翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# とは AWS Audit Manager
<a name="what-is"></a>



 AWS Audit Manager ユーザーガイドへようこそ。

AWS Audit Manager は、リスクの管理方法と規制や業界標準への準拠を簡素化するために、 AWS 使用状況を継続的に監査するのに役立ちます。Audit Manager は証拠収集を自動化するため、ポリシー、手順、およびアクティビティ (*コントロール*とも呼びます) が効果的に機能しているかどうかをより簡単に評価できます。監査の時期において、Audit Manager は、コントロールのステークホルダーのレビューを管理するのに役立ちます。これは、労力を大幅に抑えながら、監査対応のレポートを作成できることを意味します。

Audit Manager は、特定のコンプライアンス標準または規制の評価を構造化および自動化する、事前に構築されたフレームワークを提供します。フレームワークには、説明とテスト手順を含む、構築済みのコントロールのコレクションが含まれています。これらのコントロールは、指定されたコンプライアンス標準または規制の要件に従ってグループ化されています。フレームワークとコントロールをカスタマイズして、特定の要件に従って内部監査をサポートすることもできます。

フレームワークから評価を作成できます。評価を作成すると、Audit Manager はリソース評価を自動的に実行します。これらの評価は、監査の範囲として定義した AWS アカウント のデータを収集します。収集されたデータは、監査に適した証拠となるように自動的に変換されます。その後、それらの証拠は関連するコントロールにアタッチされます。これは、セキュリティ、変更管理、ビジネス継続性、およびソフトウェアライセンスのコンプライアンスを実証するのに役立ちます。この証拠収集プロセスは継続的なものであり、評価を作成したときに開始されます。監査が完了し、Audit Manager を使用して証拠を収集する必要がなくなったら、証拠の収集を停止できます。これを行うには、評価のステータスを *[inactive]* (非アクティブ) に変更します。

## Audit Manager の機能 Manager の機能
<a name="features"></a>

では AWS Audit Manager、次のタスクを実行できます。
+ **すぐに開始する** - さまざまなコンプライアンス標準と規制をサポートする構築済みのフレームワークのギャラリーから選択して、[最初の評価を作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html)します。次に、自動証拠収集を開始して AWS のサービス 使用状況を監査します。
+ **ハイブリッド環境またはマルチクラウド環境からの証拠のアップロードと管理** — Audit Manager がお客様の AWS 環境から収集する証拠に加えて、オンプレミスまたはマルチクラウド環境から証拠を[アップロード](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)して一元管理することもできます。
+ **一般的なコンプライアンス標準および規制をサポートする** - [AWS Audit Manager 標準フレームワーク](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-overviews.html)のいずれかを選択します。これらのフレームワークは、一般的なコンプライアンス標準および規制のための構築済みコントロールマッピングを提供します。これには、CIS Foundation Benchmark、PCI DSS、GDPR、HIPAA、SOC2、GxP、 AWS 運用のベストプラクティスが含まれます。
+ **アクティブな評価をモニタリングする** - Audit Manager [ダッシュボード](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)を使用して、アクティブな評価の分析データを表示し、是正が必要な非準拠の証拠を迅速に特定します。
+ **証拠の検索** — [証拠ファインダー](evidence-finder.md) 機能を使用して、検索クエリに関連する証拠をすばやく見つけることができます。検索結果から評価レポートを生成したり、検索結果を CSV 形式でエクスポートしたりできます。
+ **カスタムコントロールの作成** — [独自のコントロールを最初から作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html)するか、[既存の標準コントロールまたはカスタムコントロールの編集可能なコピーを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-existing.html)します。また、カスタム統制機能を使用してリスク評価用の質問を作成し、それらの質問への回答を手作業による証拠として保存することもできます。
+ **エンタープライズコントロールを AWS データソースの事前定義されたグループにマッピングする** — 目標を表す一般的なコントロールを選択し、それを使用してコンプライアンスニーズのポートフォリオの証拠を収集する[カスタムコントロールを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html)します。
+ **カスタムフレームワークを作成する** - 内部監査の特定の要件に基づいて、標準またはカスタムのコントロールを使用して[独自のフレームワークを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/custom-frameworks.html)します。
+ **カスタムフレームワークを共有する** —[ カスタム Audit Manager フレームワークを](https://docs.aws.amazon.com/audit-manager/latest/userguide/share-custom-framework.html)別の と共有するか AWS アカウント、自分のアカウント AWS リージョン で別の にレプリケートします。
+ **チーム間のコラボレーションをサポートする** - 関連する証拠をレビューし、コメントを追加し、各コントロールのステータスを更新できる内容領域専門家に[コントロールセットを委任](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate-for-audit-owners.html)します。
+ **監査人用にレポートを作成する** - 監査のために収集された関連する証拠を要約し、詳細な証拠を含むフォルダにリンクする[評価レポートを生成](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report.html)します。
+ **証拠の完全性を確保する** - 変更されることのない、安全な場所に[証拠を保管](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-destination.html)します。

**注記**  
AWS Audit Manager は、特定のコンプライアンス標準および規制への準拠の検証に関連する証拠の収集を支援します。ただし、コンプライアンス自体を評価するものではありません。 AWS Audit Manager したがって、 によって収集された証拠には、監査に必要な AWS 使用状況に関するすべての情報が含まれていない場合があります。 AWS Audit Manager は、法律顧問やコンプライアンスの専門家に代わるものではありません。  
 

## Audit Manager の価格
<a name="pricing"></a>

料金の詳細については、「[AWS Audit Manager 料金](https://aws.amazon.com/audit-manager/pricing/)」を参照してください。

## Audit Manager を初めてお使いになる方向けの情報
<a name="first-time-user"></a>

Audit Manager を初めて使用する場合は、次のページから開始することをお勧めします。

1. [AWS Audit Manager 概念と用語を理解する](concepts.md) – 評価、フレームワーク、コントロールなど、Audit Manager で使用される主要な概念と用語について説明します。

1. [が証拠を AWS Audit Manager 収集する方法を理解する](how-evidence-is-collected.md) - Audit Manager がリソース評価のために証拠を収集する方法について説明します。

1. [推奨設定 AWS Audit Manager を使用した のセットアップ](setting-up.md) – Audit Manager の設定要件について説明します。

1. [の開始方法 AWS Audit Manager](getting-started.md) – チュートリアルに従って、最初の Audit Manager の評価を作成します。

1. [AWS Audit Manager API リファレンス](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html) – Audit Manager API アクションとデータ型を理解します。

## 関連 AWS のサービス
<a name="related-services"></a>

AWS Audit Manager は複数の と統合 AWS のサービス され、評価レポートに含めることができる証拠を自動的に収集します。

**AWS Security Hub CSPM**  
AWS Security Hub CSPM は、 AWS ベストプラクティスと業界標準に基づく自動セキュリティチェックを使用して環境をモニタリングします。Audit Manager は、Security Hub CSPM から直接セキュリティチェックの結果を報告することで、リソースセキュリティ体制のスナップショットをキャプチャします。Security Hub CSPM の詳細については、*AWS Security Hub CSPM 「 ユーザーガイド*」の[「What is AWS Security Hub CSPM?](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)」を参照してください。

**AWS CloudTrail**  
AWS CloudTrail は、アカウントの AWS リソースに対する呼び出しをモニタリングするのに役立ちます。これには、 AWS マネジメントコンソール、 AWS CLI などの呼び出しが含まれます AWS のサービス。Audit Manager は CloudTrail からログデータを直接収集し、処理されたログをユーザーアクティビティの証拠に変換します。CloudTrail の詳細については、*AWS CloudTrail 「 ユーザーガイド*」の[「What is AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」を参照してください。

**AWS Config**  
AWS Config は、 内の AWS リソースの設定の詳細ビューを提供します AWS アカウント。これには、リソースが相互にどのように関連しているか、およびリソースが過去にどのように構成されているかに関する情報が含まれます。Audit Manager は、検出結果を直接レポートすることで、リソースセキュリティ体制のスナップショットをキャプチャします AWS Config。詳細については AWS Config、 *AWS Config ユーザーガイド*の[「 とは AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)」を参照してください。

**AWS License Manager**  
AWS License Manager は、ソフトウェアベンダーライセンスをクラウドに持ち込むプロセスを合理化します。クラウドインフラストラクチャを構築する際 AWS、クラウドリソースで使用する既存のライセンスインベントリを再利用することで、コストを削減できます。Audit Manager は、監査の準備を支援する License Manager フレームワークを提供します。フレームワークは License Manager と統合されており、お客様が定義したライセンスルールに基づいてライセンス使用情報を集約します。License Manager の詳細については、*AWS License Manager 「 ユーザーガイド*」の[「What is AWS License Manager?](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html)」を参照してください。

**AWS Control Tower**  
AWS Control Tower は、クラウドインフラストラクチャに予防的ガードレールと検出的ガードレールを適用します。Audit Manager AWS Control Tower には、監査の準備に役立つ Guardrails フレームワークが用意されています。このフレームワークには、ガードレールに基づくすべての AWS Config ルールが含まれています AWS Control Tower。詳細については AWS Control Tower、「 *AWS Control Tower ユーザーガイド*」の[「What is AWS Control Tower?](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)」を参照してください。

**AWS Artifact**  
AWS Artifact は、 AWS Infrastructures のコンプライアンスドキュメントと証明書へのオンデマンドアクセスを提供するセルフサービスの監査アーティファクト取得ポータルです。 は、 AWS クラウドインフラストラクチャがコンプライアンス要件を満たしていることを証明する証拠 AWS Artifact を提供します。対照的に、 の使用 AWS のサービス が準拠していることを示す証拠を AWS Audit Manager 収集、レビュー、管理できます。詳細については AWS Artifact、 *AWS Artifact ユーザーガイド*の[「 とは AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)」を参照してください。[AWS レポートのリスト](https://console.aws.amazon.com/artifact/reports)は、 でダウンロードできます AWS マネジメントコンソール。

**Amazon EventBridge**  
Amazon EventBridge を使用すると、 を自動化 AWS のサービス し、アプリケーションの可用性の問題やリソースの変更などのシステムイベントに自動的に対応できます。EventBridge を使用して、 Audit Managerイベントを検出し、それらに対応することができます。作成したルールに基づいて、ルールで指定した値とイベントが一致すると、EventBridge で 1 つ以上のターゲットアクションが呼び出されます。詳細については、「[Amazon EventBridge AWS Audit Manager によるモニタリング](automating-with-eventbridge.md)」を参照してください。

特定のコンプライアンスプログラム AWS のサービス の対象となる のリストについては、[AWS のサービス 「コンプライアンスプログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。一般的な情報については、「[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。

## Audit Manager のその他のリソース
<a name="more-resources"></a>

Audit Manager の詳細については、以下のリソースを参照してください。
+ 動画: を使用して証拠を収集し、監査データを管理する AWS Audit Manager  
[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/G4yRj4nLwFI/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/G4yRj4nLwFI)
+  [3 行モデル全体で統合する (パート 2): AWS Config 管理とガバナンスブログのコンフォーマンスパックを AWS Audit Manager 評価に変換](https://aws.amazon.com/blogs/mt/integrate-across-the-three-lines-model-part-2-transform-aws-config-conformance-packs-into-aws-audit-manager-assessments/)する *AWS * 

# AWS Audit Manager 概念と用語を理解する
<a name="concepts"></a>



使用を開始するのに役立つように、このページでは用語を定義し、 AWS Audit Managerの主要な概念のいくつかを説明します。

## A
<a name="auditmanager-concepts-A"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

** 評価**  
Audit Manager の評価を使用して、監査に関連する証拠を自動的に収集できます。  
評価は、監査に関連するコントロールのグループであるフレームワークに基づいています。標準またはカスタムのフレームワークから評価を作成できます。標準フレームワークには、特定のコンプライアンス標準または規制をサポートする構築済みのコントロールセットが含まれています。対照的に、カスタムフレームワークには、特定の監査の要件に従ってカスタマイズおよびグループ化できるコントロールが含まれています。フレームワークを出発点として使用して、監査の範囲に含める AWS アカウント を指定する評価を作成できます。  
評価を作成すると、Audit Manager はフレームワークで定義されているコントロール AWS アカウント に基づいて、 内のリソースの評価を自動的に開始します。次に、関連する証拠を収集し、監査人が確認しやすい形式に変換します。これを行った後、評価のコントロールに証拠をアタッチします。監査の時間になると、ユーザー (または任意の受任者) は収集された証拠をレビューし、それらの証拠を評価レポートに追加できます。この評価レポートは、コントロールが意図したとおりに機能していることを実証するのに役立ちます。  
証拠の収集は、評価を作成したときに開始される継続的なプロセスです。評価ステータスを *[inactive]* (非アクティブ) に変更することで、証拠の収集を停止できます。または、コントロールレベルで証拠の収集を停止することもできます。これを実行するには、評価内の特定のコントロールのステータスを *[inactive]* (非アクティブ) に変更します。  
評価を作成および管理する方法については、「[での評価の管理 AWS Audit Manager](assessments.md)」を参照してください。

**評価レポート**  
評価レポートは、 Audit Manager の評価から生成された確定ドキュメントです。これらのレポートは、監査のために収集された関連する証拠を要約したものです。それらのレポートは、関連する証拠のフォルダにリンクしています。フォルダは、評価で指定されたコントロールに従って名前が付けられ、編成されています。各評価について、Audit Manager が収集した証拠をレビューし、評価レポートに含める証拠を決定できます。  
評価レポートの詳細については、「[評価レポート](assessment-reports.md)」を参照してください。評価レポートを生成する方法については、「[での評価レポートの準備 AWS Audit Manager](generate-assessment-report.md)」を参照してください。

** 評価レポートの宛先**  
評価レポートの送信先は、Audit Manager が評価レポートを保存するデフォルトの S3 バケットです。詳細については[デフォルトの評価レポートの送信先の設定](settings-destination.md)を参照してください。

** 監査**  
監査とは、組織の資産、オペレーション、または事業上の誠実さを独立して調べることをいいます。情報技術 (IT) 監査は、組織の情報システム内のコントロールを集中的に調べるものです。IT 監査の目的は、情報システムがアセットを保護し、効果的に運用されており、データの完全性を維持しているかどうかを確認することにあります。これらはすべて、コンプライアンス標準または規制によって義務付けられている規制要件を満たすために重要です。

**監査所有者**  
*監査所有者*という用語には、文脈に応じて 2 つの異なる意味があります。  
Audit Manager において、監査所有者とは、評価とその関連リソースを管理する IAM ユーザーまたはロールです。この Audit Manager のペルソナの責任には、評価の作成、証拠のレビュー、および評価レポートの生成が含まれます。Audit Manager はコラボレーションが可能なサービスであり、監査所有者は、他のステークホルダーが評価に参加する際にそのメリットを享受できます。例えば、他の監査所有者を評価に追加して、管理タスクを共有できます。または、ユーザーが監査所有者であり、コントロールのために収集された証拠の解釈についてサポートが必要な場合は、その分野における内容領域専門家であるステークホルダーに[そのコントロールセットを委任](https://docs.aws.amazon.com/audit-manager/latest/userguide/delegate.html)できます。このような担当者は、*受任者*ペルソナとして知られています。  
ビジネス用語では、監査所有者は、会社の監査準備に向けた取り組みを調整および監督し、監査人に証拠を提示する担当者をいいます。通常、これは、コンプライアンスオフィサーや GDPR データ保護オフィサーなどのガバナンス、リスク、およびコンプライアンス (GRC) の専門家です。GRC の専門家は、監査に向けた準備を管理するための専門知識と権限を有しています。より具体的には、これらの専門家はコンプライアンス要件を理解しており、レポートデータを分析、解釈、および準備できます。ただし、GRC の専門家だけがこの役割を担うのではなく、ビジネスにおける他の役割も監査所有者の Audit Manager のペルソナを引き受けることができます。例えば、次のいずれかのチームの技術エキスパートに Audit Manager の評価を設定および管理させることもできます。  
+ SecOps
+ IT/DevOps 
+ セキュリティオペレーションセンター/インシデント対応
+ クラウドアセットを所有、開発、修復、およびデプロイし、組織のクラウドインフラストラクチャを理解している同様のチーム
Audit Manager の評価で監査所有者として誰を割り当てるかは、組織によって大きく異なります。また、セキュリティオペレーションをどのように構成するか、および監査の詳細によっても異なります。Audit Manager では、同じ個人がある評価で監査所有者のペルソナを引き受け、別の評価で委任ペルソナを引き受けることができます。  
Audit Manager の使用方法にかかわらず、監査所有者/委任ペルソナを使用し、各ユーザーに特定の IAM ポリシーを付与することで、組織全体の職務の分離を管理できます。この 2 段階のアプローチにより、Audit Manager は、個々の評価のあらゆる詳細を完全にコントロールできるようにします。詳細については、「[のユーザーペルソナに推奨されるポリシー AWS Audit Manager](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-personas)」を参照してください。

** AWS マネージドソース**  
 AWS マネージドソースは、 が AWS 管理する証拠ソースです。  
各 AWS マネージドソースは、特定の一般的なコントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループです。一般的なコントロールを証拠ソースとして使用すると、その一般的なコントロールをサポートするすべてのコアコントロールの証拠が自動的に収集されます。個々のコアコントロールを証拠ソースとして使用することもできます。  
 AWS マネージドソースが更新されるたびに、その AWS マネージドソースを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。つまり、カスタムコントロールは証拠ソースの最新の定義に照らして証拠を収集します。これにより、クラウドコンプライアンス環境の変化に応じて継続的なコンプライアンスを確保できます。  
「[](#customer-managed-source)」、「[](#evidence-source)」も参照してください。

## C
<a name="auditmanager-concepts-C"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

** 変更ログ**  
各評価内のコントロールに対して、Audit Manager はそのコントロールに対するユーザー アクティビティを追跡します。その後、特定のコントロールに関連するアクティビティの監査証跡を確認できます。changelog にキャプチャされるユーザーアクティビティの詳細については、「[Changelog タブ](review-controls.md#review-changelog)」を参照してください。

**クラウドコンプライアンス**  
クラウドコンプライアンスは、クラウドをご利用のお客様が従わなければならない標準に、クラウドで提供されるシステムが準拠している必要があるという一般原則です。

**一般的なコントロール**  
「[](#control)」を参照してください。

**コンプライアンス規制**  
コンプライアンス規制は、通常は行動を規制するために、当局によって規定される法令、規則、または他の命令です。1 つの例は GDPR です。

** コンプライアンス標準**  
コンプライアンス標準は、組織のプロセスを詳述する一連の構造化されたガイドラインであり、確立された規制、仕様、または法律に従って維持することを目的としています。PCI DSS、HIPAA はその一例です。

** コントロール**  
統制とは、情報システムまたは組織に規定されている保護手段または対策です。コントロールは、情報の機密性、完全性、可用性を保護し、定義された一連の要件を満たすように設計されています。これは、リソースが意図したとおりに動作し、データが信頼でき、組織が適用される法律や規制を遵守していることを保証します。  
Audit Manager では、統制はベンダーリスク評価アンケート内の質問を表すこともできます。この場合、統制とは、組織のセキュリティとコンプライアンス体制に関する情報を尋ねる具体的な質問です。  
統制部門は、Audit Manager の評価で有効になっているときに、継続的に証拠を収集します。任意のコントロールに証拠を手動で追加することもできます。それぞれの証拠は、コントロールの要件への準拠を実証する際に役立つ記録となります。  
Audit Manager には、以下のタイプのコントロールが用意されています。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/concepts.html)

**コントロールドメイン**  
コントロールドメインは、特定のコンプライアンス標準に固有ではないコントロールのカテゴリと考えることができます。コントロールドメインの例として、*データ保護*が挙げられます。  
コントロールは、多くの場合、単純に整理する目的でドメイン別にグループ化されます。各ドメインには複数の目的があります。  
コントロールドメインのグループ化は、[Audit Manager のダッシュボード](https://docs.aws.amazon.com/audit-manager/latest/userguide/dashboard.html)の最も強力な機能の 1 つです。Audit Manager は、非準拠の証拠がある評価のコントロールを強調表示し、コントロールドメインごとにグループ化します。これにより、監査に向けて準備する際に、特定の対象ドメインの是正に集中的に取り組むことができます。

**コントロールの目的**  
コントロールの目的は、同じコントロールの目的を持つ一般的なコントロールの目標を示します。各目的には、複数の一般的なコントロールを含めることができます。これらの一般的なコントロールが正常に実装されると、目的を達成するのに役立ちます。  
それぞれのコントロールの目的は、コントロールドメインに分類されます。例えば、*データ保護*コントロールドメインには、*データの分類と処理*という名前のコントロールの目的がある場合があります。このコントロール目的をサポートするために、*アクセスコントロール*と呼ばれる一般的なコントロールを使用して、リソースへの不正アクセスをモニタリングおよび検出できます。

** コアコントロール**  
「[](#control)」を参照してください。

** カスタムコントロール**  
「[](#control)」を参照してください。

** カスタマーマネージドソース**  
カスタマーマネージドソースは、ユーザーが定義した証拠ソースです。  
Audit Manager でカスタムコントロールを作成する際、このオプションを使用して独自の個別のデータソースを作成できます。これにより、カスタム AWS Config ルールなどのビジネス固有のリソースから自動証拠を柔軟に収集できます。カスタムコントロールに手動証拠を追加する場合に、このオプションを使用することもできます。  
カスタマーマネージドソースを使用する際は、作成したすべてのデータソースの管理責任はユーザーが負うことになります。  
「[](#aws-managed-source)」、「[](#evidence-source)」も参照してください。

## D
<a name="auditmanager-concepts-D"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

** データソース**  
Audit Manager は*データソース*を使用してコントロールの証拠を収集します。データソースには次のプロパティがあります。  
+ **データソースタイプ**は、Audit Manager がコントロールの証拠を収集するデータソースのタイプを定義します。
  + 自動証拠の場合、タイプは *AWS Security Hub CSPM*、*AWS Config、 AWS CloudTrail*、または *AWS API コール*になります。
  + 独自のエビデンスをアップロードする場合、タイプは*手動*です。
  + Audit Manager API は、データソースタイプを [sourceType](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceType) と呼びます。
+ **データソースマッピング**は、特定のデータソースタイプの証拠がどこから収集されるかを特定するキーワードです。
  + 例えば、これは CloudTrail イベント名または AWS Config ルールの名前である場合があります。
  + Audit Manager API は、データソースマッピングを [sourceKeyword](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_SourceKeyword.html) と呼びます。
+ **データソース名**は、データソースタイプとデータソースマッピングをペアにしたものです。
  + 標準コントロールの場合、Audit Manager にはデフォルト名が用意されています。
  + カスタムコントロールの場合、独自のデータソース名を指定できます。
  + Audit Manager API は、データソース名を [sourceName](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ControlMappingSource.html#auditmanager-Type-ControlMappingSource-sourceName) 名と呼びます。
1 つのコントロールに複数のデータソースタイプと複数のマッピングを含めることができます。たとえば、1 つのコントロールが複数のデータソースタイプ ( AWS Config や Security Hub CSPM など) から証拠を収集する場合があります。別のコントロールは、マッピング AWS Config として複数の AWS Config ルールを使用して、唯一のデータソースタイプとして を持つ場合があります。  
次の表は、自動化されたデータソースタイプの一覧と、対応するマッピングの例を示しています。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/concepts.html)

**受任者**  
代理人は、アクセス許可が制限された AWS Audit Manager ユーザーです。受任者は通常、専門的なレベルでビジネスまたは技術に関する知識を有しています。例えば、これらの専門知識は、データ保持ポリシー、トレーニングプラン、ネットワークインフラストラクチャ、または ID 管理に関するものである可能性があります。受任者は、監査所有者が自らの専門分野に属するコントロールに関して収集された証拠をレビューするのをサポートします。受任者は、コントロールセットとそれに関連する証拠のレビュー、コメントの追加、追加の証拠のアップロード、レビュー用に割り当てられた各コントロールのステータスの更新を行うことができます。  
監査所有者は、評価全体ではなく、特定のコントロールセットを委任者に割り当てます。その結果、代表者による評価へのアクセスが制限されます。コントロールセットを委任する方法については、「[での委任 AWS Audit Manager](delegate.md)」を参照してください。

## E
<a name="auditmanager-concepts-E"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

**証拠**  
証拠とは、統制の要件への準拠を証明するために必要な情報を含む記録です。証拠の一例として、ユーザーによって呼び出された変更アクティビティとシステム設定スナップショットを挙げることができます。  
Audit Manager の証拠には、主に自動と手動の証拠の 2 つのタイプがあります。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/concepts.html)
評価を作成すると、自動証拠収集が開始されます。これは継続的なプロセスであり、Audit Manager は、証拠タイプと基盤となるデータソースに応じてさまざまな頻度で証拠を収集します。詳細については、「[が証拠を AWS Audit Manager 収集する方法を理解する](how-evidence-is-collected.md)」を参照してください。  
評価で証拠をレビューする方法については、「[での証拠の確認 AWS Audit Manager](review-evidence.md)」を参照してください。

**証拠ソース**  
証拠ソースは、コントロールが証拠を収集する場所を定義します。これは、個々のデータソースでも、一般的なコントロールまたはコアコントロールにマッピングされるデータソースの事前定義されたグループでもかまいません。  
カスタムコントロールを作成する際は、 AWS マネージドソース、カスタマーマネージドソース、またはその両方から証拠を収集できます。  
 AWS マネージドソースを使用することをお勧めします。 AWS マネージドソースが更新されるたびに、これらのソースを使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。つまり、カスタムコントロールは常に証拠ソースの最新の定義に照らして証拠を収集します。これにより、クラウドコンプライアンス環境の変化に応じて継続的なコンプライアンスを確保できます。
「[](#aws-managed-source)」、「[](#customer-managed-source)」も参照してください。

** 証拠収集方法**  
コントロールが証拠を収集する方法は 2 つあります。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/concepts.html)
手動による証拠はどの自動統制にも添付できます。多くの場合、統制への完全な準拠を証明するには、自動化された証拠と手動の証拠を組み合わせる必要があります。Audit Manager は有用で関連性のある自動証拠を提供できますが、一部の自動証拠は部分的なコンプライアンスしか証明できない場合があります。この場合、Audit Manager が提供する自動証拠を独自の証拠で補足できます。  
例えば、次のようになります。  
+ [AWS 生成 AI ベストプラクティスフレームワーク v2](aws-generative-ai-best-practices.md) には、`Error analysis` と呼ばれるコントロールが含まれています。このコントロールでは、モデルの使用状況に誤りが検出された場合にそれを特定する必要があります。また、根本原因を理解して是正措置を講じるために、徹底的なエラー分析を行う必要があります。
+ このコントロールをサポートするために、Audit Manager は、評価が実行されている AWS アカウント に対して CloudWatch アラームが有効になっているかどうかを示す自動証拠を収集します。この証拠を利用して、アラームとチェックが正しく設定されていることを証明することで、統制に部分的に準拠していることを証明できます。
+ 完全なコンプライアンスを証明するには、自動証拠を手作業による証拠で補足できます。例えば、エラー分析プロセス、エスカレーションや報告の基準値、根本原因分析の結果を示すポリシーや手順をアップロードできます。この手作業による証拠を使用して、確立されたポリシーが実施されていること、および求められたときに是正措置が講じられたことを証明できます。
より詳細な例については、[「データソースが混在する場合の管理」](https://docs.aws.amazon.com/audit-manager/latest/userguide/examples-of-controls.html#mixed)を参照してください。

** エクスポート先**  
エクスポート先は、証拠ファインダーからエクスポートしたファイルを Audit Manager が保存するデフォルトの S3 バケットです。詳細については、「[証拠ファインダーのデフォルトのエクスポート先の設定](settings-export-destination.md)」を参照してください。

## F
<a name="auditmanager-concepts-F"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

** フレームワーク**  
Audit Manager フレームワークは、特定の標準またはリスクガバナンスの原則に関する評価を構造化および自動化するものです。これらのフレームワークには、構築済みコントロールまたはユーザー定義コントロールのコレクションが含まれており、 AWS リソースをこれらのコントロールの要件にマッピングするのに役立ちます。  
Audit Manager のフレームワークには 2 つのタイプがあります。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/concepts.html)
フレームワークを作成および管理する方法については、「[フレームワークライブラリを使用して でフレームワークを管理する AWS Audit Manager](framework-library.md)」を参照してください。  
AWS Audit Manager は、特定のコンプライアンス標準および規制への準拠の検証に関連する証拠の収集を支援します。ただし、コンプライアンス自体を評価するものではありません。 AWS Audit Manager したがって、 によって収集された証拠には、監査に必要な AWS 使用状況に関するすべての情報が含まれていない場合があります。 AWS Audit Manager は、法律顧問やコンプライアンスの専門家に代わるものではありません。

**フレームワークの共有**  
[でのカスタムフレームワークの共有 AWS Audit Manager](share-custom-framework.md) この機能を使用すると、カスタムフレームワークを AWS アカウント および リージョン間ですばやく共有できます。カスタムフレームワークを共有するには、*[共有リクエスト]* を作成します。受信者は、120 日以内にリクエストを承諾または拒否できます。承諾されると、Audit Manager は、フレームワークライブラリに共有されたカスタムフレームワークをレプリケートします。カスタムフレームワークをレプリケートすることに加えて、Audit Manager は、そのフレームワーク内に含まれているカスタムコントロールセットおよびコントロールもレプリケートします。これらのカスタムコントロールは、受信者のコントロールライブラリに追加されます。Audit Manager は、標準のフレームワークまたはコントロールをレプリケートしません。これは、これらのリソースが各アカウントとリージョンでデフォルトで既に利用可能であるためです。

## I
<a name="auditmanager-concepts-I"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

**決定的でない証拠**  
AWS Audit Manager 自動コンプライアンス評価が不可能な場合、 は証拠を未確定としてマークします。これは次の場合に発生します。  
+ キーデータソースである AWS Config または AWS Security Hub CSPMを有効にしていません。
+ 証拠は、API コール、ログ、 AWS CloudTrail または手動アップロードを介して AWS サービスから直接収集されます。
この証拠の自動評価メカニズムがない場合、 AWS Audit Manager は評価の詳細を提供できません。その結果、証拠は*未確定*としてマークされます。  
決定的でない証拠は失敗を示すものではありません。代わりに、証拠のコンプライアンスを手動で評価する必要があることを知らせます。

## R
<a name="auditmanager-concepts-R"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

** リソース**  
リソースは、監査で評価される物理的な資産または情報アセットです。 AWS リソースの例としては、Amazon EC2 インスタンス、Amazon RDS インスタンス、Amazon S3 バケット、Amazon VPC サブネットなどがあります。

**リソース評価**  
リソース評価は、個々のリソースを評価するプロセスです。この評価は、コントロールの要件に基づきます。評価がアクティブである間、は、評価の範囲内の個々のリソースごとにリソース評価を実行します。リソース評価では、次の一連のタスクが実行されます。  

1. リソース設定、イベントログ、検出結果などの証拠を収集する

1. 証拠を変換してコントロールにマッピングする

1. 完全性を保つために証拠の系統を保存および追跡する

** リソースコンプライアンス**  
資源コンプライアンスとは、コンプライアンスチェックの証拠を収集する際に評価された資源の評価状況を指します。  
Audit Manager は、 AWS Config と Security Hub CSPM をデータソースタイプとして使用するコントロールのコンプライアンスチェックの証拠を収集します。この証拠収集では、複数のリソースが評価される場合があります。その結果、1 つのコンプライアンスチェック証拠に 1 つ以上のリソースが含まれる可能性があります。  
証拠ファインダーの**リソースコンプライアンス**フィルターを使用して、リソースレベルでのコンプライアンスステータスを調べることができます。検索が完了すると、検索クエリに一致したリソースをプレビューできます。  
証拠ファインダーでは、リソースのコンプライアンス値として 3 つの値が指定できます。      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/concepts.html)

## S
<a name="auditmanager-concepts-S"></a>

 [A](#auditmanager-concepts-A) \$1 B \$1 [C](#auditmanager-concepts-C) \$1 [D](#auditmanager-concepts-D) [E](#auditmanager-concepts-E) \$1 [F](#auditmanager-concepts-F) \$1 \$1 G \$1 H \$1 [I](#auditmanager-concepts-I) \$1 J \$1 K \$1 L \$1 M \$1 N \$1 O \$1 P \$1 Q \$1 [R](#auditmanager-concepts-R) \$1 [S](#auditmanager-concepts-S) \$1 \$1 T \$1 U \$1 V \$1 W \$1 X \$1 Y \$1 Z 

** 対象サービス**  
Audit Manager AWS のサービス は、評価の対象となる を管理します。古い評価では、スコープ内のサービスを手動で指定していました。2024 年 6 月 4 日より後は、スコープ内のサービスを手動で指定または編集することはできません。  
*対象範囲内のサービス*とは、評価によって証拠 AWS のサービス が収集される です。サービスが評価のスコープ内にある場合、Audit Manager はそのサービスのリソースを評価します。リソースの例は下記のとおりです。  
+ Amazon EC2 インスタンス
+ S3 バケット
+ IAM ユーザーまたはロール
+ DynamoDB テーブル。
+ Amazon 仮想プライベートクラウド (VPC)、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL) の表などのネットワークコンポーネント
例えば、Amazon S3 がスコープ内のサービスの 1 つである場合、Audit Manager は S3 バケットに関する証拠を収集できます。収集される正確な証拠は、コントロールの [](#control-data-source) によって決まります。たとえば、データソースタイプが で AWS Config、データソースマッピングが AWS Config ルール ( など`s3-bucket-public-write-prohibited`) である場合、Audit Manager はそのルール評価の結果を証拠として収集します。  
スコープ内のサービスはデータソース*タイプとは異なることに注意してください。データソースタイプ*は、 AWS のサービス または別のものでもかまいません。詳細については、本ガイドの「トラブルシューティング」セクションの「[サービスの対象範囲とデータソースタイプにはどのような違いがありますか?](evidence-collection-issues.md#data-source-vs-service-in-scope)」を参照してください。**

** 標準コントロール**  
「[](#control)」を参照してください。

# が証拠を AWS Audit Manager 収集する方法を理解する
<a name="how-evidence-is-collected"></a>



の各アクティブな評価は、さまざまなデータソースから証拠 AWS Audit Manager を自動的に収集します。各評価では、証拠を収集する AWS アカウント Audit Manager を定義し、Audit Manager AWS のサービス が対象範囲内の証拠を管理します。これらのサービスおよびアカウントには、所有および使用する複数のリソースが含まれています。Audit Manager における証拠収集では、範囲内の各リソースが評価されます。これを*リソース評価*と呼びます。

次の手順は、Audit Manager が各リソース評価の証拠を収集する方法を説明するものです。

**1. データソースからのリソース評価**  
証拠収集を開始するために、Audit Manager はデータソースから範囲内のリソースを評価します。これは、設定スナップショット、関連するコンプライアンスチェックの結果、またはユーザーアクティビティをキャプチャすることによって実行されます。その後、分析を実行して、このデータがサポートするコントロールを判別します。その後、リソース評価の結果が保存され、証拠に変換されます。さまざまな証拠タイプの詳細については、このガイドの「**AWS Audit Manager の概念と用語」の「[](concepts.md#evidence)」を参照してください。

**2. 評価結果を証拠に変換する**  
リソース評価の結果には、そのリソースからキャプチャされた元のデータと、データがサポートするコントロールを示すメタデータの両方が含まれます。Audit Manager は、元のデータを監査人が確認しやすい形式に変換します。変換されたデータとメタデータは、コントロールにアタッチされる前に Audit Manager の証拠として保存されます。

**3. 関連するコントロールに証拠をアタッチする**  
Audit Manager は証拠のメタデータを読み取ります。その後、保存された証拠を評価内の関連するコントロールにアタッチします。アタッチされた証拠は、Audit Manager に表示されます。これで、リソース評価のサイクルが完了します。

**注記**  
コントロールの設定によっては、同じ証拠を、複数の Audit Manager の評価からの複数のコントロールにアタッチできる場合があります。同じ証拠が複数のコントロールにアタッチされている場合、Audit Manager はリソース評価を 1 回だけ実行します。これは、同じ証拠が収集されるのが 1 回のみであることによります。ただし、Audit Manager の評価における 1 つのコントロールには、複数のデータソースからの複数の証拠が含まれている場合があります。

## 証拠収集の頻度
<a name="frequency"></a>

証拠の収集は、評価を作成したときに開始される継続的なプロセスです。Audit Manager は、さまざまな頻度で複数のデータソースから証拠を収集します。その結果、証拠収集の頻度についてあらゆる場合に当てはまる答えはありません。証拠収集の頻度は、以下で説明するように、証拠タイプとそのデータソースに基づいています。
+ **コンプライアンスチェック** — Audit Manager はこの証拠タイプを AWS Security Hub CSPM および から収集します AWS Config。
  +  Security Hub CSPM の場合、証拠収集は Security Hub CSPM チェックのスケジュールに従います。Security Hub CSPM チェックのスケジュールの詳細については、*AWS Security Hub CSPM 「 ユーザーガイド*[」の「セキュリティチェックの実行スケジュール](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)」を参照してください。Audit Manager でサポートされている Security Hub CSPM チェックの詳細については、「」を参照してください[AWS Security Hub CSPM でサポートされているコントロール AWS Audit Manager](control-data-sources-ash.md)。
  + の場合 AWS Config、証拠収集は AWS Config ルールで定義されているトリガーに従います。 AWS Config ルールのトリガーの詳細については、*AWS Config ユーザーガイド*の「[トリガータイプ](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-trigger-types)」を参照してください。Audit Manager でサポートされている の詳細については、 AWS Config ルール 「」を参照してください[AWS Config ルール でサポートされる AWS Audit Manager](control-data-sources-config.md)。
  + AWS Audit Manager 自動コンプライアンス評価が不可能な場合、 は証拠を未確定としてマークします。これは AWS Security Hub CSPM、キーデータソースである AWS Config または を有効にしていない場合に発生します。また、API コール、 AWS CloudTrail ログ、または手動アップロードを介して サービスから直接 AWS 証拠が収集される場合にも発生します。この証拠の自動評価のメカニズムがない場合、 AWS Audit Manager は評価の詳細を指定できません。その結果、証拠は未確定としてマークされます。決定的でない証拠は失敗を示すものではありません。代わりに、証拠のコンプライアンスを手動で評価する必要があることを示します。
+ **ユーザーアクティビティ** — Audit Manager は、この証拠タイプ AWS CloudTrail を継続的に から収集します。この頻度は継続的です。これは、ユーザーアクティビティが 1 日のうち、いつでも発生する可能性があるためです。詳細については、「[AWS CloudTrail でサポートされているイベント名 AWS Audit Manager](control-data-sources-cloudtrail.md)」を参照してください。
+ **設定データ** — Audit Manager は、Amazon EC2、Amazon S3、IAM AWS のサービス などの別の への describe API コールを使用してこの証拠タイプを収集します。どの API アクションを呼び出すかを選択できます。また、Audit Manager で頻度を日次、週次、または月次として設定します。コントロールライブラリでコントロールを作成または編集するときに、この頻度を指定できます。コントロールを編集または作成する手順については、「[でコントロールライブラリを使用してコントロールを管理する AWS Audit Manager](control-library.md)」を参照してください。Audit Manager でサポートされている API コールの詳細については、「[AWS でサポートされている API コール AWS Audit Manager](control-data-sources-api.md)」を参照してください。

データソースの証拠収集の頻度にかかわらず、コントロールと評価がアクティブである限り、新しい証拠は自動的に収集されます。

# AWS Audit Manager コントロールの例
<a name="examples-of-controls"></a>



このページの例を確認して、 AWS Audit Managerでコントロールがどのように機能するかを確認できます。

Audit Manager では、コントロールは 4 つのデータソースタイプから証拠を自動的に収集できます。

1. **AWS CloudTrail** – CloudTrail ログからユーザーアクティビティをキャプチャし、ユーザーアクティビティの証拠としてインポートします。

1. **AWS Security Hub CSPM** – Security Hub CSPM から検出結果を収集し、コンプライアンスチェックの証拠としてインポートする

1. **AWS Config** – AWS Config からルール評価を収集し、コンプライアンスチェックの証拠としてインポートします。

1. **AWS API コール **– API コールからリソーススナップショットをキャプチャし、設定データ証拠としてインポートします。

一部のコントロールは、これらのデータソースの事前定義されたグループを使用して証拠を収集します。これらのデータソースのグループは、[AWS マネージドソース](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#aws-managed-source)と呼ばれます。各 AWS マネージドソースは、共通のコントロールまたはコアコントロールを表します。これらのマネージドソースを使用することで、[AWSの業界認定評価者](https://aws.amazon.com/professional-services/security-assurance-services/)によって検証および管理されている基盤データソースの関連グループに、コンプライアンス要件を効率的にマッピングすることができます。

このページの例は、コントロールが個々のデータソースタイプから証拠を収集する方法を示しています。これらの例を使用して、コントロールがどのように見えるか、Audit Manager がデータソースから証拠を収集する方法、およびコンプライアンスを実証するために実行できる次の手順について説明します。

**ヒント**  
Audit Manager で最適なエクスペリエンスを得るには、 AWS Config と Security Hub CSPM を有効にすることをお勧めします。これらのサービスを有効にすると、Audit Manager は Security Hub CSPM の検出結果と AWS Config ルール を使用して自動証拠を生成できます。  
[AWS Security Hub CSPMを有効にしたら](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)、必ず[すべてのセキュリティ標準を有効にし](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html#securityhub-standard-enable-console)、[統合検出結果の設定を有効にしてください](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings)。このステップにより、サポートされているすべてのコンプライアンス標準に関する検出結果を Audit Manager がインポートできるようになります。
[有効に AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)したら、関連する も[有効に AWS Config ルール](https://docs.aws.amazon.com/config/latest/developerguide/setting-up-aws-config-rules-with-console.html)するか[、監査に関連するコンプライアンス標準のコンフォーマンスパックをデプロイ](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-console.html)してください。このステップにより、Audit Manager は、有効に AWS Config ルール したサポートされているすべての の検出結果をインポートできます。

次のタイプのコントロールの各例を利用できます。

**Topics**
+ [をデータソースタイプ AWS Security Hub CSPM として使用する自動コントロール](#automated-security-hub)
+ [をデータソースタイプ AWS Config として使用する自動コントロール](#automated-config)
+ [AWS API コールをデータソースタイプとして使用する自動コントロール](#automated-api)
+ [をデータソースタイプ AWS CloudTrail として使用する自動コントロール](#automated-cloudtrail)
+ [手動コントロール](#manual)
+ [データソースタイプが混在するコントロール(自動および手動)](#mixed)

## をデータソースタイプ AWS Security Hub CSPM として使用する自動コントロール
<a name="automated-security-hub"></a>

この例では、 をデータソースタイプ AWS Security Hub CSPM として使用するコントロールを示しています。これは、[AWS Foundational Security Best Practices (FSBP) フレームワーク](https://docs.aws.amazon.com/audit-manager/latest/userguide/aws-foundational-security-best-practices.html)から取得した標準のコントロールです。Audit Manager はこのコントロールを使用して、 AWS 環境を FSBP 要件に合わせるのに役立つ証拠を生成します。

**コントロールの詳細の例**
+ **コントロール名** – `FSBP1-012: AWS Config should be enabled`
+ **コントロールセット** – `Config`。これは、設定管理に関連する FSBP コントロールのフレームワーク固有のグループです。
+ **証拠ソース** – 個別のデータソース
+ **データソースタイプ** – AWS Security Hub CSPM
+ **証拠タイプ** – コンプライアンスチェック

次の例では、このコントロールは FSBP フレームワークから作成された Audit Manager の評価内にあります。

![\[評価における Security Hub CSPM コントロールを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-example-automated_securityhub-console.png)


評価には統制状況が表示されます。また、このコントロールについてこれまでに収集された証拠の量も示します。ここから、レビューのためにコントロールセットを委任するか、自らレビューを完了できます。コントロール名を選択すると、そのコントロールの証拠を含め、詳細情報が記載された詳細のページが開きます。

**このコントロールの機能**  
このコントロールでは AWS Config 、Security Hub CSPM を使用するすべての AWS リージョン で が有効になっている必要があります。Audit Manager はこのコントロールを使用して、 を有効にしているかどうかを確認できます AWS Config。

**Audit Manager がこのコントロールの証拠を収集する方法**  
Audit Manager は、このコントロールの証拠を収集するために次の手順を実行します。

1. 各コントロールについて、Audit Manager は範囲内のリソースを評価します。これは、コントロールの設定で指定されたデータソースを使用して実行されます。この例では、 AWS Config 設定は リソースで、Security Hub CSPM はデータソースタイプです。Audit Manager は、特定の Security Hub CSPM チェック ([[Config.1]](https://docs.aws.amazon.com/securityhub/latest/userguide/config-controls.html#config-1)) の結果を検索します。

1. リソース評価の結果は保存され、監査人が確認しやすい証拠に変換されます。Audit Manager は、データソースタイプとして Security Hub CSPM を使用するコントロールの*コンプライアンスチェック*証拠を生成します。この証拠には、Security Hub CSPM から直接報告されたコンプライアンスチェックの結果が含まれています。

1. Audit Manager は、保存された証拠を、`FSBP1-012: AWS Config should be enabled` という名前の評価のコントロールにアタッチします。

**Audit Manager を使用してこのコントロールへの準拠を実証する方法**  
証拠がコントロールにアタッチされた後、ユーザー (または任意の受任者) は証拠をレビューして、是正が必要かどうかを確認できます。

この例では、Audit Manager が Security Hub CSPM からの*フェイル*ルールを表示する場合があります。これは、 を有効にしていない場合に発生する可能性があります AWS Config。この場合、 を有効にするという是正措置を取ることができます。これにより AWS Config、 AWS 環境を FSBP の要件に合わせることができます。

 AWS Config 設定がコントロールと一致したら、コントロールを*レビュー済み*としてマークし、評価レポートに証拠を追加します。その後、このレポートを監査人と共有して、コントロールが意図したとおりに機能していることを実証できます。

## をデータソースタイプ AWS Config として使用する自動コントロール
<a name="automated-config"></a>

この例では、 をデータソースタイプ AWS Config として使用するコントロールを示しています。これは、[AWS Control Tower ガードレール フレームワーク](https://docs.aws.amazon.com/audit-manager/latest/userguide/controltower.html)から取得した標準のコントロールです。Audit Manager はこのコントロールを使用して、環境を AWS Guardrail AWS Control Tower に合わせるのに役立つ証拠を生成します。

**コントロールの詳細の例**
+ **コントロール名** – `CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets`
+ **コントロールセット** – このコントロールは `Disallow public access` コントロールセットに属します。これは、アクセス管理に関連するコントロールのグループです。
+ **証拠ソース** – 個別のデータソース
+ **データソースタイプ** – AWS Config
+ **証拠タイプ** – コンプライアンスチェック

次の例では、このコントロールは Guardrails フレームワークから作成された Audit Manager AWS Control Tower の評価に表示されます。

![\[評価の AWS Config コントロールを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-example-automated_config-console.png)


評価には統制状況が表示されます。また、このコントロールについてこれまでに収集された証拠の量も示します。ここから、レビューのためにコントロールセットを委任するか、自らレビューを完了できます。コントロール名を選択すると、そのコントロールの証拠を含め、詳細情報が記載された詳細のページが開きます。

**このコントロールの機能**  
Audit Manager は、このコントロールを使用して、S3 バケットポリシーのアクセスレベルが AWS Control Tower 要件を満たさないほど寛大すぎるかどうかを確認できます。より具体的には、パブリックアクセスのブロックの設定、バケットポリシー、バケットアクセスコントロールリスト (ACL) をチェックして、バケットがパブリック書き込みアクセスを許可していないことを確認できます。

**Audit Manager がこのコントロールの証拠を収集する方法**  
Audit Manager は、このコントロールの証拠を収集するために次の手順を実行します。

1. 各コントロールについて、Audit Manager は、コントロールの設定で指定されたデータソースを使用して範囲内のリソースを評価します。この場合、S3 バケットがリソースであり、 AWS Config がデータソースタイプです。Audit Manager は、特定の AWS Config ルール ([s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html)) の結果を検索して、評価の範囲内にある各 S3 バケットの設定、ポリシー、ACL を評価します。

1. リソース評価の結果は保存され、監査人が確認しやすい証拠に変換されます。Audit Manager は、 をデータソースタイプ AWS Config として使用するコントロールの*コンプライアンスチェック*証拠を生成します。この証拠には、直接報告されたコンプライアンスチェックの結果が含まれています AWS Config。

1. Audit Manager は、保存された証拠を、`CT-4.1.2: 4.1.2 - Disallow public write access to S3 buckets` という名前の評価のコントロールにアタッチします。

**Audit Manager を使用してこのコントロールへの準拠を実証する方法**  
証拠がコントロールにアタッチされた後、ユーザー (または任意の受任者) は証拠をレビューして、是正が必要かどうかを確認できます。

この例では、Audit Manager は、S3 バケットが*非準拠*である AWS Config ことを示す のルールを表示する場合があります。これは、S3 バケットのいずれかにパブリックポリシーを制限しないパブリックアクセスのブロックの設定があり、使用中のポリシーがパブリック書き込みアクセスを許可している場合に発生する可能性があります。これを修正するには、パブリックアクセスのブロックの設定を更新して、パブリックポリシーを制限します。または、パブリック書き込みアクセスを許可しない別のバケットポリシーを使用できます。この是正措置は、環境を AWS AWS Control Tower 要件に合わせるのに役立ちます。

S3 バケットのアクセスレベルがコントロールと整合的であることを確認したら、コントロールを *[Reviewed]* (レビュー済み) としてマークし、評価レポートに証拠を追加できます。その後、このレポートを監査人と共有して、コントロールが意図したとおりに機能していることを実証できます。

## AWS API コールをデータソースタイプとして使用する自動コントロール
<a name="automated-api"></a>

この例は、 AWS API コールをデータソースタイプとして使用するカスタムコントロールを示しています。Audit Manager はこのコントロールを使用して、 AWS 環境を特定の要件に合わせるのに役立つ証拠を生成します。

**コントロールの詳細の例**
+ **コントロール名** – `Password Use`
+ **コントロールセット** – このコントロールは `Access Control` と呼ばれるコントロールセットに属します。これは、Identity and Access Management に関連するコントロールのグループです。
+ **証拠ソース** – 個別のデータソース
+ **データソースタイプ** – AWS API コール
+ **証拠タイプ** – 設定データ

次の例では、このコントロールはカスタム フレームワークから作成された Audit Manager 評価内にあります。

![\[評価内の API コントロールを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-example-automated_api-console.png)


評価には統制状況が表示されます。また、このコントロールについてこれまでに収集された証拠の量も示します。ここから、レビューのためにコントロールセットを委任するか、自らレビューを完了できます。コントロール名を選択すると、そのコントロールの証拠を含め、詳細情報が記載された詳細のページが開きます。

**このコントロールの機能**  
Audit Manager では、このカスタム コントロールを使用して、十分なアクセス コントロール ポリシーを確実に導入するのに役立ちます。このコントロールは、パスワードの選択と使用において適切なセキュリティ慣行に従うことをユーザーに要求します。Audit Manager は、評価の範囲内にある IAM プリンシパルのすべてのパスワードポリシーのリストを取得することにより、これを検証するのに役立ちます。

**Audit Manager がこのコントロールの証拠を収集する方法**  
Audit Manager は、このカスタムコントロールの証拠を収集するために次の手順を実行します。

1. 各コントロールについて、Audit Manager は、コントロールの設定で指定されたデータソースを使用して範囲内のリソースを評価します。この場合、IAM プリンシパルはリソースであり、 AWS API コールはデータソースタイプです。Audit Manager は、特定の IAM API コール ([GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)) の応答を検索します。その後、評価の範囲内にある AWS アカウント のパスワードポリシーを返します。

1. リソース評価の結果は保存され、監査人が確認しやすい証拠に変換されます。Audit Manager は、API コールをデータソースとして使用するコントロールの*設定データ*の証拠を生成します。この証拠には、API レスポンスからキャプチャされた元のデータと、データがサポートするコントロールを示す追加のメタデータが含まれています。

1. Audit Manager は、保存された証拠を、`Password Use` という名前の評価のカスタムコントロールにアタッチします。

**Audit Manager を使用してこのコントロールへの準拠を実証する方法**  
証拠がコントロールにアタッチされた後、ユーザー (または任意の受任者) は証拠をレビューして、それが十分であるかどうか、または是正が必要かどうかを確認できます。

この例では、証拠をレビューして、API コールからのレスポンスを確認できます。[GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html) レスポンスは、アカウントにおけるユーザーのパスワードについての複雑さの要件と必須のローテーション期間を記述します。この API レスポンスを証拠として使用して、評価の範囲内 AWS アカウント にある に十分なパスワードアクセスコントロールポリシーがあることを示すことができます。必要に応じて、コントロールにコメントを追加することで、これらのポリシーに関する追加のコメントを提供することもできます。

IAM プリンシパルのパスワードポリシーがコントロールと整合的であることを確認したら、コントロールをレビュー済みとしてマークし、評価レポートに証拠を追加できます。その後、このレポートを監査人と共有して、コントロールが意図したとおりに機能していることを実証できます。

## をデータソースタイプ AWS CloudTrail として使用する自動コントロール
<a name="automated-cloudtrail"></a>

この例では、 をデータソースタイプ AWS CloudTrail として使用するコントロールを示しています。これは、[HIPAA Security Rule 2003 フレームワーク](https://docs.aws.amazon.com/audit-manager/latest/userguide/HIPAA.html)から取得した標準のコントロールです。Audit Manager は、このコントロールを使用して、 AWS 環境を HIPAA 要件に合わせるのに役立つ証拠を生成します。

**コントロールの詳細の例**
+ **コントロール名** – `164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)`
+ **コントロールセット** – このコントロールは `Section 308` と呼ばれるコントロールセットに属します。これは、管理上の保護に関連する HIPAA コントロールのフレームワーク固有のグループです。
+ **証拠ソース** – AWS マネージドソース (コアコントロール)
+ **基盤データソースタイプ** – AWS CloudTrail
+ **証拠タイプ** – ユーザーアクティビティ

HIPAA フレームワークから作成された Audit Manager の評価内に表示されるこのコントロールは次のとおりです。

![\[評価内の CloudTrail コントロールを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-example-automated_cloudtrail-console.png)


評価には統制状況が表示されます。また、このコントロールについてこれまでに収集された証拠の量も示します。ここから、レビューのためにコントロールセットを委任するか、自らレビューを完了できます。コントロール名を選択すると、そのコントロールの証拠を含め、詳細情報が記載された詳細のページが開きます。

**このコントロールの機能**  
このコントロールでは、不正アクセスを検出するためのモニタリングが必要です。不正アクセスの例として、多要素認証 (MFA) を有効にしていないコンソールへのサインインが挙げられます。Audit Manager は、MFA が有効になっていない管理コンソールのサインインリクエストをモニタリングするように Amazon CloudWatch を設定した証拠を提供することで、このコントロールの検証に役立ちます。

**Audit Manager がこのコントロールの証拠を収集する方法**  
Audit Manager は、このコントロールの証拠を収集するために次の手順を実行します。

1. 各コントロールについて、Audit Manager は、コントロールの設定で指定された証拠ソースを使用して、スコープ内のリソースを評価します。ここでは、コントロールは証拠ソースとしていくつかのコアコントロールを使用します。

   各コアコントロールは、個々のデータソースのマネージドグループです。この例では、これらのコアコントロールの 1 つ (`Configure Amazon CloudWatch alarms to detect management console sign-in requests without MFA enabled`) が CloudTrail イベント (`monitoring_EnableAlarmActions`) を基盤データソースとして使用しています。

   Audit Manager は `monitoring_EnableAlarmActions` キーワードを使用し、CloudTrail によってログに記録されるアクションを有効にする CloudWatch アラームを探して、CloudTrail ログを確認します。その後、評価の範囲内にある関連イベントのログを返します。

1. リソース評価の結果は保存され、監査人が確認しやすい証拠に変換されます。Audit Manager は、CloudTrail をデータソースとして使用するコントロールのユーザーアクティビティの証拠を生成します。この証拠には、Amazon CloudWatch からキャプチャされた元のデータと、データがサポートするコントロールを示す追加のメタデータが含まれています。

1. Audit Manager は、保存された証拠を、`164.308(a)(5)(ii)(C): Administrative Safeguards - 164.308(a)(5)(ii)(C)` という名前の評価のコントロールにアタッチします。

**Audit Manager を使用してこのコントロールへの準拠を実証する方法**  
証拠がコントロールにアタッチされた後、ユーザー (または任意の受任者) は証拠をレビューして、是正が必要かどうかを確認できます。

この例では、証拠をレビューして、CloudTrail によってログに記録されたアラームを有効化するイベントを確認できます。このログを証拠として使用して、MFA を有効にせずにコンソールのサインインが発生したときを検出するのに十分なモニタリング手順があることを示すことができます。必要に応じて、コントロールにコメントを追加することで、追加のコメントを提供することもできます。例えば、MFA を使用しない複数のサインインがログに表示されている場合、問題の是正方法を説明するコメントを追加できます。コンソールサインインを定期的にモニタリングすることは、不一致や不適切なサインインの試行によって発生する可能性のあるセキュリティの問題を防ぐのに役立ちます。また、このベストプラクティスは、 AWS 環境を HIPAA 要件に合わせるのに役立ちます。

モニタリング手順がコントロールと整合的であることを確認したら、コントロールを *[Reviewed]* (レビュー済み) としてマークし、評価レポートに証拠を追加できます。その後、このレポートを監査人と共有して、コントロールが意図したとおりに機能していることを実証できます。

## 手動コントロール
<a name="manual"></a>

自動証拠収集をサポートしていないコントロールもあります。これには、クラウドで生成されない監視、インタビュー、および他のイベントに加えて、物理的な記録と署名のプロビジョニングに依拠するコントロールが含まれます。このような場合には、証拠を手動でアップロードして、コントロールの要件を満たしていることを実証できます。

この例では、[NIST 800-53 (Rev. 5) フレームワーク](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html) から取得した手動コントロールを示しています。Audit Manager を使用して、このコントロールのコンプライアンスを実証する証拠をアップロードおよび保存できます。

**コントロールの詳細の例**
+ **コントロール名** – `AT-4: Training Records`
+ **コントロールセット** – `(AT) Awareness and training`。これは、トレーニングに関連する NIST コントロールのフレームワーク固有のグループです。
+  **証拠ソース** – 個別のデータソース
+ **データソースタイプ** – 手動
+ **証拠タイプ** – 手動

NIST 800-53 (Rev. 5) Low-Moderate-High フレームワークから作成された Audit Manager の評価内に表示されるこのコントロールは次のとおりです。

![\[評価内のコントロールを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-example-manual-console.png)


評価には統制状況が表示されます。また、このコントロールについてこれまでに収集された証拠の量も示します。ここから、レビューのためにコントロールセットを委任するか、自らレビューを完了できます。コントロール名を選択すると、そのコントロールの証拠を含め、詳細情報が記載された詳細のページが開きます。

**このコントロールの機能**  
このコントロールを使用すると、適切なレベルのセキュリティおよびプライバシートレーニングを従業員が受けることを確実にすることができます。具体的には、ロールに基づいて、セキュリティとプライバシーのトレーニングアクティビティがすべての従業員に行われていることが文書化されていることを示すことができます。また、トレーニングレコードが従業員ごとに保管されている証拠を示すこともできます。

**このコントロールの証拠を手動でアップロードする方法**  
自動証拠を補完する手動証拠をアップロードするには、[「手動証拠のアップロード AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)」を参照してください。Audit Manager は、アップロードされた証拠を、`AT-4: Training Records` という名前の評価のコントロールにアタッチします。

**Audit Manager を使用してこのコントロールへの準拠を実証する方法**  
このコントロールをサポートするドキュメントがある場合は、手動証拠としてアップロードできます。例えば、人事部門が従業員に送信するロールベースの必須トレーニングの資料の最新のコピーをアップロードできます。

自動化されたコントロールの場合と同様に、証拠のレビュー (またはこの場合は提供) をサポートできるステークホルダーに手動コントロールを委任できます。例えば、このコントロールを確認すると、要件を部分的にしか満たしていないことに気付く場合があります。これは、対面トレーニングの出席記録のコピーがない場合に発生する可能性があります。HR のステークホルダーにコントロールを委任し、委任されたステークホルダーにトレーニングに参加したスタッフのリストをアップロードするよう依頼できます。

コントロールと整合的であることを確認したら、*[Reviewed]* (レビュー済み) としてマークし、評価レポートに証拠を追加できます。その後、このレポートを監査人と共有して、コントロールが意図したとおりに機能していることを実証できます。

## データソースタイプが混在するコントロール(自動および手動)
<a name="mixed"></a>

多くの場合、コントロールの要件を満たすには、自動証拠と手動証拠の組み合わせが必要です。Audit Manager は、コントロールに関連する自動証拠を提供できますが、ユーザー自身が識別してアップロードする手動証拠でこのデータを補足する必要がある場合があります。

この例は、手動証拠と自動証拠の組み合わせを使用するコントロールを示しています。これは、[NIST 800-53 (Rev. 5) フレームワーク](https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html)から取得した標準のコントロールです。Audit Manager は、このコントロールを使用して、 AWS 環境を NIST 要件に合わせるのに役立つ証拠を生成します。

**コントロールの詳細の例**
+ **コントロール名** – `Personnel Termination`
+ **コントロールセット** – `(PS) Personnel Security (10)`。これは、組織のシステムでハードウェアまたはソフトウェアのメンテナンスを実行する個人に関連する NIST コントロールのフレームワーク固有のグループです。
+ **証拠ソース** – AWS 管理 (コアコントロール) および個々のデータソース (手動)
+ **基盤となるデータソースタイプ** – AWS API コール、 AWS CloudTrail AWS Config、手動
+ **証拠タイプ** – 設定データ、ユーザーアクティビティ、コンプライアンスチェック、手動証拠

NIST 800-53 (Rev. 5) フレームワークから作成された Audit Manager の評価内に表示されるこのコントロールは次のとおりです。

![\[評価内のコントロールを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-example-mixed-console.png)


評価には統制状況が表示されます。また、このコントロールについてこれまでに収集された証拠の量も示します。ここから、レビューのためにコントロールセットを委任するか、自らレビューを完了できます。コントロール名を選択すると、そのコントロールの証拠を含め、詳細情報が記載された詳細のページが開きます。

**このコントロールの機能**  
このコントロールを使用して、従業員が解雇される際に、組織情報が保護されることを確認できます。具体的には、システムアクセスを無効にし、個人の認証情報を削除したことを示すことができます。さらに、退職したすべての個人が、組織に関連するセキュリティプロトコルの説明を含む退職面接に参加したことを実証できます。

**Audit Manager がこのコントロールの証拠を収集する方法**  
Audit Manager は、このコントロールの証拠を収集するために次の手順を実行します。

1. 各コントロールについて、Audit Manager は、コントロールの設定で指定された証拠ソースを使用して、スコープ内のリソースを評価します。

   ここでは、コントロールは証拠ソースとしていくつかのコアコントロールを使用します。次に、これらの各コアコントロールは、個々のデータソース (AWS API コール AWS CloudTrail、、) から関連する証拠を収集します AWS Config。Audit Manager は、これらのデータソースタイプを使用して、関連する API コール、CloudTrail イベント、および AWS Config ルールに対して IAM リソース (グループ、キー、ポリシーなど) を評価します。

1. リソース評価の結果は保存され、監査人が確認しやすい証拠に変換されます。この証拠には、各データソースからキャプチャされた元のデータと、データがサポートするコントロールを示す追加のメタデータが含まれています。

1. Audit Manager は、保存された証拠を、`Personnel Termination` という名前の評価のコントロールにアタッチします。

**このコントロールの証拠を手動でアップロードする方法**  
自動証拠を補完する手動証拠をアップロードするには、[「手動証拠のアップロード AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html)」を参照してください。Audit Manager は、アップロードされた証拠を、`Personnel Termination` という名前の評価のコントロールにアタッチします。

**Audit Manager を使用してこのコントロールへの準拠を実証する方法**  
証拠がコントロールにアタッチされた後、ユーザー (または任意の受任者) は証拠をレビューして、それが十分であるかどうか、または是正が必要かどうかを確認できます。例えば、このコントロールを確認すると、要件を部分的にしか満たしていないことに気付く場合があります。これは、アクセスが削除された証拠はあるが、退職面接の証拠がない場合に発生する可能性があります。HR のステークホルダーにコントロールを委任し、委任されたステークホルダーに退職面接の文書のコピーをアップロードするよう依頼できます。または、監査期間中に解雇された従業員がいない場合は、署名された文書がコントロールに添付されていない理由を明らかにするためのコメントを残すことができます。

コントロールと整合的であることを確認したら、コントロールを *[Reviewed]* (レビュー済み) としてマークし、評価レポートに証拠を追加します。その後、このレポートを監査人と共有して、コントロールが意図したとおりに機能していることを実証できます。

# の使用 AWS Audit Manager
<a name="using-auditmanager"></a>



特定のニーズや設定に応じて、さまざまなオプション AWS Audit Manager を通じて にアクセスできます。Audit Manager を操作するには、いくつかの方法があります。
+ **Audit Manager コンソール**

  [https://console.aws.amazon.com/auditmanager/home](https://console.aws.amazon.com/auditmanager/home) から直接 Audit Manager コンソールにアクセスできます。このコンソールには、監査と関連リソースを管理するための使いやすいインターフェイスが用意されています。
+ **Audit Manager API**

   Audit Manager API を使用して、プログラムで Audit Manager と通信することで、タスクを自動化し既存のワークフローに統合できます。詳細については、「[AWS Audit Manager APIリファレンス**](https://docs.aws.amazon.com/audit-manager/latest/APIReference/Welcome.html)」を参照してください。
+ **AWS SDK**

   AWS Software Development Kit (SDK) を使用して、プログラムで Audit Manager 通信することで、さまざまなプログラミング言語でコードを記述できます。詳細については、「[AWS SDK AWS Audit Manager での の使用](sdk-general-information-section.md)」を参照してください。
+ **AWS CloudFormation**

  を使用して Audit Manager リソースを作成します。これにより AWS CloudFormation、監査インフラストラクチャをコードとして定義してデプロイできます。詳細については、「[を使用した AWS Audit Manager リソースの作成 AWS CloudFormation](creating-resources-with-cloudformation.md)」を参照してください。
+ **サードパーティ統合**

  サポートされているサードパーティーのガバナンス、リスク、コンプライアンス (GRC) 製品と Audit Manager を統合することで、既存の GRC ツールとプロセスを活用できます。詳細については、「[サードパーティーの GRC 製品との統合](third-party-integration.md)」を参照してください。
+ **独自の GRC システムとの統合**

  Audit Manager の証拠を独自の GRC システムに組み込むことで、Audit Manager から GRC アプリケーションに直接証拠を送信できます。詳細については、「[Audit Manager の証拠を GRC システムに統合する](tutorial-for-grc-integration.md)」を参照してください。

# AWS SDK AWS Audit Manager での の使用
<a name="sdk-general-information-section"></a>



AWS Software Development Kit (SDKsは、多くの一般的なプログラミング言語で使用できます。各 SDK には、デベロッパーが好みの言語でアプリケーションを構築する際に使用できる API、コード例、およびドキュメントが提供されています。


| SDK ドキュメント | Audit Manager 固有のドキュメント | コードの例 | 
| --- | --- | --- | 
|  [AWS SDK for C\$1\$1](https://docs.aws.amazon.com/sdk-for-cpp)  |  [AWS SDK for C\$1\$1 Audit Manager の API リファレンス](https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-auditmanager/html/namespace_aws_1_1_audit_manager.html)  |  [AWS SDK for C\$1\$1 コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp)  | 
|  [AWS SDK for Go](https://docs.aws.amazon.com/sdk-for-go)  |  [AWS SDK for Go Audit Manager の API リファレンス](https://pkg.go.dev/github.com/aws/aws-sdk-go-v2/service/auditmanager)  |  [AWS SDK for Go コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/gov2)  | 
|  [AWS SDK for Java](https://docs.aws.amazon.com/sdk-for-java)  |  [AWS SDK for Java 2.x Audit Manager の API リファレンス](https://sdk.amazonaws.com/java/api/latest/software/amazon/awssdk/services/auditmanager/AuditManagerClient.html)  |  [AWS SDK for Java コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2)  | 
|  [AWS SDK for JavaScript](https://docs.aws.amazon.com/sdk-for-javascript)  |   [AWS SDK for JavaScript Audit Manager の API リファレンス](https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/AuditManager.html)  |  [AWS SDK for JavaScript コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3)  | 
|  [AWS SDK for .NET](https://docs.aws.amazon.com/sdk-for-net)  |  [AWS SDK for .NET Audit Manager の API リファレンス](https://docs.aws.amazon.com/sdkfornet/v3/apidocs/items/AuditManager/NAuditManager.html)  |  [AWS SDK for .NET コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3)  | 
|  [AWS SDK for PHP](https://docs.aws.amazon.com/sdk-for-php)  |  [AWS SDK for PHP Audit Manager の API リファレンス](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-auditmanager-2017-07-25.html)  |  [AWS SDK for PHP コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php)  | 
|  [AWS SDK for Python (Boto3)](https://docs.aws.amazon.com/pythonsdk)  |  [AWS SDK for Python (Boto) Audit Manager の API リファレンス](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/auditmanager.html)  |  [AWS SDK for Python (Boto3) コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python)  | 
|  [AWS SDK for Ruby](https://docs.aws.amazon.com/sdk-for-ruby)  |  [AWS SDK for Ruby Audit Manager の API リファレンス](https://docs.aws.amazon.com/sdk-for-ruby/v3/api/Aws/AuditManager.html)  |  [AWS SDK for Ruby コード例](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby)  | 

Audit Manager に固有の例については、[AWS SDKs](https://docs.aws.amazon.com/code-library/latest/ug/auditmanager_code_examples.html)」を参照してください。

**注記**  
Audit Manager は、の botocore バージョン 1.19.32 以降で AWS SDK for Python (Boto3)使用できます。SDK の使用を開始する前に、適切な botocore バージョンを使用していることを確認してください。

# を使用した AWS Audit Manager リソースの作成 AWS CloudFormation
<a name="creating-resources-with-cloudformation"></a>



AWS Audit Manager は と統合されています。これは AWS CloudFormation、 AWS リソースとインフラストラクチャの作成と管理に費やす時間を短縮できるように、リソースのモデル化とセットアップに役立つサービスです。必要なすべての AWS リソース (評価など) を記述するテンプレートを作成し、それらのリソースを CloudFormation プロビジョニングして設定します。

を使用すると CloudFormation、テンプレートを再利用して AWS Audit Manager リソースを一貫して繰り返しセットアップできます。リソースを一度記述し、複数の AWS アカウントとリージョンで同じリソースを何度もプロビジョニングします。

## AWS Audit Manager と CloudFormation テンプレート
<a name="working-with-templates"></a>

AWS Audit Manager および関連サービスのリソースをプロビジョニングして設定するには、[CloudFormation テンプレート](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html)について理解しておく必要があります。テンプレートは、JSON や YAML でフォーマットされたテキストファイルです。これらのテンプレートは、 CloudFormation スタックでプロビジョニングするリソースを記述します。JSON または YAML に慣れていない場合は、デザイナー を使用して CloudFormation CloudFormation テンプレートの使用を開始できます。詳細については、「*AWS CloudFormation ユーザーガイド*」の「[CloudFormation Designer とは](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/working-with-templates-cfn-designer.html)」を参照してください。

AWS Audit Manager は、 での評価の作成をサポートしています CloudFormation。これらのリソースの JSON テンプレートと YAML テンプレートの例を含む詳細については、*AWS CloudFormation ユーザーガイド*の「[AWS Audit Manager リソースタイプのリファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-auditmanager-assessment.html)」を参照してください。

## の詳細 CloudFormation
<a name="learn-more-cloudformation"></a>

詳細については CloudFormation、次のリソースを参照してください。
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS CloudFormation ユーザーガイド](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)
+ [CloudFormation API リファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/Welcome.html)
+ [AWS CloudFormation コマンドラインインターフェイスユーザーガイド](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html)

# サードパーティーの GRC 製品との統合
<a name="third-party-integration"></a>



AWS Audit Manager は、このページに記載されているサードパーティーパートナー GRC 製品との統合をサポートしています。

貴社がハイブリッドクラウドモデルまたはマルチクラウドモデルを使用している場合は、それらの環境からの証拠を管理するために GRC 製品を使用することが多いでしょう。その製品が Audit Manager と統合されると、 AWS 使用状況に関する証拠を GRC 環境に直接プルできます。これにより、監査の準備中に証拠を一元的に確認して修正できるようになり、コンプライアンスの管理が簡単になります。

Audit Manager から証拠を取り込むことができるサードパーティー GRC 製品の概要については、このページをお読みください。また、それらの製品内で直接実行できる Audit Manager API アクションのリファレンスも確認できます。

**Topics**
+ [Audit Manager でのサードパーティーインテグレーションの仕組みの理解](#understanding-grc-integrations)
+ [Audit Manager と統合するサードパーティー GRC パートナー製品](#supported-grc-integrations)

## Audit Manager でのサードパーティーインテグレーションの仕組みの理解
<a name="understanding-grc-integrations"></a>

GRC パートナーは、Audit Manager のパブリック API を使用して自社製品をAudit Manager と統合できます。この統合が完了すると、GRC 環境のエンタープライズコントロールを Audit Manager が提供する一般的なコントロールにマッピングできます。

**ヒント**  
エンタープライズコントロールを任意のタイプの [Audit Manager コントロール](https://docs.aws.amazon.com/audit-manager/latest/userguide/concepts.html#control) にマッピングできます。ただし、一般的なコントロールを使用することをお勧めします。目標を表す共通のコントロールにマッピングすると、Audit Manager は、 が管理するデータソースの事前定義されたグループから証拠を収集します AWS。つまり、どのデータソースが目標に関連する証拠を収集するかを知るために、 AWS のエキスパートである必要はありません。

この 1 回限りのコントロールマッピング演習を完了すると、GRC 製品でAudit Manager 評価を直接作成できます。このアクションにより、 AWS 使用状況に関する証拠の収集が開始されます。その後、この AWS 証拠とハイブリッド環境から収集された他の証拠を、すべてエンタープライズコントロールの同じコンテキスト内で確認できます。

Audit Manager をサードパーティーの GRC 製品と統合する場合は、次の点に注意してください。
+ 統合は、[Audit Manager がサポートされているすべてのAWS リージョン](https://docs.aws.amazon.com/general/latest/gr/audit-manager.html) で利用できます。
+ GRC パートナー製品で作成した Audit Manager リソースは、すべて Audit Manager にも反映されます。
+ サードパーティーの GRC [AWS Audit Manager 製品の価格](https://aws.amazon.com/audit-manager/pricing/)に加えて、価格設定も適用されます。
+ Audit Manager が収集する証拠は不変です。証拠は、サードパーティーの GRC 製品でも、Audit Manager コンソールに表示されるのとまったく同じ方法で表示されます。ただし、サードパーティーインテグレーションを使用する場合は、レポートにコンテキストを追加することで、この証拠を強化できる場合があります。
+ [Audit Manager に適用されるのと同じクォータ](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)がサードパーティーの GRC 製品にも適用されます。例えば、 AWS アカウント それぞれに最大 100 件のアクティブな Audit Manager アセスメントを設定できます。このアカウントレベルの割り当ては、評価を Audit Manager コンソールで作成するか、サードパーティーの GRC 製品で作成するかにかかわらず適用されます。ほとんどの Audit Manager クォータは、すべてではありませんが、Service Quotas コンソール AWS Audit Manager の名前空間に表示されます。クォータの引き上げをリクエストする方法については、「[Audit Manager のクォータの管理](service-quotas.md#managing-your-service-quotas)」を参照してください。

コンプライアンスソリューションをお持ちで、Audit Manager との統合に興味がある場合は、メールで `auditmanager-partners@amazon.com` にお問い合わせください。

## Audit Manager と統合するサードパーティー GRC パートナー製品
<a name="supported-grc-integrations"></a>

以下のサードパーティー製 GRC 製品は、Audit Manager から証拠を取り込むことができます。

### MetricStream
<a name="metricstream"></a>

このインテグレーションを利用するには、MetricStream に問い合わせて、[MetricStream](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title) GRC ソフトウェアへのアクセスと購入を依頼してください。

MetricStream プラットフォーム上に構築された MetricStream Enterprise GRC ソリューションは、企業全体の GRC アクティビティとプロセスへの包括的かつ協調的なアプローチを可能にします。Audit Manager から MetricStream に証拠を取り込むことで、 AWS 環境から非準拠の証拠をプロアクティブに特定し、オンプレミスデータソースやその他のクラウドパートナーからの証拠と一緒に確認できます。これにより、監査に備える際に、クラウドのセキュリティとコンプライアンス態勢を一元的に確認し、改善するための便利で一元的な方法が得られます。

MetricStream Audit Manager を統合すると、次の API オペレーションを実行できます。


| タスク | API オペレーション: | 
| --- | --- | 
| Audit Manager インテグレーションのセットアップ |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/third-party-integration.html)  | 
|  Audit Manager のリソースの確認 Manager のリソースの確認  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/third-party-integration.html)  | 
|  Audit Manager のリソースの作成  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/third-party-integration.html)  | 
|  Audit Manager のリソースの更新 Manager リソースの更新  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/third-party-integration.html)  | 
|  証拠の管理  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/third-party-integration.html)  | 
| Audit Manager のリソースの削除 Manager リソースの削除 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/third-party-integration.html)  | 

**関連メトリクス/ストリームリンク**
+ [AWS Marketplace link](https://aws.amazon.com/marketplace/pp/prodview-5ph5amfrrmyx4?qid=1616170904192&sr=0-1&ref_=srh_res_product_title)
+ [製品リンク](https://www.metricstream.com/products/cyber-grc.htm)
+ [製品の料金](https://info.metricstream.com/ms-pricing.html?Channel=ms-side-widget)

# Audit Manager の証拠を GRC システムに統合する
<a name="tutorial-for-grc-integration"></a>



エンタープライズのお客様は、他のクラウドベンダーやオンプレミス環境など、複数のデータセンターにリソースを持っている可能性があります。これらの環境から証拠を収集するため、MetricStream CyberGRC や RSA Archer などのサードパーティーの GRC (ガバナンス、リスク、コンプライアンス) ソリューションを使用する場合があります。または、社内で開発した独自の GRC システムを使用することもできます。

このチュートリアルでは、内部または外部の GRC システムを Audit Manager と統合する方法について説明します。この統合により、ベンダーは顧客の AWS 使用状況と設定に関する証拠を収集し、その証拠を Audit Manager から GRC アプリケーションに直接送信できます。これにより、複数の環境にわたるコンプライアンスレポートを一元化することができます。

このチュートリアルでは、以下の用語を使用します。

1. **ベンダー**とは、Audit Manager と統合されている GRC アプリケーションを所有するエンティティまたは会社を指します。

1. **顧客は**、内部または外部の GRC アプリケーション AWSを使用するエンティティまたは会社です。

**注記**  
一部の GRC アプリケーションは同じ会社によって所有および使用されます。このシナリオでは、**ベンダー**は GRC アプリケーションを所有するグループまたはチームで、**お客様**は GRC アプリケーションを使用するチームまたはグループです。

**このチュートリアルでは、以下のことを実行する方法を示します。**
+ [ステップ 1: Audit Manager を有効にする](#tutorial-for-grc-integration-step1)
+ [ステップ 2: 権限をセットアップする](#tutorial-for-grc-integration-step2)
+ [ステップ 3. エンタープライズコントロールを Audit Manager コントロールにマッピングする](#tutorial-for-grc-integration-step3)
+ [ステップ 4. コントロールマッピングを最新の状態に保つ](#tutorial-for-grc-integration-step4)
+ [ステップ 5: 評価を作成する](#tutorial-for-grc-integration-step5)
+ [ステップ 6. 証拠の収集を開始する](#tutorial-for-grc-integration-step6)

## 前提条件
<a name="tutorial-for-grc-integration-prerequisites"></a>

**作業を始める前に、以下の条件を満たしていることを確認します。**
+  AWSで実行されているインフラストラクチャがある。
+ 社内の GRC システムを使用する、またはベンダーが提供するサードパーティーの GRC ソフトウェアを使用する。
+ [Audit Manager の設定](https://docs.aws.amazon.com/audit-manager/latest/userguide/setting-up.html)に必要なすべての[前提条件](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-prerequisites.html)を満たしている。
+ [AWS Audit Manager 概念と用語を理解する](concepts.md) をよく理解している。

**留意すべきいくつかの制限事項：**
+ Audit Manager はリージョン別です AWS のサービス。Audit Manager は、 AWS ワークロードを実行するリージョンごとに個別に設定する必要があります。
+ Audit Manager は、複数のリージョンから単一のリージョンへの証拠の集約をサポートしていません。リソースが複数の にまたがる場合は AWS リージョン、GRC システム内で証拠を集約する必要があります。
+ Audit Manager には、作成できるリソース数のデフォルトのクォータがあります。必要に応じて、デフォルトのクォータの引き上げをリクエストできます。詳細については、「[Quotas and restrictions for AWS Audit Manager.](https://docs.aws.amazon.com/audit-manager/latest/userguide/service-quotas.html)」を参照してください。

## ステップ 1: Audit Manager を有効にする
<a name="tutorial-for-grc-integration-step1"></a>

### このステップを完了するユーザー
<a name="tutorial-for-grc-integration-step1-who"></a>

お客様

### 必要な作業
<a name="tutorial-for-grc-integration-step1-what"></a>

まず、 AWS アカウントで Audit Manager を有効にします。アカウントが組織の一部である場合は、管理アカウントを使用して Audit Manager を有効にし、Audit Manager の委任管理者を指定できます。

### 手順
<a name="tutorial-for-grc-integration-step1-procedure"></a>

**Audit Manager を有効にするには**  
手順に従って [Audit Manager を有効にします](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html)。証拠を収集するすべてのリージョンについて、セットアップ手順を繰り返します。

**ヒント**  
を使用する場合は AWS Organizations、このステップ中に委任管理者を設定することを強くお勧めします。Audit Manager で委任管理者を使用する際は、証拠ファインダーを使用して組織内のすべてのアカウントで証拠を検索することができます。

## ステップ 2: 権限をセットアップする
<a name="tutorial-for-grc-integration-step2"></a>

### このステップを完了するユーザー
<a name="tutorial-for-grc-integration-step2-who"></a>

お客様

### 必要な作業
<a name="tutorial-for-grc-integration-step2-what"></a>

このステップでは、お客様はアカウントの IAM ロールを作成します。次に、お客様はロールを引き受けるアクセス許可をベンダーに付与します。

![\[IAM ロールがベンダーアカウントのアクセスを許可する方法を示す図。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/vendor-role-access.png)


### 手順
<a name="tutorial-for-grc-integration-step2-procedure"></a>

**お客様のアカウントのロールを作成するには**  
手順については、*IAM ユーザーガイド* の「[IAM ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
+ ロール作成ワークフローのステップ 8 で、**[ポリシーの作成]** を選択し、ロールのポリシーを入力します。

  ロールには、少なくとも以下のアクセス許可が必要です。

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement" : [
      {
        "Sid" : "AuditManagerAccess",
        "Effect" : "Allow",
        "Action" : [
          "auditmanager:*"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "OrganizationsAccess",
        "Effect" : "Allow",
        "Action" : [
          "organizations:ListAccountsForParent",
          "organizations:ListAccounts",
          "organizations:DescribeOrganization",
          "organizations:DescribeOrganizationalUnit",
          "organizations:DescribeAccount",
          "organizations:ListParents",
          "organizations:ListChildren"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "IAMAccess",
        "Effect" : "Allow",
        "Action" : [
          "iam:GetUser",
          "iam:ListUsers",
          "iam:ListRoles"
        ],
        "Resource" : "*"
      },        
      {
        "Sid" : "S3Access",
        "Effect" : "Allow",
        "Action" : [
          "s3:ListAllMyBuckets"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "KmsAccess",
        "Effect" : "Allow",
        "Action" : [
          "kms:DescribeKey",
          "kms:ListKeys",
          "kms:ListAliases"
        ],
        "Resource" : "*"
      },
      {
        "Sid" : "KmsCreateGrantAccess",
        "Effect" : "Allow",
        "Action" : [
          "kms:CreateGrant"
        ],
        "Resource" : "*",
        "Condition" : {
          "Bool" : {
            "kms:GrantIsForAWSResource" : "true"
          },
          "StringLike" : {
            "kms:ViaService" : "auditmanager.*.amazonaws.com"
          }
        }
      },
      {
        "Sid" : "SNSAccess",
        "Effect" : "Allow",
        "Action" : [
          "sns:ListTopics"
        ],
        "Resource" : "*"
      }, 
      {
        "Sid" : "TagAccess",
        "Effect" : "Allow",
        "Action" : [
          "tag:GetResources"
        ],
        "Resource" : "*"
      }
    ]
  }
  ```

------
+ ロール作成ワークフローのステップ 11 で、**ロール名** に `vendor-auditmanager` と入力します。

**ベンダーアカウントにロールの引き受けを許可するには**  
「IAM ユーザーガイド」の「[ロールを切り替えるアクセス許可をユーザーに付与する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)」の手順に従います。**
+ ポリシーステートメントには `sts:AssumeRole action` への `Allow` の影響を含める必要があります。
+ リソース要素のロールの Amazon リソースネーム (ARN) を含める必要があります。
+ 使用できるポリシーステートメントの例を次に示します。

  このポリシーでは、*プレースホルダーテキスト*をベンダーの AWS アカウント ID に置き換えます。

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": {
          "Effect": "Allow",
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::111122223333:role/vendor-auditmanager"
      }
  }
  ```

------

## ステップ 3. エンタープライズコントロールを Audit Manager コントロールにマッピングする
<a name="tutorial-for-grc-integration-step3"></a>

### このステップを完了するユーザー
<a name="tutorial-for-grc-integration-step3-who"></a>

お客様

### 必要な作業
<a name="tutorial-for-grc-integration-step3-what"></a>

ベンダーは、お客様が評価で使用できるエンタープライズコントロールの厳選されたリストを管理します。Audit Manager と統合するには、お客様がエンタープライズコントロールを対応する Audit Manager コントロールにマッピングできるようにするインターフェイスをベンダーが作成する必要があります。[](concepts.md#common-control) (推奨) または [](concepts.md#standard-control) をマッピングできます。ベンダーの GRC アプリケーションで評価を開始する前に、このマッピングを完了する必要があります。

![\[エンタープライズコントロールが Audit Manager コントロールにどのようにマッピングされるかを示す図。\]](http://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/images/control-mapping.png)


### オプション 1: エンタープライズコントロールを一般的なコントロールにマッピングする (推奨）
<a name="mapping-to-common-controls"></a>

以下は、エンタープライズコントロールを Audit Manager にマッピングするための推奨方法です。この方法が推奨されているのは、一般的なコントロールが一般的な業界標準とほぼ一致しているためです。これにより、エンタープライズコントロールへのマッピングが容易になります。

このアプローチでは、ベンダーは、お客様がエンタープライズコントロールと Audit Manager が提供する対応する一般的なコントロールとの間で 1 回限りのマッピングを実行できるようにするインターフェイスを作成します。ベンダーは [ListControls](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListControls.html)、[ListCommonControls](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListCommonControls.html)、および [GetControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetControl.html) API オペレーションを使用して、この情報をお客様に提供できます。お客様がマッピングを完了すると、ベンダーはこれらのマッピングを使用して Audit Manager で[カスタムコントロールを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)できます。

一般的なコントロールマッピングの例を次に示します。

`Asset Management` というエンタープライズコントロールがあるとします。このエンタープライズコントロールは、Audit Manager (`Asset maintenance scheduling` および `Asset performance management`) の 2 つの一般的なコントロールにマッピングされます。ここでは、Audit Manager でカスタムコントロールを作成する必要があります (名前は `enterprise-asset-management`)。次に、`Asset performance management` と `Asset maintenance scheduling` を証拠ソースとして新しいカスタムコントロールに追加します。これらの証拠ソースは、事前定義された AWS データソースグループからサポート証拠を収集します。これにより、エンタープライズコントロールの要件に対応する AWS データソースを効率的に特定できます。

#### 手順
<a name="mapping-to-common-controls-procedure"></a>

**マッピングできる利用可能な一般的なコントロールを見つけるには**  
手順に従って、Audit Manager で[使用可能な一般的なコントロールのリストを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。

**カスタムコントロールを作成するには**

1. 手順に従って、エンタープライズコントロールと一致する[カスタムコントロールを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html)します。

   カスタムコントロールの作成ワークフローのステップ 2 で証拠ソースを指定する場合は、以下を実行します。
   + 証拠ソースとして **[AWS マネージドソース]** を選択します。
   + **[コンプライアンス目標に一致する一般的なコントロールを使用する]** を選択します。
   + エンタープライズコントロールの証拠ソースとして、最大 5 つの一般的なコントロールを選択します。

1. すべてのエンタープライズコントロールに対してこのタスクを繰り返し、対応するカスタムコントロールを Audit Manager にそれぞれ作成します。

### オプション 2: エンタープライズコントロールを標準コントロールにマッピングする
<a name="mapping-to-standard-controls"></a>

Audit Manager には、事前に構築された標準コントロールが多数用意されています。エンタープライズコントロールとこれらの標準コントロールの間で 1 回限りのマッピングを実行できます。エンタープライズコントロールに対応する標準コントロールを特定したら、これらの標準コントロールをカスタムフレームワークに直接追加できます。このオプションを選択した場合、Audit Manager でカスタムコントロールを作成する必要はありません。

#### 手順
<a name="mapping-to-common-controls-procedure"></a>

**マッピングできる利用可能な標準コントロールを見つけるには**  
手順に従って、Audit Manager で[使用可能な標準コントロールのリストを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。

**カスタムフレームワークを作成するには**

1. 手順に従って、Audit Manager で[カスタムフレームワークを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)します。

   フレームワーク作成手順のステップ 2 でコントロールセットを指定する際は、エンタープライズコントロールにマッピングする標準コントロールを含めます。

1. カスタムフレームワークに対応するすべての標準コントロールを含めるまで、すべてのエンタープライズコントロールに対してこのタスクを繰り返します。

## ステップ 4. コントロールマッピングを最新の状態に保つ
<a name="tutorial-for-grc-integration-step4"></a>

### このステップを完了するユーザー
<a name="tutorial-for-grc-integration-step4-who"></a>

ベンダー、お客様

### 必要な作業
<a name="tutorial-for-grc-integration-step4-what"></a>

Audit Manager は、一般的なコントロールと標準コントロールを継続的に更新して、利用可能な最新の AWS データソースを使用していることを確認します。つまり、コントロールのマッピングは 1 回限りのタスクです。カスタムフレームワークに追加した後に標準コントロールを管理する必要はなく、カスタムコントロールに証拠ソースとして追加した後に一般的なコントロールを管理する必要もありません。一般的なコントロールが更新されるたびに、その一般的なコントロールを証拠ソースとして使用するすべてのカスタムコントロールに同じ更新が自動的に適用されます。

ただし、時間の経過とともに、新しい一般的なコントロールと標準コントロールが証拠ソースとして使用できるようになる可能性があります。これを念頭に置いて、ベンダーとお客様は、Audit Manager から最新の一般的なコントロールと標準コントロールを定期的に取得するワークフローを作成する必要があります。その後、エンタープライズコントロールと Audit Manager コントロール間のマッピングを確認し、必要に応じてマッピングを更新できます。

### エンタープライズコントロールが一般的なコントロールにマッピングされている場合
<a name="if-your-enterprise-controls-are-mapped-to-common-controls"></a>

マッピングプロセス中に、カスタムコントロールを作成しました。Audit Manager を使用してこれらのカスタムコントロールを編集し、利用可能な最新の一般的なコントロールを証拠ソースとして使用できます。カスタムコントロールの更新が有効になると、既存の評価は更新されたカスタムコントロールに対する証拠を自動的に収集します。新しいフレームワークや評価を作成する必要はありません。

#### 手順
<a name="if-your-enterprise-controls-are-mapped-to-common-controls-procedure"></a>

**マッピングできる最新の一般的なコントロールを見つけるには**  
手順に従って、Audit Manager で[使用可能な一般的なコントロールを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。

**カスタムコントロールを編集するには**

1. 手順に従って、Audit Manager で[かカスタムコントロールを編集](https://docs.aws.amazon.com/audit-manager/latest/userguide/edit-controls.html)します。

   編集ワークフローのステップ 2 で証拠ソースを更新する際は、以下を実行します。
   + 証拠ソースとして **[AWS マネージドソース]** を選択します。
   + **[コンプライアンス目標に一致する一般的なコントロールを使用する]** を選択します。
   + カスタムコントロールの証拠ソースとして使用する新しい一般的なコントロールを選択します。

1. 更新するすべてのエンタープライズコントロールに対して、このタスクを繰り返します。

### エンタープライズコントロールが標準コントロールにマッピングされている場合
<a name="if-your-enterprise-controls-are-mapped-to-standard-controls"></a>

この場合、ベンダーは最新の利用可能な標準コントロールを含む新しいカスタムフレームワークを作成し、この新しいフレームワークを使用して新しい評価を作成する必要があります。新しい評価を作成したら、古い評価を非アクティブとしてマークします。

#### 手順
<a name="if-your-enterprise-controls-are-mapped-to-standard-controls-procedure"></a>

**マッピングできる最新の標準コントロールを見つけるには**  
手順に従って、Audit Manager で[使用可能な標準コントロールを確認](https://docs.aws.amazon.com/audit-manager/latest/userguide/access-available-controls.html)します。

**カスタムフレームワークを作成し、最新の標準コントロールを追加するには**  
手順に従って、Audit Manager で[カスタムフレームワークを作成](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-custom-frameworks-from-scratch.html)します。

フレームワーク作成ワークフローのステップ 2 でコントロールセットを指定する際は、新しい標準コントロールを含めます。

**評価を作成するには**  
GRC アプリケーションで評価を作成します。

**評価のステータスを非アクティブに変更するには**  
手順に従って、Audit Manager で[評価のステータスを変更](https://docs.aws.amazon.com/audit-manager/latest/userguide/change-assessment-status-to-inactive.html)します。

## ステップ 5: 評価を作成する
<a name="tutorial-for-grc-integration-step5"></a>

**このステップを完了するユーザー**  
GRC アプリケーション、ベンダーからの入力 

**必要な作業**  
お客様は Audit Manager で直接評価を作成する必要はありません。GRC アプリケーションで特定のコントロールの評価を開始すると、GRC アプリケーションは Audit Manager で対応するリソースを作成します。まず、GRC アプリケーションは、作成したマッピングを使用して、関連する Audit Manager コントロールを識別します。次に、コントロール情報を使用してカスタムフレームワークを作成します。最後に、新しく作成されたカスタムフレームワークを使用して Audit Manager で評価を作成します。

Audit Manager で評価を作成するには、[スコープ](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-assessments.html#specify-accounts)も必要です。このスコープは、顧客が評価を実行し、証拠を収集する AWS アカウント のリストを取得します。お客様は、GRC アプリケーションでこのスコープを直接定義する必要があります。

ベンダーは、GRC アプリケーションで開始された評価にマッピングされた `assessmentId` を保存する必要があります。この `assessmentId` は、Audit Manager から証拠を取得するために必要です。

**評価 ID を検索するには**

1. Audit Manager で評価を見るには、[ListAssessments](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html) 操作を使用します。[ステータス](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_ListAssessments.html#auditmanager-ListAssessments-request-status)パラメータを使用して、アクティブな評価を表示できます。

   ```
   aws auditmanager list-assessments --status ACTIVE
   ```

1. レスポンスで、GRC アプリケーションに保存したい評価を特定し、`assessmentId` をメモします。

## ステップ 6. 証拠の収集を開始する
<a name="tutorial-for-grc-integration-step6"></a>

**このステップを完了するユーザー**  
AWS Audit Manager、ベンダーからの入力

**必要な作業**  
評価を作成した後、証拠の収集を開始するまでに最大 24 時間かかります。この時点で、エンタープライズコントロールは Audit Manager 評価の証拠を収集しています。

Audit Manager で証拠をすばやくクエリして見つけるには、[証拠ファインダー](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html)機能を使用することをお勧めします。委任された管理者として Evidence Manager を使用している場合は、組織内のすべてのメンバーアカウントで証拠を検索できます。フィルターとグルーピングを組み合わせて使用することで、検索クエリの範囲を徐々に絞り込むことができます。例えば、システムの状態を大まかに把握したい場合は、広範囲にわたる検索を行い、評価、日付範囲、およびリソースコンプライアンスに基づいてフィルタリングします。特定のリソースを修復することが目的であれば、特定の統制 ID またはリソース ID の証拠を絞り込んで絞り込むことができます。フィルターを定義したら、評価レポートを作成する前に、一致する検索結果をグループ化してプレビューできます。

**証拠ファインダーを有効にするには**
+ 手順に従って、Audit Manager 設定で[証拠ファインダーを有効化](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder-settings-enable.html)します。

証拠ファインダーを有効にしたら、Audit Manager から評価用の証拠を取得する頻度を決定できます。評価で特定のコントロールの証拠を取得し、エンタープライズコントロールにマッピングされた GRC アプリケーションに証拠を保存することもできます。以下の Audit Manager API オペレーションを使用して証拠を取得できます。
+ [GetEvidence](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidence.html)
+ [GetEvidenceByEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceByEvidenceFolder.html)
+ [GetEvidenceFolder](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFolder.html)
+ [GetEvidenceFoldersByAssessment](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessment.html)
+ [GetEvidenceFoldersByAssessmentControl](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_GetEvidenceFoldersByAssessmentControl.html)

## 料金
<a name="tutorial-for-grc-integration-pricing"></a>

この統合セットアップには、ベンダーかお客様かにかかわらず、追加料金は発生しません。Audit Manager で収集された証拠については、お客様に課金されます。料金の詳細については、「[AWS Audit Manager 料金表](https://aws.amazon.com/audit-manager/pricing/)」を参照してください。

## その他のリソース
<a name="tutorial-for-grc-integration-whatnow"></a>

このチュートリアルで紹介されている概念の詳細については、以下のリソースを参照してください。
+ [評価](https://docs.aws.amazon.com/audit-manager/latest/userguide/assessments.html) – 評価を管理するための概念とタスクについて説明します。
+ [コントロールライブラリ](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-library.html) – カスタムコントロールを管理するための概念とタスクについて説明します。
+ [フレームワークライブラリ](https://docs.aws.amazon.com/audit-manager/latest/userguide/framework-library.html) – カスタムフレームワークを管理するための概念とタスクについて説明します。
+ [証拠ファインダー](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html) - クエリ結果からの CSV ファイルのエクスポート、評価レポートの生成方法について説明します。
+ [ダウンロードセンター](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html) - Audit Manager から評価レポートと CSV エクスポートをダウンロードする方法について説明します。