目次

AWS Audit Manager 完全ガイド v2.0

コンプライアンス監査・証拠収集・フレームワーク評価のための統合プラットフォーム

概要

AWS Audit Manager は 「AWS リソースの使用状況を継続的に監査し、コンプライアンスフレームワークへの準拠証拠を自動収集するフルマネージドサービス」 です。PCI DSS・SOC 2・ISO 27001・HIPAA・NIST・GDPR・AWS FSBP などの主要フレームワークに対して、AWS Config・CloudTrail・Security Hub・その他 AWS サービスからの評価結果を自動的に証拠として収集し、監査レポートを生成します。

重要: AWS Audit Manager は 2026 年 4 月 30 日以降、新規顧客への提供を終了します。既存顧客は引き続き利用可能です。

このサービスを選ぶ理由

なぜ AWS Audit Manager なのか

  • 手動証拠収集の完全自動化: 年次 PCI DSS・SOC 2 監査では監査人からのリクエスト(スクリーンショット・ログ・設定リスト)に対する膨大な手動収集作業が発生するが、Audit Manager は AWS Config・CloudTrail・Security Hub からの証拠を継続的に自動収集し、監査準備時間を 60-80% 削減できる

  • 複数フレームワークへの対応: PCI DSS・SOC 2・ISO 27001・HIPAA・NIST・GDPR・AWS FSBP など、主要コンプライアンスフレームワークに対応した事前構築コントロールを提供し、フレームワーク解釈の工数を削減

  • リアルタイムコンプライアンス状態把握: 年次監査の直前に問題を発見するのではなく、継続的に準拠状況を確認し問題を早期修正できる

  • Evidence Finder による証拠検索: AWS Security Lake や S3 に保存されたデータを Audit Manager 内で検索して、特定のコントロールに関連する証拠を素早く発見

  • カスタムフレームワーク対応: 独自のコンプライアンス要件に合わせてカスタムフレームワーク・カスタムコントロールを定義可能

具体的なユースケース

  • クレジットカード決済システムの年次 PCI DSS 審査に必要な証拠(AWS Config ルール評価・CloudTrail ログ)を自動収集して監査準備期間を 3 ヶ月から 2 週間に短縮

  • SaaS プロバイダーが SOC 2 Type II 報告書作成のため 12 ヶ月間の継続証拠を自動収集して 80% の監査対応工数削減

  • 医療機関が HIPAA 適合性評価を半年ごとに実施する際に AWS 環境コントロール準拠状況を継続監視

  • 金融機関が ISO 27001 認証更新のため四半期ごとの AWS ガバナンスレポート生成を自動化

  • 大規模エンタープライズが複数の AWS アカウント・リージョンにおけるコンプライアンス状態を一元監視

課題と特徴

Audit Manager が解決する課題

❌ 課題:監査対応が属人的・手動・時間がかかる
  → 監査人からのリクエスト → チームが手動で証拠収集 → Excel/Word で整理
  → 監査のたびに数ヶ月の準備 → ミス・漏れ → 不備指摘

✅ 解決:Audit Manager で証拠収集を自動化
  → AWS Config・CloudTrail が継続的に証拠収集
  → 監査レポートを自動生成
  → リアルタイムコンプライアンス監視
  → 監査対応期間を数週間に短縮

コアの特徴

特徴 説明
フレームワーク対応 PCI DSS・SOC 2・ISO 27001・HIPAA・NIST・GDPR・AWS FSBP・カスタム
自動証拠収集 AWS Config・CloudTrail・Security Hub からの自動集約
継続的コンプライアンス監視 年 1 回の監査から継続的な準拠状況確認へ
Assessment(評価) フレームワーク選択 → スコープ定義 → 自動証拠収集 → レポート生成
Delegation(委任) 監査チームが AWS 監査人に権限委任して独立監査を実現
Evidence Finder 特定コントロール関連の証拠を一元検索
カスタムコントロール 既存フレームワークから独自コントロールを定義・追加
Generative AI Best Practices AI が AWS ベストプラクティスに基づいてカスタムフレームワークを推奨

アーキテクチャ(Mermaid 図 1)

graph TB
    subgraph "データ収集層"
        A["AWS Config<br/>Configuration Items<br/>Config Rules"]
        B["CloudTrail<br/>API Call Logs<br/>Event History"]
        C["Security Hub<br/>Findings<br/>Compliance Checks"]
        D["AWS Services APIs<br/>IAM・EC2・S3・RDS<br/>リソース設定"]
    end
    
    subgraph "Audit Manager 処理層"
        E["Assessment<br/>フレームワーク選択<br/>スコープ定義"]
        F["Control Collection<br/>コントロール評価<br/>証拠マッピング"]
        G["Evidence Finder<br/>証拠検索・統合"]
        H["Report Generation<br/>PDF/CSV レポート<br/>Executive Summary"]
    end
    
    subgraph "ストレージ・出力層"
        I["S3 Bucket<br/>証拠・レポート保存<br/>バージョン管理"]
        J["Audit Manager Console<br/>進捗確認・指摘管理<br/>ダッシュボード"]
        K["AWS Config Aggregator<br/>マルチアカウント集約<br/>組織全体ビュー"]
    end
    
    A --> E
    B --> E
    C --> E
    D --> E
    
    E --> F
    F --> G
    G --> H
    
    H --> I
    H --> J
    
    F --> K
    
    style A fill:#e8f4f8
    style B fill:#e8f4f8
    style C fill:#e8f4f8
    style D fill:#e8f4f8
    style E fill:#fff3cd
    style F fill:#cfe2ff
    style G fill:#cfe2ff
    style H fill:#d1ecf1
    style I fill:#f8f9fa
    style J fill:#d4edda
    style K fill:#f8f9fa

対応フレームワーク(プリビルト + カスタム)

プリビルトフレームワーク

フレームワーク 対象業界・標準 主要コントロール例
PCI DSS 3.2.1 クレジットカード業界 セキュリティグループ・AWS KMS 暗号化・MFA・アクセス制御
SOC 2 サービス組織の内部統制(セキュリティ・可用性・機密性) ロギング・監視・インシデント対応・変更管理
ISO/IEC 27001:2022 情報セキュリティ管理体系(ISMS) リスク評価・アクセス制御・監査・資産管理
HIPAA 医療情報保護(米国) PHI 暗号化・監査ログ・バックアップ・アクセス管理
NIST SP 800-53 Rev. 5 米国政府システム(DoD・連邦) 識別と認証・アクセス制御・監査・セキュリティ監視
CIS Benchmarks CIS センタークリティカルセキュリティコントロール ハードニング・設定管理・脆弱性管理
GDPR EU 個人データ保護 データ主体の権利・データ保護・監査ログ・同意管理
AWS Foundational Security Best Practices AWS のセキュリティベストプラクティス セキュリティグループ・CloudTrail 有効化・MFA・暗号化
カスタムフレームワーク 独自コンプライアンス要件 ユーザー定義コントロール・カスタムチェック

Generative AI Best Practices Framework(新機能)

AWS Audit Manager は AI を活用してカスタムフレームワークを自動生成します。組織固有のセキュリティ・コンプライアンス要件を入力すると、AWS ベストプラクティスベースの推奨コントロールが生成されます。

コアコンポーネント詳細

1. Assessment(評価)

Assessment は特定のフレームワークに基づいて AWS リソースのコンプライアンス状況を評価するユニットです。

Assessment の構成:
  ├── フレームワーク選択(PCI DSS / SOC 2 / ISO 27001 等)
  ├── スコープ定義
  │   ├── 対象 AWS アカウント
  │   ├── 対象 AWS リージョン
  │   └── 対象サービス(EC2・S3・RDS・Lambda 等)
  ├── 監査期間設定(年度・四半期・月度)
  ├── 自動証拠収集(AWS Config・CloudTrail・Security Hub)
  └── 監査レポート生成

Assessment ライフサイクル

  • 作成(Create)→ 有効化(Activate)→ 実行(Run)→ 完了(Complete)→ アーカイブ(Archive)

2. Framework(フレームワーク)

Framework は複数の Control をグループ化したコンプライアンス標準です。プリビルトフレームワークを使用するか、カスタムフレームワークを作成できます。

# カスタムフレームワーク例
CustomFramework:
  Name: "Internal Security & Compliance"
  Controls:
    - ControlId: SEC-001
      Title: "Encryption at Rest"
      Description: "All S3 buckets must be encrypted with KMS"
      DataSources:
        - AWS Config Rule: s3-bucket-server-side-encryption-enabled
    - ControlId: SEC-002
      Title: "MFA Enforcement"
      Description: "Root account must have MFA enabled"
      DataSources:
        - CloudTrail Events
        - AWS Config: mfa-enabled-for-iam-console-access

3. Control(コントロール)

Control は個別のセキュリティ・コンプライアンス要件を検証するためのチェック項目です。各 Control は自動証拠収集(AWS Config・CloudTrail)または手動証拠アップロードで評価されます。

Control タイプ

  • Automated Control: AWS Config ルール・CloudTrail API・Security Hub 検出により自動評価
  • Manual Control: ユーザーが手動で証拠をアップロード・評価
  • Custom Control: ユーザー定義の独自チェック

4. Evidence Collection(証拠収集)

Audit Manager は以下のデータソースから継続的に証拠を自動収集します。

データソース:
  ├── AWS Config
  │   ├── Configuration Items(リソース設定)
  │   ├── Config Rules(コンプライアンスルール評価)
  │   └── Conformance Pack
  ├── CloudTrail
  │   ├── API Call Logs
  │   ├── Event History
  │   └── Data Events(S3・Lambda 等)
  ├── Security Hub
  │   ├── Findings
  │   └── Compliance Checks
  ├── AWS Services APIs
  │   ├── EC2 Security Group 設定
  │   ├── RDS Encryption Status
  │   ├── IAM Access Key Age
  │   └── リソース設定全般
  └── 手動証拠
      ├── ファイルアップロード
      ├── スクリーンショット
      └── テキストノート

5. Evidence Finder(証拠検索)

Evidence Finder は Audit Manager 内で特定のコントロールに関連する証拠を一元検索できる機能です。AWS Security Lake と連携して複数サービスのログ・イベントを集約検索します。

# 例:「セキュリティグループが 0.0.0.0/0 で SSH を許可している」証拠を検索
# Evidence Finder で SecurityGroupIngressEvent を検索
# → 非準拠 EC2 インスタンスのセキュリティグループ ID と時刻を特定

6. Delegation(委任)

Audit Manager の Delegation 機能は監査チームが外部監査人に AWS リソースへのアクセス権を安全に委任して、独立した監査を実現します。

Delegation フロー:
  1. Audit Manager の「Delegation」でリソースとアクセス権を定義
  2. 外部監査人に委任リンク + 期限付きアクセスキーを提供
  3. 監査人は Evidence Finder で証拠を検索・確認
  4. Assessment 完了後、アクセス権を自動失効

主要ユースケース(10+)

1. PCI DSS 年次監査対応

金融機関がクレジットカード決済データを扱う場合、毎年 PCI DSS 監査が必須。Audit Manager で AWS Config・CloudTrail 監査ログの継続収集 → 監査人がリアルタイム確認。

2. SOC 2 Type II レポート作成

SaaS プロバイダーが SOC 2 Type II 報告書を作成するため、12 ヶ月間のセキュリティ・可用性・機密性コントロール評価を自動収集。

3. HIPAA 医療情報保護

医療機関が HIPAA に準拠した AWS 環境のコンプライアンスを継続監視。PHI(保護医療情報)の暗号化・アクセス制御・監査ログを自動検証。

4. ISO 27001 認証更新

情報セキュリティ管理体系の認証更新時に、AWS 環境の情報セキュリティ対策(リスク評価・アクセス制御・資産管理)をコンプライアンスレポートとして生成。

5. GDPR コンプライアンス

EU ユーザーデータを扱う企業が GDPR に準拠するため、個人データ処理・暗号化・アクセス制御・監査ログを自動評価。データ保護影響評価(DPIA)の根拠として活用。

6. AWS Foundational Security Best Practices 継続監視

AWS セキュリティベストプラクティス(セキュリティグループ・CloudTrail 有効化・MFA・暗号化)への準拠を四半期ごとに自動スキャン。

7. マルチアカウント・マルチリージョン統合監査

大規模エンタープライズが複数の AWS アカウント・リージョンの Assessment を一元管理。AWS Config Aggregator で組織全体のコンプライアンス状態を可視化。

8. 内部監査・ガバナンスレポート

内部監査チームが月次・四半期ごとに AWS ガバナンスレポートを自動生成。CEO・CFO に AWS リソースのセキュリティ・コスト準拠状況をサマリーレポート。

9. カスタムコンプライアンスフレームワーク構築

金融機関が組織固有のセキュリティ基準に基づいてカスタムフレームワークを定義。プリビルトフレームワークを拡張してカスタムコントロールを追加。

10. ベンダー監査対応

顧客企業から「AWS クラウド環境のセキュリティ・コンプライアンス監査」を受ける場合、Audit Manager の Assessment・レポートを提示して信頼構築。

11. 変更管理・設定ドリフト検出

AWS リソース設定の変更を CloudTrail・AWS Config で継続監視。コンプライアンスルール逸脱時に自動通知・修復。

12. インシデント対応・根因分析

セキュリティインシデント発生時に Evidence Finder で関連ログ・イベントを素早く検索。CloudTrail イベント + AWS Config ルール評価で根因分析を加速。

設定・操作の具体例

CLI 操作例

# Assessment リスト表示
aws auditmanager list-assessments \
  --region ap-northeast-1

# PCI DSS フレームワークで Assessment 作成
aws auditmanager create-assessment \
  --name "Q1-2026-PCI-DSS-Audit" \
  --assessment-reports-destination "bucket-name=my-audit-reports" \
  --framework-id "00000000-0000-0000-0000-000000000001" \
  --assessment-type CONTINUOUS \
  --scope "{\"awsAccounts\": [{\"id\": \"123456789012\"}], \"awsServices\": [{\"serviceName\": \"EC2\"}, {\"serviceName\": \"S3\"}]}"

# Assessment 実行開始
aws auditmanager start-assessment-framework-share \
  --assessment-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" \
  --destination-account "210987654321" \
  --destination-region "ap-northeast-1"

# Control 詳細確認
aws auditmanager get-control \
  --control-id "SEC-001" \
  --control-type CUSTOM

# Evidence Finder で「セキュリティグループ」証拠を検索
aws auditmanager get-evidence-by-evidence-type \
  --evidence-type "AWS_API_CALL" \
  --assessment-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee"

# Assessment をダウンロード
aws auditmanager get-assessment-report \
  --assessment-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" \
  --assessment-report-type EVIDENCE \
  --region ap-northeast-1 > assessment-report.pdf

# カスタムコントロール作成
aws auditmanager create-control \
  --control-mapping-sources '[{
    "sourceName": "EC2-SecurityGroup-SSH",
    "sourceDescription": "SSH port 22 should not be open to 0.0.0.0",
    "sourceSetUpOption": "System_Controls_Mapping",
    "sourceType": "AWS_Config",
    "sourceKeyword": {
      "keywordInputType": "SELECT_FROM_LIST",
      "keywordValue": "ec2-security-group-ssh-allowed"
    }
  }]' \
  --name "EC2 SSH Access Control" \
  --description "Verify SSH port 22 is not open to all IPs"

Terraform 操作例

# Audit Manager Assessment (Terraform)
resource "aws_auditmanager_assessment" "pci_dss_audit" {
  name            = "Q1-2026-PCI-DSS-Compliance"
  assessment_type = "CONTINUOUS"
  
  assessment_reports_destination {
    destination_bucket = aws_s3_bucket.audit_reports.id
  }

  framework_id = "00000000-0000-0000-0000-000000000001" # PCI DSS

  scope {
    aws_accounts {
      id = data.aws_caller_identity.current.account_id
    }
    aws_services {
      service_name = "EC2"
    }
    aws_services {
      service_name = "S3"
    }
  }

  tags = {
    Environment = "Production"
    Framework   = "PCI-DSS"
  }
}

# カスタムコントロール定義
resource "aws_auditmanager_control" "custom_encryption_check" {
  name        = "S3 Encryption Control"
  description = "All S3 buckets must be encrypted with KMS"
  control_mapping_sources {
    source_name        = "aws-config-rule"
    source_description = "S3 bucket server-side encryption"
    source_type        = "AWS_Config"
    source_set_up_option = "System_Controls_Mapping"
    source_keyword {
      keyword_input_type = "SELECT_FROM_LIST"
      keyword_value      = "s3-bucket-server-side-encryption-enabled"
    }
  }

  type = "Custom"
}

# カスタムフレームワーク構築
resource "aws_auditmanager_framework" "custom_security_framework" {
  name               = "Internal Security Framework 2026"
  description        = "Custom security and compliance controls"
  framework_type     = "Custom"
  
  control_sets {
    name = "Data Protection"
    controls = [
      aws_auditmanager_control.custom_encryption_check.id
    ]
  }

  control_sets {
    name = "Access Control"
    controls = [
      "SEC-002", "SEC-003"  # IAM・MFA コントロール
    ]
  }
}

SDK 操作例(Python)

import boto3
from datetime import datetime

audit_manager = boto3.client('auditmanager', region_name='ap-northeast-1')

# Assessment 作成
response = audit_manager.create_assessment(
    name='Q1-2026-ISO27001-Audit',
    assessmentType='CONTINUOUS',
    frameworkId='00000000-0000-0000-0000-000000000001',  # ISO 27001
    assessmentReportsDestination={
        'destinationType': 'S3',
        'destination': 'my-audit-bucket'
    },
    scope={
        'awsAccounts': [
            {
                'id': '123456789012',
                'emailAddress': 'security@company.com',
                'name': 'Production Account'
            }
        ],
        'awsServices': [
            {'serviceName': 'EC2'},
            {'serviceName': 'RDS'},
            {'serviceName': 'S3'},
            {'serviceName': 'IAM'}
        ]
    },
    tags={
        'CostCenter': 'Security',
        'Compliance': 'ISO27001'
    }
)

assessment_id = response['assessment']['id']
print(f"Assessment created: {assessment_id}")

# Evidence Finder でコントロール関連の証拠を検索
evidence_response = audit_manager.get_evidence_by_evidence_folder(
    assessmentId=assessment_id,
    controlSetId='cs-001',
    controlId='SEC-001'
)

for evidence in evidence_response['evidenceFolders']:
    print(f"Evidence: {evidence['evidenceFolderId']}")

# Assessment レポート生成
report_response = audit_manager.get_assessment_report(
    assessmentId=assessment_id,
    assessmentReportType='DETAILED'
)

# レポートを S3 に保存
s3 = boto3.client('s3')
s3.put_object(
    Bucket='my-audit-bucket',
    Key=f'reports/{assessment_id}-{datetime.now().isoformat()}.pdf',
    Body=report_response['assessmentReport']['body']
)

CloudFormation 操作例

AWSTemplateFormatVersion: '2010-09-09'
Description: 'AWS Audit Manager PCI DSS Assessment Setup'

Resources:
  AuditReportsBucket:
    Type: AWS::S3::Bucket
    Properties:
      BucketName: my-audit-reports-bucket
      VersioningConfiguration:
        Status: Enabled
      PublicAccessBlockConfiguration:
        BlockPublicAcls: true
        BlockPublicPolicy: true
        IgnorePublicAcls: true
        RestrictPublicBuckets: true

  AuditManagerAssessment:
    Type: AWS::AuditManager::Assessment
    Properties:
      AssessmentName: 'PCI-DSS-2026-Q1'
      FrameworkId: '00000000-0000-0000-0000-000000000001'
      AssessmentType: 'CONTINUOUS'
      AssessmentReportsDestination:
        DestinationType: 'S3'
        Destination: !Ref AuditReportsBucket
      Scope:
        AwsAccounts:
          - Id: !Ref AWS::AccountId
      Tags:
        Framework: PCI-DSS
        Environment: Production

  AuditManagerRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: auditmanager.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - 'arn:aws:iam::aws:policy/service-role/AuditManagerServiceRole'
      Policies:
        - PolicyName: AuditManagerS3Access
          PolicyDocument:
            Version: '2012-10-17'
            Statement:
              - Effect: Allow
                Action:
                  - 's3:GetObject'
                  - 's3:PutObject'
                Resource: !Sub '${AuditReportsBucket.Arn}/*'

Outputs:
  AssessmentId:
    Value: !GetAtt AuditManagerAssessment.AssessmentId
    Export:
      Name: AuditManagerAssessmentId

類似サービス比較表

サービス 使用対象 強み 弱み
AWS Audit Manager AWS リソースのコンプライアンス監査・証拠収集 AWS ネイティブ・複数フレームワーク対応・自動証拠収集・Evidence Finder 新規顧客受け付け停止(2026/4/30)・AWS リソース限定
Drata SaaS のコンプライアンス・セキュリティ監査 マルチクラウド対応・ノーコード・業界別テンプレート豊富 費用が高い・AWS Config との連携が限定的
Vanta SaaS・クラウド企業向けセキュリティ監査 マルチクラウド・AI 駆動・自動修復・ベンダーリスク評価 費用が高い・小規模企業には過度
Tugboat Logic クラウド・IoT 企業向けコンプライアンス ビジュアルマッピング・カスタマイズ性高い・SOC 2 重視 AWS Config 連携が限定的・小規模ベンダー
Hyperproof エンタープライズ向けコンプライアンス・GRC 複数フレームワーク・マトリックスマッピング・Slack 統合 費用が高い・実装期間が長い
OneTrust GRC(ガバナンス・リスク・コンプライアンス)統合プラットフォーム リスク管理・プライバシー・サードパーティ管理を統合 複雑・大企業向け・AWS Audit Manager との直接競合なし
ServiceNow GRC エンタープライズ GRC・IT ガバナンス ITSM・ITIL との統合・マルチクラウド・大規模企業対応 複雑・実装が重い・AWS Audit Manager より広範
AWS Config リソース設定変更・コンプライアンスルール評価 リアルタイム変更追跡・カスタムルール・自動修復 監査レポート生成機能なし・監査対応には不十分
AWS Security Hub セキュリティ検出結果の集約・優先順位付け 複数サービス統合・標準化された検出 証拠収集・監査レポート機能なし

ベストプラクティス

✅ 推奨事項

# 項目 実装例
1 複数フレームワークの同時評価 PCI DSS + ISO 27001 + AWS FSBP を同時に Assessment実施。複数基準への同時準拠を確認
2 継続的監視の有効化 Assessment を CONTINUOUS に設定して月 1 回の自動実行。年 1 回の監査から継続監視へ
3 カスタムコントロールの活用 組織固有のセキュリティ要件をカスタムコントロールとして定義。プリビルトフレームワークを拡張
4 Evidence Finder の積極活用 特定コントロール関連の証拠を Event ID・リソース ID で検索。監査人への証拠提示を自動化
5 マルチアカウント集約 AWS Config Aggregator で複数アカウント Assessment を一元管理。組織全体のコンプライアンス可視化
6 Delegation の活用 外部監査人に期限付きアクセス権を委任。Evidence Finder で独立監査を実現
7 自動修復の実装 AWS Config Remediation + EventBridge で非準拠リソースを自動修復(SecurityGroup 設定等)
8 レポート自動生成スケジュール 月次・四半期・年次レポートを自動生成 → S3 + SNS で経営層に配信
9 CloudTrail と Config の有効化確認 Assessment 実行前に CloudTrail・AWS Config が有効かチェック。データ欠落は証拠不備につながる
10 タグとコスト管理 Assessment に Framework・CostCenter タグを付与。アカウント別・部門別のコンプライアンスコストを可視化

❌ 非推奨事項

# 項目 回避理由
1 Assessment を手動実行のみに設定 継続的監視ができず、年 1 回の監査直前に問題発見 → 修復時間不足
2 プリビルトフレームワークのみ使用 組織固有の要件が反映されない → 監査人から「このコントロールはどこで評価されているのか」との指摘
3 CloudTrail・AWS Config を無効化 Audit Manager が証拠を収集できない → 手動証拠のみになり自動化の意味がない
4 複数フレームワークの重複評価なし 複数フレームワークの同時準拠を証明できない → 各監査ごとに別々の Assessment 実施で工数増
5 Evidence Finder 未活用 証拠検索に数時間かかる → 監査人への回答が遅延
6 Assessment レポートを S3 に保存しない Audit Manager コンソールのみに依存 → 削除時に監査証跡が失われる
7 Delegation を使わず全て内部チームで対応 独立監査が実現できない → 監査人から「利益相反」の指摘

トラブルシューティング表

問題 原因 解決策
Assessment 実行に CloudTrail/AWS Config のデータが反映されない CloudTrail・AWS Config が無効または設定不足 CloudTrail を有効化して Data Events を有効にする・AWS Config を全リージョンで有効化
Evidence Finder で期待の証拠が見つからない CloudTrail イベント・AWS Config ルール評価のデータが不足 検索フィルター(時間範囲・リソース ID)を確認・CloudTrail ログ保持期間(デフォルト 90 日)確認
カスタムコントロールが評価されない コントロールにデータソース(AWS Config ルール等)が紐付いていない Control Details で Data Sources を確認・AWS Config ルール ID が正確か確認
Assessment レポートが PDF で生成されない S3 バケットの権限不足・バケットが削除された IAM ロール権限確認・S3 バケット存在確認・バージョニング有効化
複数アカウント Assessment で一部データが不足 委任アカウントで CloudTrail・AWS Config が無効 各委任アカウント側で CloudTrail・AWS Config 有効化・IAM クロスアカウントロール確認
Evidence Finder 検索が遅い 大量の CloudTrail イベント・AWS Security Lake 未統合 AWS Security Lake 有効化検討・時間範囲を絞って検索

2025-2026 最新動向

❗ 重要:新規顧客受け付け停止(2026 年 4 月 30 日)

AWS Audit Manager は 2026 年 4 月 30 日以降、新規顧客への提供を終了 します。既存顧客は引き続き利用可能です。新規顧客は代替サービス(Drata・Vanta・Tugboat Logic など)の導入を検討してください。

Generative AI Best Practices Framework

AWS が AI を活用してカスタムフレームワークを自動生成する機能を開発中。組織のセキュリティ要件を自然言語で入力すると、AWS ベストプラクティスベースの推奨コントロールが自動生成されます(2026 年 Q2 リリース予定)。

Evidence Finder の拡張

AWS Security Lake との統合深化。複数サービスのログ・イベントを一元検索可能に。検索速度の改善と AI による関連証拠の自動推奨機能が追加予定。

Assessment Automation API の強化

AWS CLI・SDK での Assessment 実行・レポート取得の API が拡張。CI/CD パイプラインで Assessment を自動化する組織が増加。

学習リソース・参考文献

公式ドキュメント

AWS ブログ・記事

オープンソース・ベンダーツール

  • Drata: SaaS コンプライアンス・セキュリティ監査プラットフォーム
  • Vanta: マルチクラウド対応セキュリティ・コンプライアンス監査
  • Tugboat Logic: ビジュアルマッピング型コンプライアンスツール
  • Hyperproof: エンタープライズ GRC 統合プラットフォーム

関連 AWS サービス

  • AWS Config - リソース設定変更・コンプライアンスルール評価
  • CloudTrail - API イベント・監査ログ記録
  • Security Hub - セキュリティ検出結果の集約
  • AWS Security Lake - セキュリティログの一元管理

実装例・導入ロードマップ

実装例:PCI DSS Assessment 構築(4 週間)

Week 1: 環境準備
  ├── CloudTrail・AWS Config を全リージョンで有効化
  ├── S3 バケット作成(監査レポート保存用)
  ├── IAM ロール設定(Audit Manager のアクセス権)
  └── AWS Security Lake 有効化(オプション)

Week 2: Assessment 作成・フレームワーク選択
  ├── PCI DSS プリビルトフレームワーク選択
  ├── 対象 AWS アカウント・リージョン・サービス定義
  ├── Assessment スコープ設定
  └── Continuous Assessment で月 1 回の自動実行設定

Week 3: カスタムコントロール追加・テスト
  ├── 組織固有のセキュリティ要件をカスタムコントロール化
  ├── AWS Config ルール・CloudTrail イベントマッピング確認
  ├── 初回 Assessment 実行
  └── Evidence Finder で証拠収集確認

Week 4: 監査人との連携・レポート生成
  ├── Delegation で外部監査人に権限委任
  ├── 月次・四半期レポート自動生成設定
  ├── CloudWatch Alarms で非準拠リソース通知設定
  └── Assessment 結果の経営層への報告・改善計画策定

マルチアカウント統合ロードマップ(8 週間)

Week 1-2: 本社アカウント Assessment 構築
  ├── PCI DSS・ISO 27001 Assessment 作成
  ├── カスタムコントロール定義
  └── CI/CD パイプライン検証

Week 3-4: AWS Config Aggregator 構築
  ├── 子アカウント側で CloudTrail・AWS Config 有効化
  ├── AWS Config Aggregator で複数アカウント集約
  ├── IAM クロスアカウントロール設定
  └── 親アカウント側で全子アカウント Assessment 作成

Week 5-6: Evidence Finder・Delegation 設定
  ├── AWS Security Lake との連携確認
  ├── 外部監査人への Delegation 権限設定
  ├── Evidence Finder 検索テスト(複数アカウント)
  └── パフォーマンス測定

Week 7-8: 本番運用移行・自動化
  ├── 月次・四半期レポート自動生成スケジュール設定
  ├── Slack・Email 通知設定(非準拠検出時)
  ├── AWS Lambda で Assessment 実行自動化
  └── 監査チームへのトレーニング・ドキュメント整備

高度なユースケース・エンタープライズパターン

Drata・Vanta との統合ガイド(代替サービス検討時)

Audit Manager 新規顧客受け付け停止後の代替選択肢:

Drata との連携

Drata(SaaS コンプライアンスプラットフォーム):
  ✓ AWS Config・CloudTrail データをネイティブ連携
  ✓ Audit Manager より UI/UX が洗練
  ✓ マルチクラウド対応(AWS・GCP・Azure)
  ✓ SOC 2 Type II 報告書自動生成機能豊富
  ✗ Audit Manager より高額(セット年 $15,000〜)
  ✗ 学習曲線が急(複雑な UI)

導入パス:
  1. Drata 無料試用(14 日)で AWS Config 連携確認
  2. AWS Config ルール・CloudTrail ログをコピー
  3. Drata で Control のマッピング(1-2 週間)
  4. Audit Manager → Drata への段階的移行

Vanta との連携

Vanta(AI 駆動型セキュリティ・コンプライアンス監査):
  ✓ AWS リソーススキャンが自動・頻繁
  ✓ AI が優先度付けして「今週対処すべき上位 10」を提示
  ✓ Evidence Finder 相当機能が充実
  ✓ ベンダーリスク評価も統合
  ✗ 高額(年 $20,000〜)
  ✗ AWS 限定ではない(マルチクラウド対応のため AWS 統合が深くない場合も)

導入パス:
  1. Vanta と Audit Manager の並行運用(6 ヶ月)
  2. Vanta の AI 推奨の効果測定
  3. 段階的に Audit Manager から Vanta に移行

Government/Financial Regulation(政府・金融向け)

FedRAMP Compliance(米国政府向け)

Audit Manager は AWS FedRAMP Moderate レベル対応:
  ✓ NIST SP 800-53 フレームワーク対応
  ✓ 政府クラウド(AWS GovCloud)での利用可能
  ✓ CloudTrail・AWS Config の FedRAMP 監査ログ統合

実装例:
  1. AWS GovCloud (US) リージョン選択
  2. Audit Manager で NIST Assessment 作成
  3. FedRAMP 監査人へ Delegation で権限委任
  4. CloudTrail ログを FedRAMP データセンターに保管

HIPAA(医療情報保護)

Audit Manager HIPAA フレームワーク実装:
  ✓ PHI(保護医療情報)の暗号化・アクセス制御・監査ログ
  ✓ AWS HIPAA Business Associate Agreement(BAA)締結済み
  ✓ Evidence Finder で HIPAA コントロール関連ログを検索

実装例:
  1. AWS BAA 契約確認
  2. Audit Manager で HIPAA Assessment 実行
  3. PHI を扱う EC2・RDS・S3 のリソースを Assessment スコープに
  4. 自動証拠収集で HIPAA 監査対応の工数削減

PCI-DSS v4.0(2026 年適用開始)

PCI-DSS v4.0 新要件への対応:
  ✓ Audit Manager が PCI-DSS v4.0 フレームワーク対応予定(Q2 2026)
  ✓ 新要件:多要素認証・脆弱性スキャン・ペネトレーション テスト自動化

準備タスク:
  1. 現行 PCI-DSS v3.2.1 Assessment 継続実行
  2. PCI-DSS v4.0 Control マッピング確認
  3. 新要件の自動化・ツール整備(脆弱性スキャン等)
  4. 2026 年 Q4 までに PCI-DSS v4.0 Assessment に移行

Control・Evidence の深掘り分析

Control の種類別アプローチ

Automated Control の信頼性強化

Automated Control は AWS Config・CloudTrail に依存するため、
データソースの正確性が最大の課題:

問題:
  ❌ CloudTrail ログが 90 日で削除
  ❌ AWS Config ルール評価が遅延(15 分遅延可能)
  ❌ リソースメタデータの不一致(EC2 タグ未設定)

対策:
  ✅ CloudTrail ログを S3・Security Lake に長期保存
  ✅ AWS Config Conformance Pack で一貫性確保
  ✅ リソースタグ標準化ガイドライン整備
  ✅ 自動修復ルール(Remediation)で実時間対応

Manual Control の効率化

Manual Control は人間の判断が必要なため、工数削減が鍵:

従来アプローチ:
  ❌ Excel で手動チェック・スクリーンショット添付
  ❌ 毎回同じ工数を消費
  ❌ ヒューマンエラー・漏れ

効率化アプローチ:
  ✅ Evidence Finder で関連ログを自動検索
  ✅ Markdown テンプレート使用(再利用)
  ✅ 異動者向けナレッジベース構築
  ✅ 毎年の工数削減目標(初年度 100 時間 → 2 年目 50 時間)

Custom Control の組織固有性活用

Custom Control で組織のセキュリティ文化を反映:

例:FinTech スタートアップの Custom Control
  1. 「すべての顧客データアクセスは MFA + IP 制限」
     → Automated Control + Lambda で自動検証
  
  2. 「本番デプロイは Code Review + 2 人承認」
     → Manual Evidence(Pull Request・Approval ログ)
  
  3. 「セキュリティインシデント対応時間 < 30 分」
     → Manual Evidence(Incident Report・Resolution ログ)

効果:
  ✓ 業界標準(SOC 2)+ 組織ポリシーのハイブリッド監査
  ✓ 監査人からの「貴社特有の強み」という評価
  ✓ 競争優位性の可視化(営業資料・投資家向けピッチ)

Business Intelligence・分析活用

Audit Manager データの BI ツール連携

Tableau との連携例

Audit Manager Assessment データを Tableau で分析:

1. Audit Manager API → Lambda → S3 (JSON)
2. S3 → Athena SQL → Tableau Data Source
3. Tableau Dashboard で可視化

ダッシュボード例:
  ├── Assessment Progress(完了度%・期限管理)
  ├── Control Health(準拠・要対応・異議あり)
  ├── Risk Heatmap(High/Medium/Low Risk 分布)
  ├── Evidence Aging(最後の更新日時が古い Control)
  └── Trend(前月・前年との比較)

効果:
  ✓ 経営層が一目で全体的なコンプライアンス状態を把握
  ✓ 四半期ごとの改善トレンドが可視化
  ✓ ボトルネック Control を特定・優先度付け

Amazon QuickSight との連携

QuickSight(AWS ネイティブ BI)による簡易分析:

セットアップ:
  1. Audit Manager Assessment API データを S3 に定期保存
  2. QuickSight で S3 データセット作成
  3. SPICE(QuickSight 高速キャッシュ)で月額 $0.25/GB

ダッシュボード例:
  ├── Control Status Pie Chart(準拠度 %)
  ├── Time Series(Assessment 進捗の時系列)
  ├── Evidence Finder Result Count(検出証拠数)
  └── Custom Metric(非準拠リソースの月額コスト影響)

利点:
  ✓ Tableau より低額(QuickSight は月額 $18~)
  ✓ AWS IAM 統合で認証不要
  ✓ Assessment API データと自動連携

実装チェックリスト

  • [ ] CloudTrail を全リージョン・全アカウント・Data Events で有効化
  • [ ] AWS Config を全リージョンで有効化
  • [ ] AWS Security Lake 有効化(オプションだが Evidence Finder 活用に推奨)
  • [ ] S3 バケット作成・バージョニング有効化(監査レポート保存用)
  • [ ] IAM ロール設定(AuditManagerServiceRole・S3 アクセス権)
  • [ ] PCI DSS/ISO 27001/HIPAA など対象フレームワーク選択
  • [ ] 対象 AWS アカウント・リージョン・サービス定義
  • [ ] Assessment 作成・Continuous Assessment 設定
  • [ ] カスタムコントロール作成(組織固有要件向け)
  • [ ] 初回 Assessment 実行・Evidence Finder テスト
  • [ ] マルチアカウント環境では AWS Config Aggregator 構築
  • [ ] 外部監査人への Delegation 権限設定
  • [ ] 月次・四半期レポート自動生成スケジュール
  • [ ] CloudWatch Alarms で非準拠リソース自動通知
  • [ ] AWS Lambda で自動修復ロジック実装(オプション)
  • [ ] 監査チーム・経営層向けドキュメント整備
  • [ ] Tableau/QuickSight ダッシュボード構築
  • [ ] 2026 年 5 月以降の代替サービス評価(Drata・Vanta など)

まとめ

AWS Audit Manager は 「AWS リソースのコンプライアンス監査・証拠収集を自動化するフルマネージドサービス」 です。PCI DSS・SOC 2・ISO 27001・HIPAA・NIST・GDPR など複数フレームワークに対応し、AWS Config・CloudTrail・Security Hub からの自動証拠収集により、年次監査の準備期間を数ヶ月から数週間に短縮できます。

Evidence Finder による証拠検索・Delegation による独立監査実現・カスタムコントロール対応など、エンタープライズグレードのコンプライアンス監査プロセスを AWS ネイティブで構築できます。

ただし 2026 年 4 月 30 日以降は新規顧客への提供が終了 するため、新規導入を検討する場合は Drata・Vanta など代替サービスの検討も必要です。既存顧客は継続利用可能で、AI 駆動のカスタムフレームワーク生成・Evidence Finder の拡張など、引き続き機能強化が進められています。

最終更新:2026-04-26

バージョン:v2.0