サービス開発部の柳瀬です。今回の記事ではAWS re:Invent 2020期間中に発表された新サービスAWS Audit Manager(以下Audit Manager)がどのようなサービスか、どんなシーンで活用するのか、Audit Managerで使用される用語がどのようなことを意味してどのような関係になっているかをまとめてみたいと思います。
対象範囲
このエントリーでは先に書きましたとおりAudit Managerの概要とAudit Managerの用語がどのような関係になっているかをまとめており、以下のような方が読まれることを想定しています。
- Audit Managerがどのようなサービスか知りたい
- Audit Managerを設定する前に知っていおくべきことをインプットしたい
ステップバイステップの設定手順は公式サイトに記載されておりますので、ここでは割愛しています。
AWS Audit Managerとは
近年、PCI DSSやISOなどの第三者認定を取得・維持したり、法規制への対応のために複雑なコンプライアンス要件が設定されているケースは増えています。これらのコンプライアンス要件を満たしていることの証拠をすべて手作業でそろえ、レポートを作成することはとても大きな負担となります。
Audit ManagerはAWSの利用状況を継続的に監査して、第三者認定や法規制などのコンプライアンス基準を満たしていることの証拠を収集し、レポートを作成することができます。コンプライアンス基準を満たしていることの検証プロセスをサポートすることで監査への対応負荷を軽減します。
Audit Managerはこのようにコンプライアンス基準や法規制への準拠をサポートするものですが、一方で監査に必要なものすべての情報を含んでいるものではありません。そのため、コンプライアンス基準がどのようなものか、Audit Managerで提供される情報がどのようなものかを理解して差分をどう埋めるか考えておく必要があります。
Audit Managerの用語と関係性
Audit ManagerではAssessmentと呼ばれるものを作成することで監査を開始します。公式のドキュメントから引用するとAssessmentはAudit Managerにおけるインスタンスです。AssessmentはAudit Managerで提供されるFrameworkから作成するようになっています。少し語弊があるかもしれませんが、Amazon EC2でAMIからEC2インスタンスを起動するようなイメージに近いと思います。
AMIからEC2を起動するのと同じように1つのFrameworkからは複数のAssessmentを作ることができます。Frameworkには以下の2種類があります。
- Standard framework
- AWSから公式に提供されているフレームワーク
- Custom framework
- ユーザー自身が作成するフレームワーク
Standard frameworkは、AWS Operational Best Practices (OBP)、CIS AWS Foundations Benchmark、PCI DSSなど執筆時点で14個が提供されております。 Frameworkには複数のControlをグルーピングしたControl setが複数含まれています。Audit ManagerはAssessmentを作成してEvidenceと呼ばれる監査に必要となる証拠を収集するのですが、ControlがEvidenceを収集をしている実態とも言えます。
ControlがどこからEvidenceを収集しているかというと、ControlにはどこからEvidenceを収集するか指定するData Sourceという設定項目があります。Data Sourceには自動でEvidenceを収集するAutomated evidenceと手動でEvidenceをアップするManual evidenceがあり、Automated evidenceにはAWS CloudTrail、AWS Config、AWS SecurityHub、AWS API callsなどがあり、これらのAWSサービスと連携して情報収集していることがわかります。1つのControlには複数のData Sourceを指定することができるようになっています。
最初に書きましたとおりAudit ManagerではFrameworkからAssessmentを作るようになっており、Assessmentにも同じようにControl setとControlが含まれます。
※注 Assessmentを作成するときは、監査対象とするAWSアカウント(AWS Organizationと統合されていてマルチアカウントに対応しています)やAWSサービスを指定するようになっています
Assessmentが作成されるとControlは設定に応じてEvidenceの収集を開始します。収集の頻度はControlごとに設定に応じます。収集されたEvidenceは収集されたタイミングによって分類されます。
先程、Audit Managerは監査に必要なレポートを作成すると書きました。Audit ManagerではこのレポートはAssessment Reportという用語になっており、収集されたEvidenceのうちどれをAssessment Reportに加えるかをユーザー自身で選択してレポートを作成します。
感想
コンプライアンス要件は複雑化していて、監査に必要な情報を手作業で集めることはとても大変な作業になります。そのため、このようなサービスを使うことで監査対応の効率化をすることができます。
ただし、Audit Managerは監査対応のすべてをカバーしているわけではないので、カバーされていない部分への対策を検討しておく必要があります。具体的には監査で求められていること、Audit Managerで提供されているStandard frameworkがどんな情報を収集するか理解し(Framework内のControlを読み込む)、差分を把握します。ControlはFrameworkと同じようにスタンダードコントロールとカスタムコントロールがありますので、自分自身で作成したカスタムコントロールで差分を埋めたり、その他の運用を検討するということになります。