security
A
信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
AWS Audit Manager — コンプライアンス証拠の自動収集と監査対応
AWS Audit Managerのフレームワーク(PCI DSS/SOC 2/HIPAA/GDPR)、証拠の自動収集、カスタムコントロール、評価レポートの生成、Security HubとConfigとの統合による継続的コンプライアンスを解説。
一言結論
AWS Audit Managerはコンプライアンス証拠の収集を自動化することで監査対応の手作業を大幅に削減できるが、証拠の最終確認と解釈は人間が行う必要があり、ツールに丸投げする設計は避けるべきだ。
AWS Audit Manager の概要
Audit ManagerはAWSの使用状況を継続的に監査し、コンプライアンス証拠を自動収集するサービスだ。外部監査人や内部監査チームが求める証拠をAWSから直接収集できる。
Audit Manager の役割:
→ コンプライアンス証拠の自動収集(手作業のスクリーンショット不要)
→ 業界標準フレームワーク(PCI DSS, SOC 2, ISO 27001等)への準拠チェック
→ 監査レポートの自動生成
→ 継続的なコンプライアンスモニタリング
対応するコンプライアンスフレームワーク:
→ PCI DSS(Payment Card Industry Data Security Standard)
→ SOC 2(Service Organization Control 2)
→ HIPAA(医療情報保護)
→ GDPR(欧州データ保護規則)
→ NIST CSF(Cybersecurity Framework)
→ CIS Benchmarks
→ ISO 27001評価(Assessment)の作成
# PCI DSS フレームワークで評価を作成
aws auditmanager create-assessment \
--name "Q2-2026-PCI-DSS-Assessment" \
--assessment-reports-destination '{
"destinationType": "S3",
"destination": "s3://audit-reports-bucket/pci-dss/"
}' \
--scope '{
"awsAccounts": [{"id": "123456789012"}],
"awsServices": [
{"serviceName": "S3"},
{"serviceName": "EC2"},
{"serviceName": "RDS"},
{"serviceName": "IAM"}
]
}' \
--roles '[{
"roleArn": "arn:aws:iam::123456789012:role/AuditManagerRole",
"roleType": "PROCESS_OWNER"
}]' \
--framework-id FRAMEWORK_ID_FOR_PCI_DSSフレームワークの構造
フレームワーク(Framework)
└── コントロールセット(Control Set)
└── コントロール(Control)
└── コントロールソース(証拠の収集元)
例(PCI DSS フレームワーク):
フレームワーク: PCI DSS 3.2.1
└── コントロールセット: Requirement 1(ネットワーク制御)
└── コントロール: 1.1.1(システム構成基準の整備)
└── コントロールソース:
- AWS Config: sg-no-unrestricted-ports
- CloudTrail: セキュリティグループの変更記録証拠の自動収集
証拠収集ソース:
AWS Config:
→ Config Rulesの評価結果
→ リソースの設定スナップショット
AWS Security Hub:
→ Findingsの状態
→ セキュリティ標準への準拠状況
AWS CloudTrail:
→ API操作のログ
→ 誰がいつ何をしたかの記録
直接API呼び出し:
→ EC2インスタンスのリスト
→ IAMポリシーの内容
→ S3バケットの設定
手動証拠:
→ 監査人が手動でドキュメントをアップロード
→ スクリーンショット、ポリシー文書等カスタムコントロールの作成
# カスタムコントロールの作成(組織固有の要件)
aws auditmanager create-control \
--name "multi-az-rds-requirement" \
--description "全本番RDSインスタンスのマルチAZ設定確認" \
--control-mapping-sources '[
{
"sourceName": "RDS-MultiAZ-Config",
"sourceDescription": "AWS ConfigによるRDSマルチAZ設定チェック",
"sourceType": "AWS_Config",
"sourceKeyword": {
"keywordInputType": "SELECT_FROM_LIST",
"keywordValue": "rds-multi-az-support"
}
}
]'監査レポートの生成
# 評価レポートの生成
aws auditmanager create-assessment-report \
--assessment-id ASSESSMENT_ID \
--name "Q2-2026-PCI-DSS-Report" \
--description "第2四半期 PCI DSS 準拠レポート"
# 証拠の確認
aws auditmanager get-evidence-folder-by-assessment-control \
--assessment-id ASSESSMENT_ID \
--control-set-id CONTROL_SET_ID \
--control-id CONTROL_IDSecurity Hub との統合
Security Hub Findings → Audit Manager 証拠として自動取り込み
設定例:
Security Hub が FSBP(Foundational Security Best Practices)で
「EC2.1: EBS のデフォルト暗号化が有効でない」を検出
↓
Audit Manager が証拠として自動取り込み
↓
PCI DSS コントロール 3.4(保存データの暗号化)の証拠として使用AWS Config との統合
Config Rules の評価 → Audit Manager コントロールの証拠
例:
Config Rule: s3-bucket-versioning-enabled
評価結果: my-bucket が COMPLIANT
↓
Audit Manager が証拠として記録
↓
SOC 2 コントロール CC6.1(データバックアップ)の証拠として使用試験頻出ポイント
| シナリオ | 回答 |
|---|---|
| コンプライアンス証拠を自動収集 | AWS Audit Manager |
| PCI DSS準拠の継続的チェック | Audit Manager + PCI DSS フレームワーク |
| 手動スクリーンショット作業の自動化 | Audit Managerの証拠自動収集 |
| Security HubのFindingsをコンプライアンス証拠に | Audit Manager + Security Hub統合 |
| 組織固有の要件をチェック | Audit Managerカスタムコントロール |
まとめ
Audit ManagerはAWSの使用状況からコンプライアンス証拠を自動収集し、PCI DSS、SOC 2等の標準への準拠状況を継続的にモニタリングする。Security HubやConfig Rulesと統合することで監査に必要な証拠収集を大幅に効率化できる。