こんにちは、技術5課 長崎です。
re:Invent 2020で発表されたサービスAWS Audit Manager(以下、Audit Manager)が継続的な監査準備を支援できるという事でご紹介したいと思います。
どんなサービスか
AWS の使用状況を継続的に監査して、リスクの評価方法と規制や業界標準への準拠を簡素化する際に役立つサービスとなっています。
具体的には、一般データ保護規則 (GDPR)、医療保険の携行と責任に関する法律 (HIPAA)、ペイメントカード業界データセキュリティスタンダード (PCI DSS) といった、進化する複雑な規制やコンプライアンス標準に対応する為に継続的な自動エビデンス収集やエビデンスを基にして監査レポートの作成が可能となっています。
設定方法
AWSマネジメントコンソール上より、設定を行う事ができます。ポイントだけご紹介します。
- 監査レポートを作成した際に保存するS3バケットを選択します
- フレームワークを選択します
- 今回は、PCI DSS V3.2.1としています。準拠する必要のあるコンプライアンス要件に沿って選択してください
- どんなフレームワークがあるかを確認したい場合は、Audit Managerコンソールの左ペイン「Framework library」から確認する事ができます
- 監査対象とし、エビデンス取得の必要があるAWSサービスを選択します
- システム構成で利用しているAWSサービスのみを選ぶ、または全サービスを選択するでも問題ないかと思います
- 監査オーナーを選択します。IAMユーザー or IAMロールを選択できます。このアセスメントに対して全操作権限を持ちます
作成すると、エビデンスの収集が開始され約24時間後に完了します。
24時間後
作成したアセスメントを確認します。
- フレームワークに応じた監査項目(赤枠)に対して、エビデンスがどのくらい取得されているか(緑枠)を確認できます
- 矢印を開くと、監査項目をさらに詳細化した内容が出てきました
レポートを作成する
- エビデンスの取得が確認できている項目を開き、さらにエビデンスフォルダーを開くと収集されたエビデンス情報が出てきます
- 日付のリンクをクリックすると、個々のエビデンスの詳細が確認できます。このエビデンスをレポートに含めたい場合は[Add to assessment report]をクリックします
- エビデンスの内容がどういうものなのかはこちらの公式ドキュメントに詳しく書いてありました
上記の流れでその他レポートとしたいエビデンスで[Add to assessment report]を実行していきます。
最終的に、アセスメントの画面から[Generate assessment report]をクリックすると上記で選んだ全てのエビデンスがレポートとしてS3バケットに保存されます。
S3バケットを確認すると、各エビデンスやレポートのサマリーが保存されていました。
これらをローカルにダウンロードしたい場合は、zipファイルをダウンロードすればOKです。
参考
S3バケットに保存されたファイルの内容はどうなっているのか、参考程度ですが載せておきます。
- レポートサマリー
- エビデンス
最後に
監査の準備は、なかなか手間がかかるかと思われますがこういったサービスを利用してなるべく効率化していきたいですね。