Amazon Web Services ブログ

新着 – AWS Audit Manager が初のサードパーティー GRC 統合のサポートを開始

監査は継続的なプロセスであり、あらゆる監査には証拠の収集が含まれます。収集された証拠は、リソースの状態を確認するのに役立ち、お客様のポリシー、手順、アクティビティ (コントロール) が整備されていること、およびコントロールが指定された期間にわたって機能していたことを実証するために用いられます。AWS Audit Manager は、AWS の利用に関するこの証拠収集を既に自動化しています。しかし、クラウド、オンプレミス、その両方の組み合わせなど、さまざまな場所にワークロードをデプロイする大規模な企業組織は、サードパーティーまたは自社開発のツール、スプレッドシート、および E メールを組み合わせて使用して、この証拠データを管理しています。

11月14日、AWS Audit Manager と、ガバナンス、リスク、コンプライアンス (GRC) のサードパーティープロバイダーであり、GRC 機能を提供する AWS パートナーでもある MetricStream CyberGRC との統合を発表しました。この統合により、企業は一元化された GRC 環境で、AWS、オンプレミス、および他のクラウド環境全体のコンプライアンスを管理できるようになります。

この発表以前は、Audit Manager は AWS のコンテキストでのみ動作し、お客様が AWS 内のリソースのコンプライアンスについての証拠を収集することを可能にしていました。その後、さらなる集計と分析のために、それらの情報は AWS の外部の GRC システムに渡されていました。このプロセスでは、お客様はすべてのコンプライアンス関連のデータを 1 か所で自動的にモニタリングおよび評価できず、結果としてコンプライアンスに関する結果の取得に遅れが生じていました。

GRC と Audit Manager の統合により、Audit Manager によって収集された監査の証拠を MetricStream CyberGRC で直接使用することが可能となります。Audit Manager は、MetricStream CyberGRC から対象のコントロールを受信し、これらのコントロールに関する証拠を収集して、集計と分析のために監査に関連するデータを MetricStream CyberGRC にエクスポートするようになりました。これで、集約されたコンプライアンス、リアルタイムモニタリング、一元的なレポートが可能になります。これにより、コンプライアンスの疲労が軽減され、ステークホルダーがより良く連携できるようになります。

仕組み
Amazon Cognito ユーザープールを使用すると、MetricStream CyberGRC のマルチテナントインスタンスにオンボーディングされます。

Amazon Cognito ユーザープールの図

Amazon Cognito ユーザープール

オンボーディングすると、MetricStream CyberGRC 内の AWS アセットとフレームワークを表示できるようになります。その後、適切な Audit Manager フレームワークを選択し、既存のエンタープライズコントロールと AWS コントロールの間の関係を定義することによって開始できます。このワンタイムコントロールマッピングを作成した後、対象のアカウントを定義して、MetricStream CyberGRC がユーザーに代わって AWS Audit Manager で管理する評価を作成できます。この評価により、AWS Audit Manager がトリガーされ、マッピングされたコントロールのコンテキストで証拠が収集されます。その結果、GRC アプリケーション内でコンプライアンスに関する証拠を一元的に把握できます。Audit Manager に存在する標準コントロールは、GetControl API を使用して MetricStream CyberGRC に提供され、自動マッピングが失敗するか、または不十分である場合に、手動マッピングプロセスを促進します。EvidenceFinder API は、Audit Manager から MetricStream CyberGRC に大量の証拠を送信します。

今すぐご利用いただけます
この機能は現在、Audit Manager (AWS リージョン) と MetricStream CyberGRC の両方が利用可能な場所でご使用いただけます。この統合の使用には、AWS Audit Manager の追加料金はかかりません。この統合を使用するには、MetricStream CyberGRC ソフトウェアへのアクセスと購入に関する情報について、MetricStream にお問い合わせください

AWS 無料利用枠の一部として、AWS Audit Manager は、初回利用のお客様に無料利用枠を提供します。無料利用枠は、最初のサブスクリプションから 2 暦月後に失効します。詳細については、「AWS Audit Manager の料金」を参照してください。AWS Audit Manager と MetricStream CyberGRC の統合の詳細については、Audit Manager のドキュメントをご覧ください。

Veliswa

原文はこちらです。