監査が完了すると、Audit Manager は次の種類のアーティファクトを作成して転送先ストレージ バケットに保存し、ユーザーが確認できるようにします。
始める前に
次の IAM ロールがあることを確認します。
リソースに対する次の Audit Manager ロールのいずれか。
- Audit Manager 管理者 (
roles/auditmanager.admin) - Audit Manager 監査担当者 (
roles/auditmanager.auditor) - Compliance Manager
Viewer
(
roles/cloudsecuritycompliance.viewer)(コンプライアンス マネージャーを使用して作成したフレームワークを監査する場合は必須)
- Audit Manager 管理者 (
Audit Manager レポートを含むストレージ バケットに対する次の Cloud Storage ロールのいずれか。
- Storage 管理者(
roles/storage.admin) - ストレージのレガシー バケット オーナー(
roles/storage.legacyBucketOwner) - ストレージ レガシー オブジェクト読み取り (
roles/storage.legacyObjectReader)
- Storage 管理者(
Audit Manager レポートを表示する
コンソールで、[Audit Manager] ページに移動します。 Google Cloud
[コンプライアンス監査] セクションで、[監査を表示] をクリックします。
[評価を表示] ページで、Audit Manager またはコンプライアンス マネージャーから、進行中の監査または完了した監査のステータスを表示できます。
表示する監査情報の種類に応じて、対応するタブの手順に沿って操作します。
監査概要レポート
- 監査の概要を表示するには、[ステータス] 列のリンクをクリックします。
[基本情報] ページには、 スコープ内のコンプライアンス コントロールに関する情報と、自動化されたコンプライアンスのステータスが表示されます。
- 準拠: すべての要件を満たす 構成が表示されます。
- 違反: 特定のコントロールに対して検出された構成ミスが表示されます。
- 手動レビューが必要: コンプライアンスとプロセス コントロールを証明するには、 ユーザーの入力が必要な構成が表示されます。
- スキップ: 特定のコントロールに対して Audit Manager がスキップした構成が表示されます。
- ステータスの詳細を表示するには、[表示] をクリックします。
- 監査の概要レポートをエクスポートするには、[エクスポート] をクリックします。 監査概要レポートは ODS 形式でエクスポートされます。
コントロール概要レポート
[基本情報] ページを使用して、コントロールまたはステータスに基づいてコントロール概要レポートを表示できます。
- コントロールに基づいてコントロール概要レポートを表示する手順は次のとおりです。
- 必要なコントロールを開きます。
- 各ルールに対するコンプライアンス評価の詳細を表示するには、対応するハイパーリンクをクリックします。 コントロール ページには、責任、検出結果、要件が表示されます。
- ステータスに基づいてコントロール レポートを表示する手順は次のとおりです。
- 必要なステータスの [表示] をクリックします。
- コントロールのリストで、必要なハイパーリンクをクリックします。 コントロール ページには、責任、検出結果、要件が表示されます。
コントロール概要レポートをエクスポートするには、[エクスポート] をクリックします。[バケットの詳細] ページで、コントロール名をクリックして [ダウンロード] をクリックします。コントロール概要レポート は ODS 形式でエクスポートされます。
証拠
検出結果の証拠を表示するには、コントロール ページで対応するハイパーリンクをクリックします。証拠の詳細を含む [オブジェクトの詳細] ページが別のタブで開きます。
証拠をダウンロードするには、[ダウンロード] をクリックします。証拠は JSON 形式でダウンロードされます 。
- 監査の概要を表示するには、[ステータス] 列のリンクをクリックします。
また、必要なレポートと証拠を宛先ストレージ バケットから直接ダウンロードすることもできます。詳細な手順については、 バケットからオブジェクトをダウンロードするをご覧ください。
監査概要レポート
監査概要レポートは、すべてのコンプライアンス コントロールの概要と責任マトリックスを提供する包括的なレポートです。このレポートにより、システムを把握できます。
宛先ストレージ バケットでは、監査概要レポートに次の命名規則が使用されます。
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
プレースホルダの値は次のとおりです。
- FRAMEWORK_NAME: フレームワークの名前(
SOC2 2017など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
監査概要レポートでは、該当する各コントロール タイプについて次のフィールドが入力されます。
| コントロール タイプ | 説明 |
|---|---|
| コントロール情報 | コントロールの説明と要件。 |
| Google の責任 | Google Cloud の責任と実装の詳細。 |
| お客様の責任 | お客様の責任と実装の詳細。 |
| 評価ステータス | コントロールのコンプライアンス ステータス。ステータスは次のいずれかのタイプになります。
|
| コントロール レポートのリンク | コントロール概要レポートへのリンク。 |
コントロール概要レポート
コントロール概要レポートには、単一のコントロールのコンプライアンス評価の詳細な説明が含まれています。レポートには、各コンプライアンス チェックの評価の詳細(観察値と期待値を含む)が記載されています。
宛先ストレージ バケットでは、コントロール概要レポートに次の命名規則が使用されます。
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
プレースホルダの値は次のとおりです。
- FRAMEWORK_NAME: フレームワークの名前(
CIS_CONTROLS_V8など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
- CONTROL_ID: コントロールの ID。
コントロール概要レポートは、次の例のようになります。
| コントロール ID: 準拠 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| サービス名 | リソースの番号 | ステータス | リソース評価の詳細 | ||||||||
| リソース ID | 測定対象フィールド | 現在の値 | 期待値 | ステータス | 証拠リソースの URI | 証拠のタイムスタンプ | プロジェクト/フォルダの証拠 | 実績へのリンク | |||
| このコントロールの対象となるサービスの合計数 | 監査範囲内のリソースの合計数 | コンプライアンスのステータス | リソース ID | 監査対象の構成 | 観測値 | 準拠値 | 個々のコンプライアンス ステータス | 証拠が収集されたときのタイムスタンプ | |||
| product1.googleapis.com | 2 | 準拠 | リソース 1 | abc | 10 | >=10 | 準拠 | リソース 1 | 12/05/2023 12:55:16 | プロジェクト 1 | リンク 1 |
| def | 15 | =15 | 準拠 | リソース 4 | 12/05/2023 13:55:16 | プロジェクト 1 | リンク 4 | ||||
| リソース 2 | xyz | 20 | =20 | 準拠 | リソース 2 | 12/05/2023 14:55:16 | プロジェクト 1 | リンク 2 | |||
| product2.googleapis.com | 1 | 準拠 | リソース 3 | def | 5 | >=5 | 準拠 | リソース 3 | 12/05/2023 15:55:16 | プロジェクト 1 | リンク 3 |
証拠
証拠には、各コントロールについて評価されたすべてのリソースが含まれます。これには、アセットデータの未加工のダンプと、出力を生成するために実行されたコマンドが含まれます。
宛先ストレージ バケットでは、証拠に次の命名規則が使用されます。
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
プレースホルダの値は次のとおりです。
- FRAMEWORK_NAME: フレームワークの名前(
CIS_CONTROLS_V8など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
- EVIDENCE_ID: 証拠の一意の ID。