セキュリティ

AWS Audit Manager

コンプライアンス監査のエビデンス収集を自動化し、SOC 2、PCI DSS、HIPAA 等のフレームワークに対する準拠状況を継続的に評価するサービス

約 2 分で読めます

概要

AWS Audit Manager は、AWS 環境におけるコンプライアンス監査のエビデンス収集と評価を自動化するサービスです。SOC 2、PCI DSS、HIPAA、GDPR、NIST 800-53 など業界標準のフレームワークがプリビルトで用意されており、AWS Config ルール、CloudTrail ログ、Security Hub の検出結果などから自動的にエビデンスを収集します。手動エビデンスのアップロードにも対応し、技術的な自動検証と人的な確認作業を統合した監査ワークフローを構築できます。

フレームワークとコントロールの構造

Audit Manager の中核はフレームワーク、コントロールセット、コントロールの 3 層構造です。フレームワークは監査基準全体 (例: SOC 2 Type II) を表し、その中にコントロールセット (例: 論理的アクセス制御) が含まれ、さらに個別のコントロール (例: MFA の有効化確認) が定義されます。AWS が提供する標準フレームワークをそのまま使うこともできますが、実務では組織固有の要件を反映したカスタムフレームワークを作成するケースが多くなります。カスタムフレームワークでは、標準コントロールに自社のポリシーに基づくコントロールを追加し、AWS Config のカスタムルールや手動確認項目を組み合わせます。コントロールにはデータソースを紐づけ、AWS Config の準拠/非準拠ステータス、CloudTrail の API コールログ、Security Hub の検出結果を自動的にエビデンスとして取り込みます。フレームワークの設計段階で、各コントロールの評価頻度と担当者を明確にしておくと、運用フェーズでの混乱を防げます。

エビデンスの自動収集と手動エビデンス

Audit Manager は 3 種類のエビデンスを扱います。第 1 にコンプライアンスチェック型で、AWS Config ルールの評価結果を自動取得します。第 2 にユーザーアクティビティ型で、CloudTrail から特定の API コール (IAM ポリシー変更、S3 バケット設定変更など) を抽出します。第 3 に設定スナップショット型で、リソースの現在の設定状態を定期的にキャプチャします。自動収集だけではカバーできない領域には手動エビデンスを活用します。たとえばセキュリティ研修の受講記録、物理アクセス制御のログ、ベンダー評価レポートなどは PDF やスクリーンショットとしてアップロードします。エビデンスは評価ごとにフォルダ構造で整理され、コントロール単位で紐づくため、監査人が特定のコントロールに対するエビデンスを一覧で確認できます。Organizations との統合により、マルチアカウント環境でも委任管理者アカウントからエビデンスを一元収集できます。

評価レポートの生成と監査対応

評価 (Assessment) を作成すると、指定したフレームワークに基づいてエビデンスの自動収集が開始されます。評価の対象スコープは AWS アカウントとリージョンの組み合わせで指定し、本番環境のみを監査対象にするといった絞り込みが可能です。収集されたエビデンスは各コントロールに自動マッピングされ、担当者がレビューしてステータスを更新します。全コントロールのレビューが完了したら、評価レポートを PDF として生成し、S3 バケットに出力します。このレポートには、コントロールごとのエビデンス一覧、準拠/非準拠のサマリー、手動レビューのコメントが含まれ、外部監査人への提出資料としてそのまま使用できます。実務上のポイントとして、評価は継続的に実行し、四半期ごとにスナップショットを取得する運用が効果的です。年次監査の直前に慌ててエビデンスを集めるのではなく、日常的にエビデンスが蓄積される仕組みを構築することで、監査対応の工数を大幅に削減できます。

共有するXB!

関連する用語

AWS ConfigAWS Security HubAWS CloudTrailAWS OrganizationsAmazon GuardDuty

関連するサービス

AWS ConfigAWS Security HubAWS CloudTrailAWS OrganizationsAmazon Inspector

関連する記事

マルチアカウント戦略と AWS Organizations - クラウドガバナンスの最適解Organizations の OU 階層設計と SCP によるガバナンス制御で、セキュリティ境界の確立とコスト配分の最適化を実現する。Control Tower のガードレールと統合請求によるマルチアカウント運用の全体像を解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。

内容が近い用語・記事

監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS Audit Managerコンプライアンス監査のエビデンス収集と評価を自動化するサービスAWS Config で実現する継続的コンプライアンス監視 - ルール評価と自動修復AWS Config によるリソース構成の記録、Config ルールによるコンプライアンス評価、自動修復アクションの設定を解説します。AWS インシデント対応ツールチェーン - CloudTrail から Security Hub まで統合された調査基盤CloudTrail、Config、Detective、Security Hub を組み合わせた AWS のインシデント対応ツールチェーンを解説し、Azure Sentinel との調査アプローチの違いを比較します。