AWS 上で稼働するワークロードの GDPR 対応が必要になった時、AWS Audit Manager をどう活用できるのか確認してみた
2025.01.01いわさです。
みなさん、ご自身が関わっている AWS ワークロードの GDPR 対応が必要になったことはありますか。
General Data Protection Regulation(GDPR) とは「EU一般データ保護規則」とも呼ばれてまして EU 内の個人に関するデータを保護するための規則です。
2016 年 4~5 月に制定され、2018 年 5 月から適用が開始されています。
認証を取得する類のものではありませんが、対応できていない場合の罰則もあるのでしっかり対応していきたいところ。
GDPR 対応が必要になった時、「何から始めれば良いのだろう」と悩む方が多いと思います。
AWS は GDPR 対応を支援するための様々なサービスや情報を提供しているのでそのあたりから調べはじめていくのが良さそうです。
本記事では GDPR と AWS Audit Manager という AWS サービスについて、どう活用できるのかを紹介します。
AWS Audit Manager の GDPR フレームワーク
先日 GDPR 対応の検討にあたって、AWS Audit Manager が GDPR 用のフレームワークを提供していることを知りました。
AWS Audit Manager は様々な規則に対応する際にリソース状況などを自動収集して評価し監査用のレポート作成が可能な AWS サービスです。
Security Hub や Config を使うことで AWS リソースのチェックは可能ですが、AWS で管理できない点も含めて監査内容を基準として網羅的に対処できるのが特徴です。
GDPR 対応を行う際、AWS で何から始めたら良いか悩みがちですが、「もしや Audit Manager を有効化するだけで解決するのか?」と思いフレームワークの中身を調べてみることにしました。
このフレームワークが何をどこまでしてくれるものなのか。これを使えば簡単に対応が終わるのか。など非常に気になります。
フレームワークを使ったアセスメントを開始してみる
というわけで AWS Audit Manager のコンソールから「General Data Protection Regulation (GDPR) 2016」を選択します。
フレームワークは複数のコントロールセットとコントロールで構成されているのですが、このフレームワークでは次のようなコントロールセットで構成されていました。
Chapter 2 から Chapter 11 まで存在しますね。なんだこれは?
GDPR は全11章、99条から成る規則です。
どうやら Audit Manager のコントロールセットはこの章を準拠した構成のようです。
Chapter 1 がないのは、上記第1章が何をすべきかではなくGDPRがどういうものなのか定義の説明をしているためみたいですね。
続いて、それぞれのコントロールセット内のコントロールをみてみます。
なるほど。条項ごとにコントロールが存在するようですね。例えば次は 18 条のコントロールです。3つありますね。
これは 18 条の中の次の 3 つの項目を指しているようです。なるほど。コントロールの粒度はかなり細かいですね。
全条項が網羅されているのかなと思いきや、19 条については抜けていることに気が付きました。
原本側を確認してみると、この 19 条は 16 ~ 18 条で示されている「通知」についてちゃんと対応してくださいね。ということを言われているようです。よって上記コントロールと重複しているために割愛されているようです。
このフレームワークが原典に準拠したコントロールを提供しており、網羅性が高いことがわかりました。
GDPR 対応ではインフラストラクチャが要件を満たしていれば良いというわけではなく、アプリケーション側での対応や運用面での対応も必要になります。そのあたりも含めてエビデンスを収集することになりそうです。
評価の実施方法
ただ、実際のアセスメントは想定していたよりかなり大変そうです。
なんと、このフレームワークで定義されている全てのコントロールのエビデンスデータソースは次のようになっています。
このマニュアルというのが何かというと、コントロールに対応できている・できていないを AWS 側で自動で判断しないということです。
このフレームワークに関しては Config や Security Hub など、自動検出サービスでアセスメント内容の自動補完はしてくれないようです。AWS 側で対応ができそうな一部だけは自動検出してくれる可能性もあったのですが、残念です。
じゃあどのようにアセスメントをすればよいかですが、まずは監査に向けてエビデンスを集める必要があります。
この条項に対応できていると監査人が判断するための情報を入力したり、ファイルをアップロードします。
そして監査人はそのコントロールごとのエビデンスを確認してレビュー済みにしていきます。
まぁつまり全部手動でやる必要があるということです。
何かしら監査対応を行う際に対応項目一覧を EXCEL やスプレッドシートで管理して埋めていくことって多いと思うのですが、それを AWS マネジメントコンソール上でやるイメージですね。
コントロール一覧が最初から用意されていたり、監査ツールの権限管理ができるので、監査の観点では悪くないと思うのですが「ワークロードを対応させたい」という際にこれを使えば終わるというものではありませんでしたね。
監査レポートを作成
では Audit Manager を使う利点としては監査レポートを作成できることでしょうか。
一通りレビューを行いエビデンスをアップロードしていった後に、レポートをいつでも生成することができます。
出力されたレポートを確認してみます。
PDF 形式で出力されました。立派な表紙がついています。
フレームワーク全体の概要が表示されていますね。
対応できていることだけを示すものではなくて、どれだけ対応できていないのかも可視化できます。今回は3つのコントロールのみをアセスメント対象に挙げたので未レビューのものはレポートに掲載されていませんが。
コントロールごとでは、いつどういうエビデンスがアップされたのか確認ができます。
ただし、エビデンスとしてテキスト文字列の入力を行っていたのですが、エビデンス PDF 化にあたってマルチバイト文字が削除されてしまっていました。(value には「xxx について対応済み」と入力していた)
このあたりは制限事項として考えておいたほうが良いかもしれません。
さいごに
本日は AWS の GDPR 対応が必要になった時、AWS Audit Manager がどう活用できるのか確認してみました。
このフレームワークを使ってエビデンスを集め、レビュー済みにできれば GDPR に対応できてると言えそうです。
ただし、エビデンス収集は全て手動のためワークロードの自動評価という目的では採用できなさそうですね。
監査用に情報を一元管理したい、レポートを生成したい、という場合に採用する感じになりそうです。
冒頭の GDPR.EU にチェックリストがありまして、こちらにも記載されてるのですが、これらのツールは法的アドバイスを行うためのものではありません。組織が GDPR に完全に準拠していることを確認するためには法的な相談先が必要だということも覚えておきましょう。
