翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Audit Manager の証拠を GRC システムに統合する
エンタープライズのお客様は、他のクラウドベンダーやオンプレミス環境など、複数のデータセンターにリソースを持っている可能性があります。これらの環境から証拠を収集するため、MetricStream CyberGRC や RSA Archer などのサードパーティーの GRC (ガバナンス、リスク、コンプライアンス) ソリューションを使用する場合があります。または、社内で開発した独自の GRC システムを使用することもできます。
このチュートリアルでは、内部または外部の GRC システムを Audit Manager と統合する方法について説明します。この統合により、ベンダーは顧客の AWS 使用状況と設定に関する証拠を収集し、その証拠を Audit Manager から GRC アプリケーションに直接送信できます。これにより、複数の環境にわたるコンプライアンスレポートを一元化することができます。
このチュートリアルでは、以下の用語を使用します。
1. **ベンダー**とは、Audit Manager と統合されている GRC アプリケーションを所有するエンティティまたは会社を指します。
1. **顧客は**、内部または外部の GRC アプリケーション AWSを使用するエンティティまたは会社です。
**注記**
一部の GRC アプリケーションは同じ会社によって所有および使用されます。このシナリオでは、**ベンダー**は GRC アプリケーションを所有するグループまたはチームで、**お客様**は GRC アプリケーションを使用するチームまたはグループです。
**このチュートリアルでは、以下のことを実行する方法を示します。**
+ [ステップ 1: Audit Manager を有効にする](#tutorial-for-grc-integration-step1)
+ [ステップ 2: 権限をセットアップする](#tutorial-for-grc-integration-step2)
+ [ステップ 3. エンタープライズコントロールを Audit Manager コントロールにマッピングする](#tutorial-for-grc-integration-step3)
+ [ステップ 4. コントロールマッピングを最新の状態に保つ](#tutorial-for-grc-integration-step4)
+ [ステップ 5: 評価を作成する](#tutorial-for-grc-integration-step5)
+ [ステップ 6. 証拠の収集を開始する](#tutorial-for-grc-integration-step6)
## 前提条件
**作業を始める前に、以下の条件を満たしていることを確認します。**
+ AWSで実行されているインフラストラクチャがある。
+ 社内の GRC システムを使用する、またはベンダーが提供するサードパーティーの GRC ソフトウェアを使用する。
+ [Audit Manager の設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html)に必要なすべての[前提条件](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html)を満たしている。
+ [AWS Audit Manager 概念と用語を理解する](concepts.md) をよく理解している。
**留意すべきいくつかの制限事項:**
+ Audit Manager はリージョン別です AWS のサービス。Audit Manager は、 AWS ワークロードを実行するリージョンごとに個別に設定する必要があります。
+ Audit Manager は、複数のリージョンから単一のリージョンへの証拠の集約をサポートしていません。リソースが複数の にまたがる場合は AWS リージョン、GRC システム内で証拠を集約する必要があります。
+ Audit Manager には、作成できるリソース数のデフォルトのクォータがあります。必要に応じて、デフォルトのクォータの引き上げをリクエストできます。詳細については、「[Quotas and restrictions for AWS Audit Manager.](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)」を参照してください。
## ステップ 1: Audit Manager を有効にする
### このステップを完了するユーザー
お客様
### 必要な作業
まず、 AWS アカウントで Audit Manager を有効にします。アカウントが組織の一部である場合は、管理アカウントを使用して Audit Manager を有効にし、Audit Manager の委任管理者を指定できます。
### 手順
**Audit Manager を有効にするには**
手順に従って [Audit Manager を有効にします](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html)。証拠を収集するすべてのリージョンについて、セットアップ手順を繰り返します。
**ヒント**
を使用する場合は AWS Organizations、このステップ中に委任管理者を設定することを強くお勧めします。Audit Manager で委任管理者を使用する際は、証拠ファインダーを使用して組織内のすべてのアカウントで証拠を検索することができます。
## ステップ 2: 権限をセットアップする
### このステップを完了するユーザー
お客様
### 必要な作業
このステップでは、お客様はアカウントの IAM ロールを作成します。次に、お客様はロールを引き受けるアクセス許可をベンダーに付与します。
![\[IAM ロールがベンダーアカウントのアクセスを許可する方法を示す図。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/vendor-role-access.png)
### 手順
**お客様のアカウントのロールを作成するには**
手順については、*IAM ユーザーガイド* の「[IAM ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
+ ロール作成ワークフローのステップ 8 で、**[ポリシーの作成]** を選択し、ロールのポリシーを入力します。
ロールには、少なくとも以下のアクセス許可が必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "AuditManagerAccess",
"Effect" : "Allow",
"Action" : [
"auditmanager:*"
],
"Resource" : "*"
},
{
"Sid" : "OrganizationsAccess",
"Effect" : "Allow",
"Action" : [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListParents",
"organizations:ListChildren"
],
"Resource" : "*"
},
{
"Sid" : "IAMAccess",
"Effect" : "Allow",
"Action" : [
"iam:GetUser",
"iam:ListUsers",
"iam:ListRoles"
],
"Resource" : "*"
},
{
"Sid" : "S3Access",
"Effect" : "Allow",
"Action" : [
"s3:ListAllMyBuckets"
],
"Resource" : "*"
},
{
"Sid" : "KmsAccess",
"Effect" : "Allow",
"Action" : [
"kms:DescribeKey",
"kms:ListKeys",
"kms:ListAliases"
],
"Resource" : "*"
},
{
"Sid" : "KmsCreateGrantAccess",
"Effect" : "Allow",
"Action" : [
"kms:CreateGrant"
],
"Resource" : "*",
"Condition" : {
"Bool" : {
"kms:GrantIsForAWSResource" : "true"
},
"StringLike" : {
"kms:ViaService" : "auditmanager.*.amazonaws.com"
}
}
},
{
"Sid" : "SNSAccess",
"Effect" : "Allow",
"Action" : [
"sns:ListTopics"
],
"Resource" : "*"
},
{
"Sid" : "TagAccess",
"Effect" : "Allow",
"Action" : [
"tag:GetResources"
],
"Resource" : "*"
}
]
}
```
------
+ ロール作成ワークフローのステップ 11 で、**ロール名** に `vendor-auditmanager` と入力します。
**ベンダーアカウントにロールの引き受けを許可するには**
「IAM ユーザーガイド」の「[ロールを切り替えるアクセス許可をユーザーに付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)」の手順に従います。**
+ ポリシーステートメントには `sts:AssumeRole action` への `Allow` の影響を含める必要があります。
+ リソース要素のロールの Amazon リソースネーム (ARN) を含める必要があります。
+ 使用できるポリシーステートメントの例を次に示します。
このポリシーでは、*プレースホルダーテキスト*をベンダーの AWS アカウント ID に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager"
}
}
```
------
## ステップ 3. エンタープライズコントロールを Audit Manager コントロールにマッピングする
### このステップを完了するユーザー
お客様
### 必要な作業
ベンダーは、お客様が評価で使用できるエンタープライズコントロールの厳選されたリストを管理します。Audit Manager と統合するには、お客様がエンタープライズコントロールを対応する Audit Manager コントロールにマッピングできるようにするインターフェイスをベンダーが作成する必要があります。[](concepts.md#common-control) (推奨) または [](concepts.md#standard-control) をマッピングできます。ベンダーの GRC アプリケーションで評価を開始する前に、このマッピングを完了する必要があります。
![\[エンタープライズコントロールが Audit Manager コントロールにどのようにマッピングされるかを示す図。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-mapping.png)
### オプション 1: エンタープライズコントロールを一般的なコントロールにマッピングする (推奨)
以下は、エンタープライズコントロールを Audit Manager にマッピングするための推奨方法です。この方法が推奨されているのは、一般的なコントロールが一般的な業界標準とほぼ一致しているためです。これにより、エンタープライズコントロールへのマッピングが容易になります。
このアプローチでは、ベンダーは、お客様がエンタープライズコントロールと Audit Manager が提供する対応する一般的なコントロールとの間で 1 回限りのマッピングを実行できるようにするインターフェイスを作成します。ベンダーは [ListControls](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html)、[ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html)、および [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html) API オペレーションを使用して、この情報をお客様に提供できます。お客様がマッピングを完了すると、ベンダーはこれらのマッピングを使用して Audit Manager で[カスタムコントロールを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)できます。
一般的なコントロールマッピングの例を次に示します。
`Asset Management` というエンタープライズコントロールがあるとします。このエンタープライズコントロールは、Audit Manager (`Asset maintenance scheduling` および `Asset performance management`) の 2 つの一般的なコントロールにマッピングされます。ここでは、Audit Manager でカスタムコントロールを作成する必要があります (名前は `enterprise-asset-management`)。次に、`Asset performance management` と `Asset maintenance scheduling` を証拠ソースとして新しいカスタムコントロールに追加します。これらの証拠ソースは、事前定義された AWS データソースグループからサポート証拠を収集します。これにより、エンタープライズコントロールの要件に対応する AWS データソースを効率的に特定できます。
#### 手順
**マッピングできる利用可能な一般的なコントロールを見つけるには**
手順に従って、Audit Manager で[使用可能な一般的なコントロールのリストを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。
**カスタムコントロールを作成するには**
1. 手順に従って、エンタープライズコントロールと一致する[カスタムコントロールを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)します。
カスタムコントロールの作成ワークフローのステップ 2 で証拠ソースを指定する場合は、以下を実行します。
+ 証拠ソースとして **[AWS マネージドソース]** を選択します。
+ **[コンプライアンス目標に一致する一般的なコントロールを使用する]** を選択します。
+ エンタープライズコントロールの証拠ソースとして、最大 5 つの一般的なコントロールを選択します。
1. すべてのエンタープライズコントロールに対してこのタスクを繰り返し、対応するカスタムコントロールを Audit Manager にそれぞれ作成します。
### オプション 2: エンタープライズコントロールを標準コントロールにマッピングする
Audit Manager には、事前に構築された標準コントロールが多数用意されています。エンタープライズコントロールとこれらの標準コントロールの間で 1 回限りのマッピングを実行できます。エンタープライズコントロールに対応する標準コントロールを特定したら、これらの標準コントロールをカスタムフレームワークに直接追加できます。このオプションを選択した場合、Audit Manager でカスタムコントロールを作成する必要はありません。
#### 手順
**マッピングできる利用可能な標準コントロールを見つけるには**
手順に従って、Audit Manager で[使用可能な標準コントロールのリストを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。
**カスタムフレームワークを作成するには**
1. 手順に従って、Audit Manager で[カスタムフレームワークを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)します。
フレームワーク作成手順のステップ 2 でコントロールセットを指定する際は、エンタープライズコントロールにマッピングする標準コントロールを含めます。
1. カスタムフレームワークに対応するすべての標準コントロールを含めるまで、すべてのエンタープライズコントロールに対してこのタスクを繰り返します。
## ステップ 4. コントロールマッピングを最新の状態に保つ
### このステップを完了するユーザー
ベンダー、お客様
### 必要な作業
Audit Manager は、一般的なコントロールと標準コントロールを継続的に更新して、利用可能な最新の AWS データソースを使用していることを確認します。つまり、コントロールのマッピングは 1 回限りのタスクです。カスタムフレームワークに追加した後に標準コントロールを管理する必要はなく、カスタムコントロールに証拠ソースとして追加した後に一般的なコントロールを管理する必要もありません。一般的なコントロールが更新されるたびに、その一般的なコントロールを証拠ソースとして使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。
ただし、時間の経過とともに、新しい一般的なコントロールと標準コントロールが証拠ソースとして使用できるようになる可能性があります。これを念頭に置いて、ベンダーとお客様は、Audit Manager から最新の一般的なコントロールと標準コントロールを定期的に取得するワークフローを作成する必要があります。その後、エンタープライズコントロールと Audit Manager コントロール間のマッピングを確認し、必要に応じてマッピングを更新できます。
### エンタープライズコントロールが一般的なコントロールにマッピングされている場合
マッピングプロセス中に、カスタムコントロールを作成しました。Audit Manager を使用してこれらのカスタムコントロールを編集し、利用可能な最新の一般的なコントロールを証拠ソースとして使用できます。カスタムコントロールの更新が有効になると、既存の評価は更新されたカスタムコントロールに対する証拠を自動的に収集します。新しいフレームワークや評価を作成する必要はありません。
#### 手順
**マッピングできる最新の一般的なコントロールを見つけるには**
手順に従って、Audit Manager で[使用可能な一般的なコントロールを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。
**カスタムコントロールを編集するには**
1. 手順に従って、Audit Manager で[かカスタムコントロールを編集](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)します。
編集ワークフローのステップ 2 で証拠ソースを更新する際は、以下を実行します。
+ 証拠ソースとして **[AWS マネージドソース]** を選択します。
+ **[コンプライアンス目標に一致する一般的なコントロールを使用する]** を選択します。
+ カスタムコントロールの証拠ソースとして使用する新しい一般的なコントロールを選択します。
1. 更新するすべてのエンタープライズコントロールに対して、このタスクを繰り返します。
### エンタープライズコントロールが標準コントロールにマッピングされている場合
この場合、ベンダーは最新の利用可能な標準コントロールを含む新しいカスタムフレームワークを作成し、この新しいフレームワークを使用して新しい評価を作成する必要があります。新しい評価を作成したら、古い評価を非アクティブとしてマークします。
#### 手順
**マッピングできる最新の標準コントロールを見つけるには**
手順に従って、Audit Manager で[使用可能な標準コントロールを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。
**カスタムフレームワークを作成し、最新の標準コントロールを追加するには**
手順に従って、Audit Manager で[カスタムフレームワークを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)します。
フレームワーク作成ワークフローのステップ 2 でコントロールセットを指定する際は、新しい標準コントロールを含めます。
**評価を作成するには**
GRC アプリケーションで評価を作成します。
**評価のステータスを非アクティブに変更するには**
手順に従って、Audit Manager で[評価のステータスを変更](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)します。
## ステップ 5: 評価を作成する
**このステップを完了するユーザー**
GRC アプリケーション、ベンダーからの入力
**必要な作業**
お客様は Audit Manager で直接評価を作成する必要はありません。GRC アプリケーションで特定のコントロールの評価を開始すると、GRC アプリケーションは Audit Manager で対応するリソースを作成します。まず、GRC アプリケーションは、作成したマッピングを使用して、関連する Audit Manager コントロールを識別します。次に、コントロール情報を使用してカスタムフレームワークを作成します。最後に、新しく作成されたカスタムフレームワークを使用して Audit Manager で評価を作成します。
Audit Manager で評価を作成するには、[スコープ](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts)も必要です。このスコープは、顧客が評価を実行し、証拠を収集する AWS アカウント のリストを取得します。お客様は、GRC アプリケーションでこのスコープを直接定義する必要があります。
ベンダーは、GRC アプリケーションで開始された評価にマッピングされた `assessmentId` を保存する必要があります。この `assessmentId` は、Audit Manager から証拠を取得するために必要です。
**評価 ID を検索するには**
1. Audit Manager で評価を見るには、[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html) 操作を使用します。[ステータス](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status)パラメータを使用して、アクティブな評価を表示できます。
```
aws auditmanager list-assessments --status ACTIVE
```
1. レスポンスで、GRC アプリケーションに保存したい評価を特定し、`assessmentId` をメモします。
## ステップ 6. 証拠の収集を開始する
**このステップを完了するユーザー**
AWS Audit Manager、ベンダーからの入力
**必要な作業**
評価を作成した後、証拠の収集を開始するまでに最大 24 時間かかります。この時点で、エンタープライズコントロールは Audit Manager 評価の証拠を収集しています。
Audit Manager で証拠をすばやくクエリして見つけるには、[証拠ファインダー](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html)機能を使用することをお勧めします。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。
**証拠ファインダーを有効にするには**
+ 手順に従って、Audit Manager 設定で[証拠ファインダーを有効化](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html)します。
証拠ファインダーを有効にしたら、Audit Manager から評価用の証拠を取得する頻度を決定できます。評価で特定のコントロールの証拠を取得し、エンタープライズコントロールにマッピングされた GRC アプリケーションに証拠を保存することもできます。以下の Audit Manager API オペレーションを使用して証拠を取得できます。
+ [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html)
+ [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html)
+ [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html)
+ [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html)
+ [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html)
## 料金
この統合セットアップには、ベンダーかお客様かにかかわらず、追加料金は発生しません。Audit Manager で収集された証拠については、お客様に課金されます。料金の詳細については、「[AWS Audit Manager 料金表](https://aws.amazon.com/audit-manager/pricing/)」を参照してください。
## その他のリソース
このチュートリアルで紹介されている概念の詳細については、以下のリソースを参照してください。
+ [評価](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html) – 評価を管理するための概念とタスクについて説明します。
+ [コントロールライブラリ](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html) – カスタムコントロールを管理するための概念とタスクについて説明します。
+ [フレームワークライブラリ](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html) – カスタムフレームワークを管理するための概念とタスクについて説明します。
+ [証拠ファインダー](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) - クエリ結果からの CSV ファイルのエクスポート、評価レポートの生成方法について説明します。
+ [ダウンロードセンター](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html) - Audit Manager から評価レポートと CSV エクスポートをダウンロードする方法について説明します。