[前回] AWS公式資料で挑むSCS認定(11)-Artifact
はじめに
今回は「Security, Identity & Compliance」に分類されるサービス、
AWS Audit Manager の勉強です。
これも監査関連サービスで、AWS の使用状況に対する監査証跡を自動的に収集してくれるみたいです。
教材を選ぶ
[AWS Black Belt Online Seminar] AWS Audit Managerを教材として使用します。
AWS様のプレゼン資料、論理的にまとまっており、読んでいて気持ちいいですね。
Audit Manager とは
- AWSの使用状況を継続的に監査
- 従来手動で行われていた証跡収集を自動化し作業コストを削減
- 業界標準や認証など監査要求項目のテンプレートがある
- 対応している業界標準はCIS AWS Foundation Benchmark, GDPR,PCI DSS など
- AWSのプラットフォーム自体と同じくスケールする監査をサポートする
Audit Manager アーキテクチャ
引用元: https://d1.awsstatic.com/webinars/jp/pdf/services/20210309_AWSblackbelt_AWSAuditManager.pdf
Audit Manager 構成要素
アセスメントと呼ばれるタスクを定義し、タスクが標準フレームワークを呼び出す。
- アセスメント/評価
- 監査スコープ(アカウント、AWSサービス)を指定して証跡収集を実行するタスクの定義
- 証跡収集は、事前定義したフレームワークをコールする
- 標準フレームワーク
- カスタムフレームワーク
Audit Manager が提供するフレームワーク
- AWS Audit Manager サンプルフレームワーク
- 検証用などでサンプルとして実行出来るフレームワーク
- AWS Control Tower ガードレール
- AWS Control Tower ガードレールで定義されているガイダンスを監査する
- AWS License Manager
- Microsoft, SAP, Oracle, IBMなどのソフトウェアベンダーのソフトウェア・ライセンスを監査する
- AWS 運用のベストプラクティス(OBP)
- AWS のベストプラクティスに基づいた監査項目 52
- CIS Amazon Web Services Foundations Benchmark v1.2.0, レベル1および2用のCISベンチマーク
- Center of Internet Security が提唱するAWS環境の基本的なチェック項目を監査する
- CIS コントロール v7.1 実装グループ 1
- Center of Internet Security が提唱する一般的な攻撃を緩和するためのベストプラクティスを監査する
- FedRAMP Allgress による中程度のベースライン
- 米国政府が展開しているクラウドサービス・プロバイダーのセキュリティ評価のチェック項目を監査する
- GDPR
- EU/EEAの個人情報保護に関するレギュレーションのチェック項目
- GxP 21 CFR part 11
- 消費者に対して食料と医薬品の安全を守るために生産時のデータ整合性を保証するレギュレーション
- HIPAA
- 米国の個人健康保険情報を保護する連邦法で規定されている項目の監査
- HITRUST v9.4 レベル 1
- HIPAAを含む各種コンプライアンス標準を満たすためのフレームワーク
- PCI DSS v3.2.1
- クレジットカード業界のセキュリティ標準で定められているコントロールを監査する
- SOC 2
- 米国公認会計士協会が定めているセキュリティや可用性に関する監査項目
フレームワークとコントロールの例
PCI DSS の例
- コントロールセットとして、 PCI DSS の要求事項の大項目がセクションとし
て並んでいる - セクションを展開すると個別の要求事項がコントロールとして含まれている
コントロールの監査証跡収集
- 自動コントロール
- Audit Managerが自動的に証跡を収集
- 手動コントロール
- ユーザー側で証跡を Amazon S3 経由で Audit Managerにアップロードする必要がある
カスタムコントロールの作成手順
引用元: https://d1.awsstatic.com/webinars/jp/pdf/services/20210309_AWSblackbelt_AWSAuditManager.pdf
カスタムフレームワークの作成手順
引用元: https://d1.awsstatic.com/webinars/jp/pdf/services/20210309_AWSblackbelt_AWSAuditManager.pdf
Audit Manager のフロー
評価/アセスメントの作成から、レポート作成までの流れ:
引用元: https://d1.awsstatic.com/webinars/jp/pdf/services/20210309_AWSblackbelt_AWSAuditManager.pdf
評価/アセスメントのステータスの確認
- 評価/アセスメントを作成して最初の結果が出るまでは、最大24時間程度かかり(フレームワークの項目数などにも依存)
- 実行している評価/アセスメントのステータスを確認可能
- マネージメントコンソールの Assessments を選択すると、現在作成されている評価/アセスメントの一覧が表示される
Audit Manager からの通知
以下の場合、Audit Manager は SNS に通知を飛ばす
- コントロールセットと証跡を管理オーナーが他のユーザーに移譲した場合
- コントロールセットのレビューを委任者が完了した場合
- 通知を送るためには、Audit ManagerのサービスリンクロールにAmazon SNS ト
ピックに対する権限が必要
Audit Manager の監査における役割
- Audit Manager は監査業務そのものを代行するサービスではない
- Audit Manager は、内部監査や外部監査における証跡(エビデンス)収集を
自動化し、監査人による監査の手間を削減するサポートのためのサービス
Audit Managerのユースケース
- お客様にとってのメリット
- 監査証跡の収集を手動で行う手間の削減
- 内部監査、外部監査などの監査対応が必要な場合、Audit Managerを使用
- ※ 監査対応を要件としてない場合には、発見的統制のソリューションであるGuardDuty, Security Hub, AWS Config などの組み合わせで十分
- 発見的統制とは、顕在化したリスク、例えば、不正や誤謬などを適時適切に是正する統制活動
- 一方、予防的統制とは、潜在的なリスクを予見して統制をかけ、好ましくない事象の発見を遅らせたり防止したりする統制活動
- ※ 監査対応を要件としてない場合には、発見的統制のソリューションであるGuardDuty, Security Hub, AWS Config などの組み合わせで十分
- 監査人が得るメリット
- 監査証跡の収集を手動で行う手間の削減
- 監査証跡の真正性が Audit Manager で担保される
- 真正性ってなに? と思われる方は過去の記事
- リアルタイムに近い形で最新の証跡を取得出来る
おわりに
監査のために必要なAudit Managerを勉強しました。
次回は、AWS Cognitoです。お楽しみに。