コンテンツにスキップ

AWS Audit Manager

1. サービス概要

AWS Audit Manager は、AWS 上で運用するシステムやアプリケーションの監査プロセスを自動化・効率化するサービスである。
フレームワーク別(例: ISO、PCI DSS、SOC2 など)の監査要件に沿ったコントロールの設計と証跡収集を自動化し、監査レポート作成を簡素化できる点が大きな特徴である。

主なユースケースとして、

  • コンプライアンスや内部統制が必要な組織での継続的監査管理
  • 外部監査対応時の証跡・レポート提出

に活用される。
Audit Manager により、オンプレミス中心の従来型監査プロセスを大幅に省力化でき、AWS アカウント横断の監査も効率的に行える。

2. 主な特徴と機能

2.1 フレームワークベースのコントロールライブラリ

PCI DSS、ISO、SOC、HIPAA などの主要フレームワークに対応したテンプレートが用意されており、これらが提供する監査要件(コントロール)に対して自動的に関連する AWS の設定や利用状況をマッピングする。
既存テンプレートをベースに、独自の基準や社内ルールを加えたカスタムフレームワークの作成も可能である。

  • テンプレートの活用: グローバル標準の監査項目を網羅し、監査計画の立ち上げがスムーズ
  • カスタムフレームワーク: 企業独自の要件や法規制を組み込み可能

2.2 自動証跡収集(AWS Config, CloudTrail 連携)

Audit Manager は AWS リソースの設定変更ログ(AWS Config)や API コールログ(CloudTrail)などを自動収集し、各コントロールへの適合性を検証するエビデンス(証跡)として格納する。
これにより、手動でのログ収集やスクリーンショット取得を最小化し、継続的な監査準備を実現する。

2.3 リアルタイム評価とステータス管理

有効化したフレームワークに対し、AWS アカウントを継続的にモニタリングすることで、コンプライアンス状態のリアルタイム評価が可能である。
ダッシュボードから不足している証跡や、要改善のコントロールを把握し、早期に対応が行える。

2.4 監査レポート作成

収集したエビデンスをもとに、監査用レポートを自動生成する。
レポートは特定フレームワークへの適合状況をまとめて提出できるため、外部監査人とのコミュニケーションを容易にし、監査プロセス全体を効率化する。

2.5 マルチアカウント管理と Security Hub 連携

AWS Organizations と連携して、複数の AWS アカウントをまとめて監査フレームワークのスコープに含めることができる。
また、AWS Security Hub の脆弱性情報などをエビデンスとして組み込むことで、セキュリティ面を含めた監査の包括的評価を行える。

3. アーキテクチャおよび技術要素

  1. 監査対象フレームワークを選択(PCI DSS/ISO/SOC2 など)
  2. 対象アカウントやリージョン、AWS サービスをスコープに追加
  3. AWS Audit Manager が Config や CloudTrail などから証跡を継続的に収集
  4. 各コントロールの適合状況を Audit Manager ダッシュボードで可視化
  5. 最終的にレポートを生成し、エビデンスを外部監査人へ提出

これらの収集および評価プロセスはフルマネージドで行われ、ユーザーの手動作業を大幅に削減する。

4. セキュリティと認証・認可

Audit Manager の利用にあたり重要なポイントは以下の通りです:

  • IAM ポリシー: Audit Manager がリソース情報やログを取得するために必要な最小限の権限を与える
  • 暗号化・データ保護: 収集された証跡データは AWS 内部で安全に保管され、利用者はアクセス権限を制御可能
  • 組織統合: AWS Organizations で複数アカウントにわたる監査を行う場合、Administrator/Member アカウントの設定を踏まえて権限を管理

5. 料金形態

AWS Audit Manager の料金は主に以下の項目で構成されています:

  • 評価対象リソース数: アセスメントに登録されたリソースの数や使用する証跡収集ポイントに基づく従量課金
  • 継続的モニタリングコスト: アカウント数や監査範囲が拡大すると、収集・保管するログ量により費用が変動
  • レポート生成: エビデンス容量やレポートの生成頻度に左右される可能性あり

6. よくあるアーキテクチャ・設計パターン

Audit Manager を導入することで、監査作業やコンプライアンス確保が大幅に効率化される。
一般的な活用パターンは以下の通りです:

  • コンプライアンス強化: PCI DSS、ISO27001、SOC2 などの国際規格要件を常に満たすため、継続的モニタリングと定期レポート発行を自動化
  • 内部監査の効率化: 監査チームがバラバラに実施していた証跡収集を一元化し、監査手順の標準化を実現
  • Security Hub 連携: GuardDuty や Inspector など他の AWS セキュリティサービスで検知された脆弱性情報を証跡に取り込み、監査対応範囲を拡大
  • マルチアカウント一括管理: 大規模組織の全 AWS アカウントを対象に、テンプレートベースでの監査項目適用とエビデンス確認

7. 設定・デプロイ手順(ハンズオン例)

  1. AWS コンソールで「AWS Audit Manager」を検索し、サービスにアクセス
  2. 「Create assessment」をクリックし、監査のベースとなるフレームワークを選択(例: PCI、ISO)
  3. 監査スコープとして対象の AWS アカウントやサービスを指定
  4. 必要に応じてカスタムフレームワークやコントロールを追加・編集
  5. 作成完了後、自動収集される証跡(Evidence)を確認し、レポートを生成

8. 試験で問われやすいポイント

8.1 フレームワークとコントロール

  • テンプレート: PCI DSS、ISO、SOC2 など主要規格に沿った要件が既に用意されている
  • カスタマイズ: 企業独自のポリシーを追加したり、既存コントロールを編集することで柔軟に対応
  • マッピング: Audit Manager が AWS リソースとフレームワーク要件を紐付け、証跡を自動収集

8.2 証跡(Evidence)の取得と管理

  • 自動収集: Config や CloudTrail、Security Hub など AWS サービスからログを集約
  • エビデンスダッシュボード: どのコントロールに対してどの証跡が不足しているかを可視化
  • エビデンスの活用: レポート作成や外部監査対応でまとめて証跡を提示可能

8.3 レポート生成

  • 継続的監査: 監査期間を設定し、自動的にレポートを作成
  • 形式: CSV や PDF などで出力し、監査人に提出
  • 監査効率化: エビデンスとコントロールが直接リンクされており、書類作業を最小化

8.4 マルチアカウント管理

  • Administrator/Member アカウント: 組織の監査担当者が一括で設定・管理
  • スコープ設定: 必要なアカウントのみを対象にし、コストやノイズを削減
  • Org 連携のメリット: 全社レベルで統一した監査ポリシーを適用

8.5 他サービスとの連携

  • Security Hub: 脆弱性やセキュリティリスクを Audit Manager の証跡に反映
  • Config: リソース設定変化を自動検知し、監査レポートへ
  • CloudTrail: API コールやユーザー操作履歴の証跡連携

8.6 料金最適化

  • 監査スコープの制限: 必要なアカウント、サービスに絞ってアセスメントを作成
  • 不要フレームワークの無効化: 利用しない監査テンプレートを適用しないことでコストを抑制
  • 証跡保存期間: 必要に応じて保存期間を設定し、ストレージコストを調整

8.7 試験で頻出となる具体的な問われ方と答え

  • Q: Audit Manager が自動的に収集する証跡の代表例は?
  • A: AWS Config、CloudTrail、Security Hub などのログ情報。
  • Q: 主要な監査フレームワークをどのように設定する?
  • A: Audit Manager のテンプレートを使ってアセスメントを作成し、コントロールをマッピング。
  • Q: Audit Manager と AWS Organizations の関係は?
  • A: 複数アカウントに対する監査範囲を一元管理し、管理者アカウントから構成を集約。
  • Q: 監査レポートを生成した後、どのように活用できる?
  • A: 外部監査人とのやり取りや社内コンプライアンスチームへの報告に利用。
  • Q: Audit Manager で費用を最適化するには?
  • A: 必要最低限のアセスメントスコープ設定や不要フレームワークの無効化、証跡保持期間の調整など。