監査が完了すると、Audit Manager は次の種類のアーティファクトを作成して転送先ストレージ バケットに保存し、ユーザーが確認できるようにします。
始める前に
次の IAM ロールがあることを確認します。
リソースに対する次のいずれかの Audit Manager ロール:
- Audit Manager 管理者(
roles/auditmanager.admin) - Audit Manager 監査担当者(
roles/auditmanager.auditor)
- Audit Manager 管理者(
監査マネージャー レポートを含むストレージ バケットに対する次のいずれかの Cloud Storage ロール。
- Storage 管理者(
roles/storage.admin) - ストレージのレガシー バケット オーナー(
roles/storage.legacyBucketOwner) - ストレージ レガシー オブジェクト読み取り(
roles/storage.legacyObjectReader)
- Storage 管理者(
Audit Manager レポートを表示する
Google Cloud コンソールで、[監査マネージャー] ページに移動します。
[コンプライアンス監査] セクションで、[監査を表示] をクリックします。
[View assessments] ページで、進行中の監査または完了した監査のステータスを確認できます。
表示する監査情報の種類に応じて、対応するタブの手順に沿って操作します。
監査概要レポート
- 監査の概要を表示するには、[ステータス] 列のリンクをクリックします。
[基本情報] ページには、スコープ内のコンプライアンス コントロールに関する情報と、自動化されたコンプライアンスのステータスが表示されます。
- 準拠: すべての要件を満たす構成が表示されます。
- 違反: 特定のコントロールに対して検出された構成ミスが表示されます。
- 手動レビューが必要: コンプライアンスとプロセス コントロールを証明するためにユーザーの入力が必要な構成が表示されます。
- スキップ: 特定のコントロールに対して監査マネージャーがスキップした構成が表示されます。
- ステータスの詳細を表示するには、[表示] をクリックします。
- 監査の概要レポートをエクスポートするには、[エクスポート] をクリックします。監査概要レポートは ODS 形式でエクスポートされます。
コントロール概要レポート
[基本情報] ページでは、コントロールまたはステータスに基づいてコントロールの概要レポートを表示できます。
- コントロールに基づいてコントロール概要レポートを表示する手順は次のとおりです。
- 必要なコントロールを開きます。
- 各ルールに対するコンプライアンス評価の詳細を表示するには、対応するハイパーリンクをクリックします。コントロール ページには、責任、検出結果、要件が表示されます。
- ステータスに基づいてコントロール レポートを表示する手順は次のとおりです。
- 必要なステータスの [表示] をクリックします。
- コントロールのリストで、必要なハイパーリンクをクリックします。コントロール ページには、責任、検出結果、要件が表示されます。
コントロール概要レポートをエクスポートするには、[エクスポート] をクリックします。[バケットの詳細] ページで、コントロール名をクリックして [ダウンロード] をクリックします。コントロール概要レポートは ODS 形式でエクスポートされます。
根拠
検出結果の証拠を表示するには、コントロール ページの対応するハイパーリンクをクリックします。証拠の詳細を含む [オブジェクトの詳細] ページが別のタブで開きます。
証拠をダウンロードするには、[ダウンロード] をクリックします。証拠は JSON 形式でダウンロードされます。
- 監査の概要を表示するには、[ステータス] 列のリンクをクリックします。
また、必要なレポートと証拠を宛先ストレージ バケットから直接ダウンロードすることもできます。詳細な手順については、バケットからオブジェクトをダウンロードするをご覧ください。
監査概要レポート
監査概要レポートは、すべてのコンプライアンス コントロールの概要と責任マトリックスを提供する包括的なレポートです。このレポートにより、システムを把握できます。
宛先ストレージ バケットでは、監査概要レポートに次の命名規則が使用されます。
audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
プレースホルダの値は次のとおりです。
- CONTROL_PACKAGE_NAME: コントロール パッケージの名前(
SOC2 2017など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
監査概要レポートでは、該当する各コントロール タイプについて次のフィールドが入力されます。
| コントロール タイプ | 説明 |
|---|---|
| コントロール情報 | コントロールの説明と要件。 |
| Google の責任 | Google Cloud の責任と実装の詳細。 |
| お客様の責任 | お客様の責任と実装の詳細。 |
| 評価ステータス | コントロールのコンプライアンス ステータス。ステータスは次のいずれかのタイプになります。
|
| コントロール レポートのリンク | コントロール概要レポートへのリンク。 |
コントロール概要レポート
コントロール概要レポートには、単一のコントロールのコンプライアンス評価の詳細な説明が含まれています。レポートには、各コンプライアンス チェックの評価の詳細(観察値と期待値を含む)が記載されています。
宛先ストレージ バケットでは、コントロール概要レポートに次の命名規則が使用されます。
audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
プレースホルダの値は次のとおりです。
- CONTROL_PACKAGE_NAME: 制御パッケージの名前(
CIS_CONTROLS_V8など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
- CONTROL_ID: コントロールの ID。
コントロール概要レポートは、次の例のようになります。
| コントロール ID: 準拠 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| サービス名 | リソースの番号 | ステータス | リソース評価の詳細 | ||||||||
| リソース ID | 測定対象フィールド | 現在の値 | 期待値 | ステータス | 証拠リソースの URI | Evidence Timestamp(証拠のタイムスタンプ) | プロジェクト/フォルダの証拠 | 実績へのリンク | |||
| このコントロールの対象となるサービスの合計数 | 監査範囲内のリソースの合計数 | コンプライアンスのステータス | リソース ID | 監査対象の構成 | 観測値 | 準拠値 | 個々のコンプライアンス ステータス | 証拠が収集されたときのタイムスタンプ | |||
| product1.googleapis.com | 2 | 準拠 | リソース 1 | abc | 10 | >=10 | 準拠 | リソース 1 | 12/05/2023 12:55:16 | プロジェクト 1 | リンク 1 |
| def | 15 | =15 | 準拠 | リソース 4 | 12/05/2023 13:55:16 | プロジェクト 1 | リンク 4 | ||||
| リソース 2 | xyz | 20 | =20 | 準拠 | リソース 2 | 12/05/2023 14:55:16 | プロジェクト 1 | リンク 2 | |||
| product2.googleapis.com | 1 | 準拠 | リソース 3 | def | 5 | >=5 | 準拠 | リソース 3 | 12/05/2023 15:55:16 | プロジェクト 1 | リンク 3 |
証拠
証拠には、各コントロールについて評価されたすべてのリソースが含まれます。これには、アセットデータの未加工のダンプと、出力を生成するために実行されたコマンドが含まれます。
宛先ストレージ バケットでは、証拠に次の命名規則が使用されます。
audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
プレースホルダの値は次のとおりです。
- CONTROL_PACKAGE_NAME: 制御パッケージの名前(
CIS_CONTROLS_V8など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
- EVIDENCE_ID: 証拠の一意の ID。