AWS Audit Manager

AWS Audit Manager は 2026年4月30日から新規利用に制限が入る

現在、Audit Manager では、2026年4月30日以降は新規顧客向け提供が終了しています。 Audit Manager の管理画面では以下のメッセージが表示されています。

AWS Audit Manager has moved to maintenance mode.
AWS Audit Manager has moved to maintenance mode. We will continue to support the service for the use of existing customers in established accounts, however as of April 30th 2026 customers will no longer be able to set up Audit Manager in new accounts. Learn more at Availability Change Page .

日本語に翻訳すると以下になります。

AWS Audit Manager はメンテナンスモードに移行しました。

AWS Audit Manager はメンテナンスモードに移行しました。既存のアカウントをご利用のお客様については引き続きサポートいたしますが、2026 年 4 月 30 日以降は、新規アカウントでの Audit Manager の設定はできなくなります。詳細は、提供状況変更ページをご覧ください。

新規アカウントでの設定はできなくなるようです。

AWS Audit Manager の特徴

AWS Audit Manager は、AWS 環境の監査証跡設定情報を自動で集めて、監査・リスク・コンプライアンス評価に使いやすい形へ整理するサービスです。Audit Manager は AWS の利用状況を継続的に監査し、規制や業界標準への準拠評価をし、証拠収集を自動化して監査対応レポートを作成します。

簡単に言うと、コンプライアンス要件を満たせているか証拠を収集して監査レコードを作成してくれます。AWSリソースだけでなくオンプレミス環境の証拠も収集でき、手動でアップロードが可能です。

Audit Managerのイメージ

Audit Manger は以下のように、Config や CloudTrail や Security Hub などから情報を収集して監査レポートを作成します。Audit Manager は監査用のサービスですが監査ログそのものではありません。個人情報保護のための統制が運用されている証拠を集めたいというケースで利用します。

AWS Config
CloudTrail
Security Hub
AWS API
手動アップロード資料
        ↓
AWS Audit Manager
        ↓
統制ごとに証跡を整理
        ↓
監査レポート作成

Audit Manager は証拠集め整理自動化するサービスです。監査で必要になる、どのコントロールに対して、どの証拠があるかを集約し、レビューし、レポートします。

Audit Manager の中核は、Assessment、Framework、Control、Evidence の4つです。

  • Assessment  … 実際の監査評価の単位、評価プロジェクト
  • Framework … コントロールのまとまり、監査基準・管理基準のひな形
  • Control … 個々の統制項目、個別の統制項目
  • Evidence … その統制を満たしていることを示す証拠、証跡・証拠
  • Assessment Report … 監査レポート
  • Audit owner … 監査の担当者
  • Delegate … 各統制のレビュー担当者

たとえば、個人情報保護の観点なら、次のような統制を作ります。

個人情報を保存するS3バケットは暗号化されているか
RDS/Auroraは暗号化されているか
CloudTrailは有効化されているか
監査ログはCloudWatch Logsに出力されているか
Security Hubの重要検出事項は対応されているか
IAM権限は最小権限になっているか

これらを Control として定義し、各Controlに対して証跡を集めます。

AWS Audit Manager と AWS Config の違い

AWS Config はリソースの設定変更を監視し、コンプライアンス違反を検出する サービスです。しかし、監査証拠を収集してレポートを作成する機能はありません。

監査とは

監査は、ルールどおりに運用できているかを、第三者的な立場で確認することです。事前に決めた約束(ルール)通りにやっているかの点検です。

たとえば会社では、以下について確認します。

  • 決められた手順で作業しているか
  • 不正が起きにくい仕組みになっているか
  • 設定ミスや権限の与えすぎがないか
  • 記録がきちんと残っているか
  • 法律や社内ルールを守っているか

監査の目的

監査の主な目的は以下になります。

  • ミスや不正を防ぐ
  • 問題を早く見つける
  • ルール違反を減らす
  • 会社として安全に運営できるようにする

ITの監査の場合は何を見るか

AWS やシステムの世界は以下を確認します。

  • 誰がいつ何を変更したか
  • 管理者権限が適切か
  • ログが取れているか
  • バックアップがあるか
  • 暗号化されているか
  • 設定が社内基準に合っているか

AWS Audit Manager は「監査」そのものではなく、以下の監査のための情報を集めるサービスです。

  • ログ
  • 設定情報
  • 証拠