![[アップデート] AWS Audit Manager の多くの主要フレームワークが更新されコントロールのエビデンス収集条件が変わっているようです](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-4608988421f02cddd0212ba7929087b2/5671f463a0ebd3f5a241025c246415a6/aws-audit-manager)
[アップデート] AWS Audit Manager の多くの主要フレームワークが更新されコントロールのエビデンス収集条件が変わっているようです
2025.07.27いわさです。
先日アナウンスがあったのですが、AWS Audit Manager にアップデートがありました。
今回は機能の追加などはされておらず、どうやら複数のフレームワークのコントロールのエビデンス収集方法が更新されているようです。
Audit Manager は PCI DSS や NIST など、様々なセキュリティフレームワークの監査対応を行うためにエビデンスを収集・管理する機能です。
フレームワークは複数のコントロールのコレクションで構成されており、コントロールごとにエビデンスを収集します。
今回のアップデートは複数のフレームワークのエビデンス収集方法についてアップデートがあったようです。
アナウンスによると 2024 年 6 月 6 日以降に該当フレームワークされたでのアセスメントを作成した場合は特に追加の手順は不要で自動反映されるようです。2025 年ではなく2024 年 6 月以降なのか...?
新しいフレームワークでのアセスメント作成が案内されるように
試しに古いアセスメントにアクセスしてみると、開いたタイミングで新しいアセスメント作成が案内されるようになっていました。
ただ、あまりにも古いアセスメントだったためかコントロールセットの数なども一致していませんでした。左が 2023 年に作成したアセスメント、右側本日作成したアセスメントです。
更新履歴から確認してみる
ということでアナウンスのとおりドキュメントの更新履歴から探ってみましょう。
2024 年 6 月 6 以降の更新履歴を見ると、以下の 14 個のフレームワークが更新されているようでした。
- CCCS Medium Cloud Control
- ISO/IEC 27001:2013 Annex A
- PCI DSS V3.2.1
- PCI DSS V4.0
- SSAE-18 SOC 2
- Amazon Web Services (AWS) Well Architected Framework (WAF) v10
- FedRAMP Security Baseline Controls r4
- NIST SP 800-171 Rev 2
- NIST-CSF-v1.1
- NIST-SP-800-53-r5
- ACSC Essential Eight
- ACSC ISM
- CIS Critical Security Controls version 8.0, IG1
- CIS Controls v7.1, IG1
Framework 一覧取得 API で確認してみる
まずは AWS CLI からフレームワークの一覧を取得してみます。
| 名前 | 作成日 | 更新日 |
|---|---|---|
| NIST 800-53 Rev 5: Security and Privacy Controls for Information Systems and Organizations | 2024-06-05 | 2024-06-05 |
| Federal Risk And Authorization Management Program (FedRAMP) Security Baseline Controls r4, Moderate | 2024-06-05 | 2024-06-05 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 and 2 | 2024-06-05 | 2024-08-20 |
| Gramm-Leach-Bliley Act (GLBA) | 2024-06-05 | 2024-06-05 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 | 2024-06-05 | 2024-08-20 |
| Health Insurance Portability and Accountability Act (HIPAA) Omnibus Final Rule | 2024-06-05 | 2024-06-05 |
| Australian Cyber Security Center (ACSC) Essential Eight | 2024-06-05 | 2024-06-05 |
| AWS Generative AI Best Practices Framework v2 | 2024-06-05 | 2024-08-20 |
| Statement on Standards for Attestations Engagement (SSAE) No. 18, Service Organizations Controls (SOC) Report 2 | 2024-06-05 | 2024-06-05 |
| AWS Operational Best Practices | 2024-06-05 | 2024-08-20 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, Level 1 and 2 | 2024-06-05 | 2024-08-20 |
| Payment Card Industry Data Security Standard (PCI DSS) v4.0 | 2024-06-05 | 2024-06-05 |
| CIS Critical Security Controls version 8.0 (CIS v8.0), IG1 | 2024-06-05 | 2024-06-05 |
| General Data Protection Regulation (GDPR) 2016 | 2024-06-05 | 2024-06-05 |
| AWS Control Tower Guardrails | 2024-06-05 | 2024-06-05 |
| EudraLex - The Rules Governing Medicinal Products in the European Union (EU) - Volume 4: Good Manufacturing Practice (GMP) Medicinal Products for Human and Veterinary Use - Annex 11 | 2024-06-05 | 2024-07-25 |
| Center for Internet Security (CIS) v7.1, IG1 | 2024-06-05 | 2024-06-05 |
| Amazon Web Services (AWS) Well Architected Framework (WAF) v10 | 2024-06-05 | 2024-06-05 |
| NIST 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | 2024-06-05 | 2024-06-05 |
| AWS Foundational Security Best Practices | 2024-06-05 | 2024-06-05 |
| NIST Cybersecurity Framework (CSF) v1.1 | 2024-06-05 | 2024-06-05 |
| AWS License Manager | 2024-06-05 | 2024-06-05 |
| Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 | 2024-06-05 | 2024-06-05 |
| Title 21 Code of Federal Regulations (CFR) Part 11, Electronic records; Electronic Signatures - Scope and Application 24 May 2023 | 2024-06-05 | 2024-06-05 |
| Amazon Web Services (AWS) Audit Manager Sample Framework | 2024-06-05 | 2025-03-20 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, Level 1 | 2024-06-05 | 2024-08-20 |
| Canadian Centre for Cyber Security (CCCS) Medium Cloud Control | 2024-06-05 | 2024-06-05 |
| Australian Cyber Security Center (ACSC) Information Security Manual (ISM) 02 March 2023 | 2024-06-05 | 2024-06-05 |
| Health Insurance Portability and Accountability Act (HIPAA) Security Rule: Feb 2003 | 2024-06-05 | 2024-06-05 |
| International Organization for standardization (ISO)/International Electrotechnical Commission (IEC) 27001:2013 Annex A | 2024-06-05 | 2025-07-18 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, Level 1 and 2 | 2024-06-05 | 2024-08-20 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, Level 1 | 2024-06-05 | 2024-08-20 |
取得してみたところ、今回のアップデートのタイミングの更新日時はまだ反映されていないようでした。
フレームワークごとのコントロール一覧取得APIで確認してみる
続いて、フレームワークごとのコントロール一覧取得APIで確認してみます。
確認してみたところ、フレームワーク自体の更新履歴は古いのですが、それらに含まれるコントロールの多くは最近更新されていることが確認出来ました。
更新内容までは確認できないのですが、更新日時についてはコントロールごとに確認が出来ます。
% aws auditmanager get-assessment-framework --framework-id 3a2d46e5-9210-450a-8d47-24be1d06c11c
{
"framework": {
"arn": "arn:aws:auditmanager:ap-northeast-1::assessmentFramework/3a2d46e5-9210-450a-8d47-24be1d06c11c",
"id": "3a2d46e5-9210-450a-8d47-24be1d06c11c",
"name": "Amazon Web Services (AWS) Well Architected Framework (WAF) v10",
"type": "Standard",
"complianceType": "AWS-WAF-v10",
"description": "The AWS Well-Architected Framework helps you understand the pros and cons of decisions you make while building systems on AWS. By using the Framework you will learn architectural best practices for designing and operating reliable, secure, efficient, cost-effective, and sustainable systems in the cloud. https://docs.aws.amazon.com/pdfs/wellarchitected/latest/framework/wellarchitected-framework.pdf#welcome",
"logo": "waf.svg",
"controlSources": "AWS API calls, AWS CloudTrail, AWS Config, AWS Security Hub, Manual",
"controlSets": [
{
"id": "2 - Security",
"name": "2 - Security",
"controls": [
{
"arn": "arn:aws:auditmanager:ap-northeast-1::control/f59f5d94-67b3-4906-8f65-fbc16233f046",
"id": "f59f5d94-67b3-4906-8f65-fbc16233f046",
"type": "Standard",
"name": "SEC02-BP05: Audit and rotate credentials periodically (AWS-WAF-v10)",
"description": "Audit and rotate credentials periodically to limit how long the credentials can be used to access your resources. Long-term credentials create many risks, and these risks can be reduced by rotating long-term credentials regularly.",
"controlSources": "Manual",
"controlMappingSources": [
{
"sourceId": "7379b253-bc40-4b11-9dc4-a05b294fad42",
"sourceSetUpOption": "Procedural_Controls_Mapping",
"sourceType": "MANUAL"
}
],
"createdAt": "2024-06-05T09:09:51.835000+09:00",
"lastUpdatedAt": "2025-06-20T08:36:40.354000+09:00",
"tags": {},
"state": "ACTIVE"
},
{
"arn": "arn:aws:auditmanager:ap-northeast-1::control/f10ad0b8-0b76-4e6d-a656-30f45f65cf78",
"id": "f10ad0b8-0b76-4e6d-a656-30f45f65cf78",
"type": "Standard",
"name": "SEC03-BP06: Manage access based on lifecycle (AWS-WAF-v10)",
"description": "Integrate access controls with operator and application lifecycle and your centralized federation provider. For example, remove a users access when they leave the organization or change roles.",
"controlSources": "Manual",
"controlMappingSources": [
{
"sourceId": "2826e534-9592-4eb4-ab3f-1ac6c03922be",
:
フレームワークごとにコントールの最終更新日時を取得してみました。
確認してみたところ次のようにドキュメントの更新日時と一致していますね。
| フレームワーク名 | フレームワーク更新日 | 最新コントロール更新日 | コントロール最終更新日 |
|---|---|---|---|
| NIST 800-53 Rev 5: Security and Privacy Controls for Information Systems and Organizations | 2024-06-05 | 2025-06-20 | 2025-06-20 |
| Federal Risk And Authorization Management Program (FedRAMP) Security Baseline Controls r4, Moderate | 2024-06-05 | 2025-06-20 | 2025-06-20 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 and 2 | 2024-08-20 | 2024-08-20 | 2024-08-20 |
| Gramm-Leach-Bliley Act (GLBA) | 2024-06-05 | 2024-06-06 | 2024-06-06 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, Level 1 | 2024-08-20 | 2024-08-20 | 2024-08-20 |
| Health Insurance Portability and Accountability Act (HIPAA) Omnibus Final Rule | 2024-06-05 | 2024-07-16 | 2024-07-16 |
| Australian Cyber Security Center (ACSC) Essential Eight | 2024-06-05 | 2025-06-05 | 2025-06-05 |
| AWS Generative AI Best Practices Framework v2 | 2024-08-20 | 2024-08-20 | 2024-08-20 |
| Statement on Standards for Attestations Engagement (SSAE) No. 18, Service Organizations Controls (SOC) Report 2 | 2024-06-05 | 2025-07-18 | 2025-07-18 |
| AWS Operational Best Practices | 2024-08-20 | 2024-08-20 | 2024-08-20 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, Level 1 and 2 | 2024-08-20 | 2024-08-20 | 2024-08-20 |
| Payment Card Industry Data Security Standard (PCI DSS) v4.0 | 2024-06-05 | 2025-07-18 | 2025-07-18 |
| CIS Critical Security Controls version 8.0 (CIS v8.0), IG1 | 2024-06-05 | 2025-06-05 | 2025-06-05 |
| General Data Protection Regulation (GDPR) 2016 | 2024-06-05 | 2024-06-06 | 2024-06-06 |
| AWS Control Tower Guardrails | 2024-06-05 | 2024-06-06 | 2024-06-06 |
| EudraLex - The Rules Governing Medicinal Products in the European Union (EU) - Volume 4: Good Manufacturing Practice (GMP) Medicinal Products for Human and Veterinary Use - Annex 11 | 2024-07-25 | 2024-07-25 | 2024-07-25 |
| Center for Internet Security (CIS) v7.1, IG1 | 2024-06-05 | 2025-05-15 | 2025-05-15 |
| Amazon Web Services (AWS) Well Architected Framework (WAF) v10 | 2024-06-05 | 2025-06-20 | 2025-06-20 |
| NIST 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations | 2024-06-05 | 2025-06-20 | 2025-06-20 |
| AWS Foundational Security Best Practices | 2024-06-05 | 2024-06-06 | 2024-06-06 |
| NIST Cybersecurity Framework (CSF) v1.1 | 2024-06-05 | 2025-06-20 | 2025-06-20 |
| AWS License Manager | 2024-06-05 | 2024-06-06 | 2024-06-06 |
| Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 | 2024-06-05 | 2025-07-18 | 2025-07-18 |
| Title 21 Code of Federal Regulations (CFR) Part 11, Electronic records; Electronic Signatures - Scope and Application 24 May 2023 | 2024-06-05 | 2024-07-16 | 2024-07-16 |
| Amazon Web Services (AWS) Audit Manager Sample Framework | 2025-03-20 | 2025-03-20 | 2025-03-20 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, Level 1 | 2024-08-20 | 2024-08-20 | 2024-08-20 |
| Canadian Centre for Cyber Security (CCCS) Medium Cloud Control | 2024-06-05 | 2025-07-18 | 2025-07-18 |
| Australian Cyber Security Center (ACSC) Information Security Manual (ISM) 02 March 2023 | 2024-06-05 | 2025-06-05 | 2025-06-05 |
| Health Insurance Portability and Accountability Act (HIPAA) Security Rule: Feb 2003 | 2024-06-05 | 2024-07-16 | 2024-07-16 |
| International Organization for standardization (ISO)/International Electrotechnical Commission (IEC) 27001:2013 Annex A | 2025-07-18 | 2025-07-18 | 2025-07-18 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, Level 1 and 2 | 2024-08-20 | 2024-08-20 | 2024-08-20 |
| Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, Level 1 | 2024-08-20 | 2024-08-20 | 2024-08-20 |
2024 年 6 月 6 日以降が正しいのか怪しいのですが、今回の 14 件のフレームワークは 2025 年 5 月 15 日以降に更新されていそうです。
フレームワーク詳細をドキュメントから確認してみる
対象のフレームワークについてはドキュメントの更新履歴と、実際のフレームワークごとのコントロール最終更新日時からアナウンスどおり 14 件が絞れていそうです。
コントロールの変更内容も可能であれば知りたいところです。
今回はフレームワークごとの日本語版ドキュメントと英語版ドキュメントを比較してみました。
比較結果は次のような感じになりました。コントロールセットの数と全体のコントロール数は変わらないのですが、自動化コントロールと手動コントロールのバランスが変わっていることに気が付きました。
| フレームワーク | 言語 | 自動化コントロール | 手動コントロール | コントロールセット |
|---|---|---|---|---|
| ACSC Essential Eight | 日本語 | 61 | 132 | 3 |
| 英語 | 61 | 132 | 3 | |
| ACSC ISM 02 March 2023 | 日本語 | 88 | 789 | 22 |
| 英語 | 88 | 789 | 22 | |
| CIS Critical Security Controls version 8.0, IG1 | 日本語 | 11 | 45 | 15 |
| 英語 | 11 | 45 | 15 | |
| AWS Well Architected Framework WAF v10 | 日本語 | 41 | 293 | 6 |
| 英語 | 43 | 291 | 6 | |
| FedRAMP Security Baseline Controls r4 | 日本語 | 117 | 208 | 17 |
| 英語 | 36 | 289 | 17 | |
| NIST SP 800-171 Rev 2 | 日本語 | 58 | 52 | 14 |
| 英語 | 35 | 75 | 14 | |
| NIST Cybersecurity Framework v1.1 | 日本語 | 14 | 94 | 22 |
| 英語 | 14 | 94 | 22 | |
| NIST SP 800-53 Rev 5 | 日本語 | 308 | 699 | 20 |
| 英語 | 132 | 875 | 20 | |
| CCCS Medium Cloud Control | 日本語 | 119 | 234 | 175 |
| 英語 | 71 | 282 | 175 | |
| ISO/IEC 27001:2013 Annex A | 日本語 | 9 | 105 | 35 |
| 英語 | 21 | 93 | 35 | |
| PCI DSS V3.2.1 | 日本語 | 85 | 199 | 15 |
| 英語 | 38 | 246 | 15 | |
| PCI DSS V4.0 | 日本語 | 108 | 172 | 15 |
| 英語 | 40 | 240 | 20 | |
| SSAE-18 SOC 2 | 日本語 | 8 | 53 | 20 |
| 英語 | 15 | 46 | 20 |
エビデンスソースの内容が重複している場合に Audit Manager は重複して取得せずにエビデンスを使い回すのですが、それらが最適化、あるいは不要な自動取得エビデンスが手動に切り替わったことで従来無駄に発生していたコストが削減される。というような内容なのかもしれません。自動収集していたコントロールが大幅に削減されていますね。
今回の変更詳細が記載されていないので推測になるのですが、以下の記載と確認出来た内容が概ね一致している気がします。
These updates will streamline number of findings for most customers and reduce associated costs. The cost reduction will depend on number of AWS resources a customer uses, the frameworks they're assessing, and the degree of overlapping controls between these frameworks.
さいごに
本日は AWS Audit Manager の多くの主要フレームワークが更新されコントロールのエビデンス収集条件が変わっていたようなので、対象フレームワークやコントロールを確認してみました。
Audit Manager を従来から使われていた方は対象フレームワークのアセスメントを新規作成し、更新された内容を確認してみてください。
継続評価による発生コストを削減できるかもしれません。
![[アップデート] AWS Audit Manager の AWS Generative AI Best Practices Framework が v2 にアップグレードされ、SageMaker もマッピングされるようになりました](https://devio2023-media.developers.io/wp-content/uploads/2023/08/aws-audit-manager.png)
![[アップデート] AWS Audit Manager の一部イベントが EventBridge に統合されたので、CloudTrail 経由との使い分けを考えてみた](https://devio2023-media.developers.io/wp-content/uploads/2022/08/aws-audit-manager.png)
