Amazon Web Services ブログ

AWS Audit Manager で監査の準備を簡素化

タイムリーにエビデンスを収集して監査をサポートしたいとお考えではないでしょうか。しかしこれは手作業のためエラーが発生しやすく、場合によっては分散プロセスとなり、非常に困難な課題と化すおそれがあります。ビジネスがコンプライアンス要件の対象となる場合、監査の準備によって生産性が大幅に低下し、結果的に中断を余儀なくされる場合もあります。また、オンプレミスのレガシーシステム用に設計された従来の監査プラクティスをクラウドインフラストラクチャに適用する際に、問題が発生することも考えられます。

一般データ保護規則 (GDPR)、医療保険の携行と責任に関する法律 (HIPAA)、ペイメントカード業界データセキュリティスタンダード (PCI DSS) といった、進化する複雑な規制やコンプライアンス標準に対応するには、エビデンスを収集、検証、統合する必要があります。

また、AWS 使用量が、進化するコンプライアンス制御の要件にどのようにマッピングされているかを、常に再評価し続ける必要があります。要件を満たすには、データの暗号化がアクティブになっていたことを示す必要があり、さらに、サーバー設定の変更を示すログファイル、アプリケーションの高可用性を示す図、必要なトレーニングを完了したことを示すトランスクリプト、ソフトウェア使用量がライセンスの規定を超えていないことを示すスプレッドシートなども必要になる場合があります。この作業は、時には数十人のスタッフやコンサルタントを巻き込んで、数週間続きます。

AWS Audit Manager は、監査の準備に役立つフルマネージド型サービスです。一般的な業界標準および規制に適合する事前構築済みフレームワークを提供し、エビデンスの継続的な収集を自動化できます。今すぐに利用可能です。AWS リソースの使用に関するエビデンスの継続的かつ自動的な収集によって、リスク評価や規制および業界標準へのコンプライアンスを簡素化できます。また、監査に備えた体制を継続的に維持できるようになり、より迅速で中断の少ない準備プロセスを実施できます。

カスタマイズ可能な組み込みのフレームワークにより、クラウドリソースの使用状況をさまざまなコンプライアンス標準の制御にマッピングし、監査に適した用語を使用して、エビデンスを監査に備えたイミュータブルな評価レポートに変換できます。また、オンプレミスのインフラストラクチャの詳細や、ビジネス継続性計画、トレーニングのトランスクリプト、ポリシー文書などの追加のエビデンスを検索、フィルタリング、アップロードして、最終的な評価に含めることも可能です。

通常、監査の準備には複数のチームが関与します。そこで、委任ワークフロー機能を使用すれば、対象分野のエキスパートに管理を割り当ててレビューを行わせることが可能になります。例えば、ネットワークセキュリティに関するエビデンスのレビューを、ネットワークセキュリティエンジニアに委任できます。

最終版評価レポートには、要約統計量と、関連するコンプライアンスフレームワークの正確な構造に従って整理されたすべてのエビデンスファイルが入ったフォルダが含まれます。エビデンスが収集されて単一の場所に整理されるとすぐにレビュー可能になるため、監査チームはより簡単にエビデンスを検証し、質問に回答し、修復計画を追加できるようになります。

Audit Manager の開始方法
まず、新規の評価を作成して設定しましょう。Audit Manager コンソールのホームページで [Launch AWS Audit Manager (AWS Audit Manager を起動)] をクリックすると、[Assessments (評価)] リストに移動します (コンソールのホーム左側のナビゲーションツールバーからもアクセス可能)。そこで [Create assessment (評価を作成)] をクリックして、新規の評価の設定ウィザードを開始します。まず、評価に名前を付け、オプションで説明を入力します。次に、評価に関連付けられたレポートを保存する Amazon Simple Storage Service (S3) バケットを指定します。

次に、評価のフレームワークを選択します。さまざまな事前構築済みフレームワークや、自分で作成したカスタムフレームワークから選択することができます。カスタムフレームワークは一から作成することもできますが、既存のフレームワークに基づいて作成することもできます。ここでは、事前構済みの PCI DSS フレームワークを使用します。

フレームワーク選択のスクリーンショット [Next (次へ)] をクリックすると、評価の対象とする AWS アカウントを選択できます (Audit ManagerAWS Organizations とも統合済み)。アカウントを 1 つ持っているので、それを選択して [Next (次へ)] をクリックし、エビデンス収集の対象とする AWS のサービスを選択します。すべての推奨サービス (デフォルト) が含まれるようにしたら、[Next (次へ)] をクリックして続行します。

評価対象サービス選択のスクリーンショット次に、評価を管理するための完全なアクセス許可を持つ、評価の所有者を選択する必要があります (所有者は AWS Identity and Access Management (IAM) ユーザーまたはロールにすることが可能)。少なくとも 1 人の所有者を選択する必要があるため、自分のアカウントを選択し、[Next (次へ)] をクリックして、最後の [Review and create (確認して作成)] ページに移動します。最後に、[Create assessment (評価を作成)] をクリックすると、新規の評価におけるエビデンス収集が開始されます。この処理が完了するまでしばらく時間がかかるため、別の評価に切り替えて、表示したり評価レポートに含めたりできるエビデンスの種類を調べます。

[Assessments (評価)] リストビューに戻って評価名をクリックすると、評価の詳細、エビデンス収集の制御の概要、制御をグループ化した制御セットのリストが表示されます。[Total evidence (エビデンス合計数)] では、評価に含まれるイベントと関連ドキュメントの数がわかります。他のタブでは、最終レポート用に選択したエビデンス、評価に含まれるアカウントとサービス、その所有者などについてのインサイトを得ることができます。エビデンスが収集されている S3 バケットに移動することもできます。

評価ホームページのスクリーンショット制御セットを展開すると、関連する制御とそれに付随して特定の制御の詳細がわかるリンク、ステータス ([Under review (レビュー中)]、[Reviewed (レビュー済み)]、[Inactive (非アクティブ)])、レビューのために制御を委任されたユーザー、制御で収集されたエビデンスの数、制御とエビデンスが最終レポートに追加されたかどうかが表示されます。制御を [Inactive (非アクティブ)] に変更した場合、つまり、自動化されたエビデンス収集がその制御で停止した場合は、ログに記録されます。

評価制御のスクリーンショット制御を詳しく見てみましょう。監査レポートのコンパイルを開始する前に、自動化されたエビデンス収集がコンプライアンス問題の特定にどのように役立つかがわかります。[Default control set (デフォルトの制御セット)] を展開して、制御 [8.1.2 For a sample of privileged user IDs…] をクリックすると、制御の詳細情報とテスト方法のビューが開きます。下にスクロールすると、一連のエビデンスのフォルダが表示されますが、いくつかの問題があることがわかります。[Compliance check (コンプライアンスチェック)] 列の [issue (問題)] リンクをクリックすると、データの取得元がわかります。ここで、最終レポートに含めるエビデンスを選択することもできます。

問題の概要のスクリーンショットさらに進んで、エビデンスのフォルダをクリックすると、障害が発生したことが確認できます。次に、障害が発生した時間をクリックすると、この制御の問題を詳細にまとめた概要と修復方法が表示されます。

制御のエビデンスのスクリーンショットエビデンスの詳細のスクリーンショットエビデンスを収集したら、十分な制御と適切なエビデンスを選択し、それらで評価レポートを作成して監査人に渡します。これはシンプルなタスクです。この記事のために、レポートに含めるいくつかの制御のエビデンスを前もって選択しておきました。そして、[Assessment report selection (評価レポートの選択)] タブを選択し、エビデンスの選択内容を確認し、[Generate assessment report (評価レポートを生成)] をクリックしました。表示されたダイアログでレポートに名前を付け、[Generate assessment report (評価レポートを生成)] をクリックしました。ダイアログが閉じると、[Assessment Reports (評価レポート)] ビューに移動します。レポートの準備ができたらそれを選択し、レポートと選択したエビデンスを含む zip ファイルをダウンロードします。または、下のスクリーンショットに示すように、評価に関連付けられた S3 バケットを (評価の詳細ページから) 開き、レポートの詳細とエビデンスを表示することもできます。レポート全体が (PDF ファイルとして) 表示されます。エビデンスフォルダにドリルダウンすると、選択したエビデンスの特定の項目に関連する PDF ファイルを表示することもできます。

S3 での評価レポート出力のスクリーンショット最後に、評価レポートの PDF ファイル冒頭のスクリーンショットを以下に示します。ここには、選択した制御およびエビデンスの数と、評価作成時に範囲内となるように選択したサービスが示されています。以降のページでは、さらなる詳細を確認できます。

評価レポートのスクリーンショット Audit Manager は現在、米国東部 (バージニア北部、オハイオ)、米国西部 (北カリフォルニア、オレゴン)、アジアパシフィック (シンガポール、シドニー、東京)、欧州 (フランクフルト、アイルランド、ロンドン) の 10 の AWS リージョンで利用可能です。

AWS Audit Manager の詳細を十分に把握して、今すぐ始めましょう。

— Steve