS Audit Manager は、AWS Organizations との統合を通じて複数のアカウントをサポートします。Audit Manager の評価は複数のアカウントで実施でき、証拠を収集して、委任された AWS Organizations の管理者アカウントに統合します。
委任ワークフロー
ネットワークインフラストラクチャ、ID 管理、ソフトウェアライセンス、人事ポリシーなど、特定のトピック領域に特化したチームメンバーに一連のコントロールを委任できます。委任機能を使用すれば、サポートチームのメンバーは、一連のコントロールと関連する証拠を確認し、コメントを追加し、追加の証拠をアップロードして、各コントロールの状態を更新できます。
検索証拠
Audit Manager では、傾向や相互参照に関する問題を特定する検索フィルタやグループ化を使用することで、分散した複数のソースから収集した何千もの証拠を介して、より簡単に移行が行えます。これにより、アセスメント (特定のコントロールセットに対する自動データ収集プロセス) 内、または Audit Manager ダッシュボード上で、フラグ付きのコンプライアンスチェックを介して特定された本サービスの問題を、詳細に検討できるようになります。証拠の検索を開始するには、Audit Manager のコンソールのナビゲーションメニューから Evidence Finder のページを選択し、アセスメントと検索したい期間とを選択し、検索用のパラメータとフィルタを選択します。本機能を有効にすると、Audit Manager の証拠の取り込みが開始され、AWS CloudTrail Lake に保存されます。料金は、AWS CloudTrail の料金が適用されます。
監査対応レポート
AWS Audit Manager は、証拠収集を自動化し、選択したフレームワークで設定されたコントロールによって定義された証拠を整理します。あなたやチームは、証拠を確認し、証拠にコメントを残し、裏付けとなる他の証拠をアップロードして、各コントロールの状態を更新することができます。次に、評価レポートに関連する証拠を選択して含め、最終的な評価レポートを生成して監査人と共有します。最終評価レポートには、評価に関する要約ファイルが含まれ、各フレームワークの一連のコントロールで定義されているように名前が付けられます。整理済みの関連証拠を含む一連のフォルダへのリンクが提供されます。Audit Manager 評価レポートは、暗号化検証を使用して、評価レポートの整合性を確保します。
第三者リスク評価
AWS Audit Manager には、第三者によるリスク評価の手作業を減らすのに役立つ機能が用意されています。その一例が、組織のコンプライアンス要件に従ってカスタムフレームワークをベンダーと共有できるフレームワーク共有機能です。その後、ベンダーはこれらのカスタマイズされたフレームワークにアクセスして、それらを使用して評価を作成できます。Audit Manager では、評価を使用して監査の範囲内のコントロールの証拠を収集します。ベンダーは、共有フレームワークを出発点として、そのフレームワークにおけるコントロールの証拠を収集する評価を作成できます。
さらに、ベンダーリスク評価用の質問を作成してベンダーやパートナーと共有し、テキストによる回答やドキュメントを通じて監査証拠を収集できます。その後、これらの第三者は、アップロードされたファイルや収集された自動化された証拠と共に、回答を評価レポートにまとめ、お客様と共有することができます。
ベンダーは、AWS アカウントで収集されたすべての自動化された証拠を証拠ファインダーの CSV ファイルとしてエクスポートすることもできます。これにより、広くサポートされている形式で証拠を簡単に共有できます。
