[新サービス]PCI DSSなどの評価レポート作成が可能で監査を支援できるAWS Audit Managerが発表されたので使ってみた

AWSアカウントや組織にまたがって自動的に証跡を集めエビデンスとし、レポートが作成できるAWS Audit Managerがリリースされました!監査対応にぜひ役立てて下さい。
2020.12.09

こんにちは、臼田です。

みなさん、AWS環境の監査してますか?(挨拶

現在行われているre:Invent 2020で監査に非常に役に立つ新サービスであるAWS Audit Managerがリリースされたので説明しつつ、実際に使ってみましたので中身も紹介していきます!

AWS Audit Managerとは

以下で紹介されました。

AWS Audit Manager Simplifies Audit Preparation | AWS News Blog

AWS Audit Managerは次のように説明されています。

一般的な業界標準と規制のための事前構築されたフレームワークを提供し、監査の準備に役立つ証拠の継続的な収集を自動化するフルマネージドサービスです。

例えばPCI DSSやGDPR、HIPAAなどの様々な業界標準や規制の対応のためには、様々なAWSリソースの利用状況を収集してまとめる必要がありますが、AWS Audit Managerでは用意されたフレームワークを使って対象のリソースの状況を自動収集して評価し、レポートにすることが可能です。

これまではAWS Security HubやAWS Config Rules/ Conformance Packsで各種コンプライアンスに対応したリソースのチェックができていました。これらとの違いですが、Security HubやConformance Packsは原理としてはConfig Rulesを使っているのでチェックはその中での表現に限定されていました。

Audit Managerでは以下4要素をデータソースとしてより幅広い内容を対象とすることが可能です。

  • CloudTrailのログ
  • Security Hubのコンプライアンスチェック結果
  • Configのコンプライアンスチェック結果
  • 定期的なAPIの実行

そして、各種チェックだけではなくマニュアルでのチェックも含めた評価結果を、監査人にわかりやすい用語を使用して、監査対応のレポートとして出力できます。

つまりこれまでのコンプライアンスチェックサービスなどを束ねたより広いデータ収集を行って、レポートを作成しそれを継続管理するところまでが目的のサービスです。

細かいチェック結果のレビューは監査人では直接対応が難しいこともあるので、部分的にレビューを委任する事が可能で、例えばネットワークセキュリティの証拠のレビューをネットワークセキュリティエンジニアに委任することができます。

マルチアカウントでまとめてアセスメント・レポートも可能です。

 

AWS Audit Managerの細かい話

AWS Audit Manager自体はリージョン毎のサービスです。現在は10リージョンに対応していて東京も含まれています!

具体的には米国東部(北バージニア、オハイオ)、米国西部(北カリフォルニア、オレゴン)、アジア太平洋(シンガポール、シドニー、東京)、ヨーロッパ(フランクフルト、アイルランド、ロンドン)となります。

料金は1,000リソースアセスメントにつき$1.25(東京)となっていて、約2ヶ月(60日)間35,000 AWS Audit Manager resource assessments/月の無料枠があります。

最低料金や前払いはありません。

評価レポートはS3に出力されますのでサービス外でそこは費用が発生します。

実際に評価されるリソースの数はどのフレームワークを使って、どのサービスを対象に含めるかで大きく変わるので、無料枠を使ったトライアルをまずやってみると良さそうです。

やってみた

テキストばっかり並べてもよくわからないと思うのでやってみます。

セットアップ

まずマネジメントコンソールからAWS Audit Managerのページへアクセスします。セットアップしていきましょう。

Security HubやConfigが有効であるといいと書かれていたり、サービスリンクドロールの説明があります。それぞれのサービスは有効化しておきましょう。デフォルト以外の任意の鍵を利用したい場合はKMSの鍵を選択できますが、今回はデフォルトでいいのでチェックを外します。

AWS Organizationsと連携してマルチアカウント管理するかとありますが、今回はスキップします。セットアップを完了します。

完了しました。サンプルのフレームワークを設定するテストへの誘導があるので、まずはそれをやってみます。

アセスメントのセットアップ画面に移動します。アセスメントは定義されたフレームワークを用いて実際にアセスメントを行うための設定です。まずは名前と、レポートの保存先のS3バケットを選択します。

今回は新規でバケットを作っておきます。S3の画面に飛んで作成したのち、戻って選択します。

続いてフレームワークを選択しますが、今回はサンプルが自動的にフィルターされていました。現状ではデフォルトで14個のフレームワークが用意されています。チェックを入れたら次へ。

続いて対象のAWSアカウントを選択します。今回はOUの指定などを行っていないので1つだけ表示されます。チェックして次へ。

次は評価対象のAWSサービスを選択していきます。全部で155項目あり、ページングされているのでチェックを押しては次のページをしばらく続けます。ページをまたがっての一括チェックはできませんでした。チェックするリソースの数を減らしたい場合や、そのフレームワークでチェックしたいリソースが明確であれば、ここを絞っても良さそうです。

今回は全て選択して次へ。

続いて監査するオーナーのIAMを選択します。私はなぜか最初ここの一覧になにも出ませんでした。なにも選択せずに次に進もうとするとエラーになります。

一旦離脱してSettingsページでDefault audit ownersから自分のIAMを選択して保存します。

するとIAMの一覧が出てくるようになりました。自分のIAMを選択して次へ進みます。

最後に確認があるので下まで行ってCreate assessmentします。

アセスメントの作成が完了しました。すべて見れるようになるには24時間かかるようです。気長に待ちましょう。

続いてPCI DSSのフレームワークを選択して同じようにセットアップしてみました。全く同じ手順でいけました。こちらも24時間まちです。

フレームワーク

フレームワークを確認すると、デフォルトで用意されているのは以下の14個でした。Controlsという項目が実際にチェックする項目数です。

Framework name Compliance type Control sets Controls
AWS Audit Manager Sample Framework AWS Audit Manager Sample Framework 2 4
AWS Control Tower AWS Control Tower 5 14
AWS License Manager AWS License Manager 6 27
AWS Operational Best Practices AWS Operational Best Practices 20 52
CIS Benchmark for CIS Amazon Web Services Foundations Benchmark, v1.2.0, Level 1 CIS 4 36
CIS Benchmark for CIS Amazon Web Services Foundations Benchmark, v1.2.0, Level 1 and 2 CIS 4 49
CIS Controls v7.1 IG1 CIS Controls 16 43
FedRAMP Moderate Baseline by Allgress FedRAMP 325 1211
GDPR GDPR 10 371
GxP 21 CFR Part 11 GxP 21 CFR Part 11 7 27
HIPAA HIPAA 6 88
HITRUST v9.4 - Level 1 HITRUST 14 156
PCI DSS V3.2.1 PCI DSS 12 665
SOC 2 SOC 2 19 56

対象の種類によるものと、コンプライアンス基準によるものがあります。よく使いそうなのはPCI DSS V3.2.1かなーという感じですね。

ほかにも医療系であればHIPAAを参考にしたり、Controlsが多いのはFedRAMPなのでこれを参考にしてみるといいかもしれません。

フレームワークはカスタムフレームワークを作成することが可能で、既存のものをフォークして作ることもできるので参考にしてみましょう。

コントロール

コントロールはフレームワークを構成する中身で、1つのチェック観点について複数のデータソースを指定して情報をまとめることが可能です。デフォルトで700個以上あります。

こちらも自由に作成やフォークが可能です。設定画面は以下のようになっており、自動収集のエビデンスと手動のエビデンスが選択でき、自動は前述4種と、その詳細を選択できます。これを1コントロールあたり最大10データソース登録できます。

アセスメントレポート

アセスメントレポートは残念ながら作成したばかりで情報がまだ集まっていないため、作ることができませんでした。

後ほど試してみます。

まとめ

AWS Audit Managerについて紹介しました。

これまでコンプライアンス要件に対する部分的な設定のチェックはできていましたが、それらを束ねてレポートとしたり継続的な監査対応のためのエビデンスを管理することができるようになったので、これらの課題があった場合には活用できそうなサービスですね!

ぜひ使ってみて下さい!