[アップデート] AWS Audit Manager のコントロールにコアとコモンが追加され、カスタムコントロールの実装も簡単になりました

いわさ

2024.06.11

いわさです。

AWS Audit Manager ではコントロールと呼ばれるコンポーネントを複数構成しフレームワークを構築しています。
そしてそのフレームワークを使って PCI DSS などの各種コンプライアンスに準拠しているか環境を継続的にチェックしたりレポートの出力が出来る、監査向けのサービスです。

先日のアップデートで AWS Audit Manager のコントロールに コモン(Common)タイプのコントロールが追加されました。

汎用的に使えるコントロールタイプが追加された

個々のコントロールは従来は スタンダードとカスタムの 2 種類が提供されていました。
Standard は AWS によって事前に用意されているコントロールで、Custom はユーザーが個別にカスタマイズして作成するコントロールです。
それらのコントロールの根底はデータソースと呼ばれるものを使って環境の継続的チェックを行っており、Security Hub や Config、あるいは API を一定間隔でポーリング実行するものなど様々です。

Standard コントロールも Custom コントロールもこれまではデータソースを組み合わせて構成されているものでした。

これが今回のアップデートで、コモン(Common)コントロールと コア(Core)コントロールという概念が導入されました。
特定のテーマに沿ったデータソースを組み合わせたものが Core コントロール、Custom コントロールなどから使いやすいようにコアコントロールや Data Source を組み合わせた汎用的なコントロールがコモンコントロールという位置づけです。
併せてスタンダードコントロールの大部分は、個別にデータソースを構成せずにコアコントロールを組み合わせるものが多くなっています。

コントロールライブラリからコモンコントロールを確認してみる

Audit Manager にはコントロールライブラリという機能があって、そちらからコントロール一覧を確認することが出来ます。
そして、今回のアップデートでコントロールライブラリに次の「Common」タブが追加されています。

本日時点でコモンコントロールは 200 ~ 250 個、スタンダードコントロールは 600 ~ 650 個リストアップされていました。(東京リージョン)

コモンコントロールのひとつを開いてみましょう。

こちらは MFA に関する汎用的なコントロールです。
スタンダードコントロールと似ていますが、Compliance type のプロパティがありませんね。
そしてエビデンスソース欄には対象のコアコントロールが表示されています。

次はスタンダードコントロールです。
注目する点としてはエビデンスソースにコアコントロールが表示されていますね。そしてそのコアコントロールの中でそれぞれのデータソース(Config など)が構成されています。

なお、それぞれのコモンコントロールは Related requirements タブにて関連しているスタンダードコントロールを確認することが出来ます。

カスタムコントロールで使う

コモンコントロールとコアコントロールが登場したことで一番恩恵を受ける部分はカスタムフレームワークやカスタムコントロールの作成だと思います。
それぞれのカスタムコントロールごとにデータソースを構成する必要がなくなりました。
既成のコモンコントロール、コアコントロールを組み合わせてカスタムコントロールを作成することが出来ます。もちろん従来のようにデータソースを個別に構成することも出来ます。

次はコモンコントロールを選択する場合です。

次はコアコントロールを選択する場合です。

まずはコモンコントロールの組み合わせでカスタムコントロールを実現出来るか検討しましょう。その上でもう少し細かい設定が必要であればコアコントロールを個別に構成し、さらに細かい設定が必要あるいは手動エビデンスが必要であればデータソースを構成する形になると思います。

コモンコントロールとコアコントロールを選択して作成されたカスタムコントロールは次のようにエビデンスソースが表示されます。なるほど。

カスタムフレームワークで使う

カスタムフレームワークで選択出来るコントロールタイプはスタンダードコントロールかカスタムコントロールです。
そのため、カスタムフレームワークで使用する場合は事前にコモンコントロールを使ったカスタムコントロールを構成しておく必要があります。

さいごに

本日は AWS Audit Manager のコントロールにコアとコモンが追加されたので、カスタムコントロールやカスタムフレームワークを実際に作成してみました。

新しいレイヤーというか、コモンコントロールとコアコントロールの登場によってカスタムコントロールの作成を効率的に行うことが出来そうです。
AWS が今後のアップデートでコモンコントロールやコアコントロールをメンテナンスすることもあるようで、その際にもこの機能を使ってカスタムコントロールを作成しておくと自動で更新が反映される形になります。

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[アップデート] AWS Audit Manager の AWS Generative AI Best Practices Framework が v2 にアップグレードされ、SageMaker もマッピングされるようになりました

いわさ

2024.06.12

[アップデート] AWS Audit Manager の一部イベントが EventBridge に統合されたので、CloudTrail 経由との使い分けを考えてみた

いわさ

2023.08.21

[アップデート]AWS Backup Audit Manager の管理をメンバーアカウントに委任できるようになりました

平井裕二

2023.08.17