監査を表示する

監査が完了すると、監査マネージャーは監査アーティファクトを作成して転送先ストレージ バケットに保存し、ユーザーが確認できるようにします。

  • 監査概要レポート
  • コントロール概要レポート
  • 証拠

新しいコンソール エクスペリエンス(プレビュー)では、レポートの形式が異なります。詳細については、監査マネージャーのレポートを表示する(新しいエクスペリエンス)をご覧ください。

始める前に

次の IAM ロールがあることを確認します。

監査マネージャーのレポートを表示する(従来の操作)

  1. コンソールで、[**監査マネージャー**] ページに移動します。 Google Cloud

    監査マネージャーに移動

  2. [コンプライアンス監査] セクションで、[監査を表示] をクリックします。

  3. [評価を表示] ページで、監査マネージャーまたはコンプライアンス マネージャーから、進行中の監査または完了した監査のステータスを表示できます。

  4. 表示する監査情報の種類に応じて、対応するタブの手順に沿って操作します。

    監査概要レポート

    1. 監査の概要を表示するには、[ステータス] 列のリンクをクリックします。

      [基本情報] ページには、 スコープ内のコンプライアンス コントロールに関する情報と、自動化されたコンプライアンスのステータスが表示されます。

      • 準拠: すべての要件を満たす 構成が表示されます。
      • 違反: 特定のコントロールに対して検出された構成ミスが表示されます。
      • 手動レビューが必要: コンプライアンスとプロセス コントロールを証明するには、 ユーザーの入力が必要な構成が表示されます。
      • スキップ: 特定のコントロールに対して 監査マネージャーがスキップした構成が表示されます。
    2. ステータスの詳細を表示するには、[表示] をクリックします。
    3. 監査の概要レポートをエクスポートするには、[エクスポート] をクリックします。 監査概要レポートは ODS 形式でエクスポートされます。

    コントロール概要レポート

    [基本情報] ページを使用して、コントロールまたはステータスに基づいてコントロールの概要レポートを表示できます。

    • コントロールに基づいてコントロール概要レポートを表示する手順は次のとおりです。
      1. 必要なコントロールを開きます。
      2. 各ルールに対するコンプライアンス評価の詳細を表示するには、対応するハイパーリンクをクリックします。 コントロール ページには、責任、検出結果、要件が表示されます。
    • ステータスに基づいてコントロール レポートを表示する手順は次のとおりです。
      1. 必要なステータスの [表示] をクリックします。
      2. コントロールのリストで、必要なハイパーリンクをクリックします。 コントロール ページには、責任、検出結果、要件が表示されます。

    コントロール概要レポートをエクスポートするには、[エクスポート] をクリックします。[バケットの詳細] ページで、コントロール名をクリックして [ダウンロード] をクリックします。コントロール概要レポート は ODS 形式でエクスポートされます。

    証拠

    検出結果の証拠を表示するには、コントロール ページで対応するハイパーリンクをクリックします。証拠の詳細を含む [オブジェクトの詳細] ページが別のタブで開きます。

    証拠をダウンロードするには、[Download] をクリックします。証拠は JSON 形式でダウンロードされます 。

また、必要なレポートと証拠を宛先ストレージ バケットから直接ダウンロードすることもできます。詳細な手順については、 バケットからオブジェクトをダウンロードするをご覧ください。

監査概要レポート

監査概要レポートは、すべてのコンプライアンス コントロールの概要と責任マトリックスを提供する包括的なレポートです。このレポートにより、システムの概要を把握できます。

宛先ストレージ バケットでは、監査概要レポートに次の命名規則が使用されます。

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

プレースホルダの値は次のとおりです。

  • FRAMEWORK_NAME: フレームワークの名前( SOC2 2017 など)。
  • TIMESTAMP: レポートが生成された時点のタイムスタンプ。
  • UNIQUE_ID: レポートの一意の ID。

監査概要レポートでは、該当する各コントロール タイプについて次のフィールドが入力されます。

コントロール タイプ 説明
コントロール情報 コントロールの説明と要件。
Google の責任 Google Cloud の責任と実装の詳細。
お客様の責任 お客様の責任と実装の詳細。
評価ステータス コントロールのコンプライアンス ステータス。ステータスは次のいずれかのタイプになります。
  • 非準拠: コンプライアンスからの逸脱が検出されました
  • 準拠: システムは準拠しています
  • 手動レビューが必要: アーティファクトは生成されますが、コンプライアンスのステータスを確定するにはユーザー入力が必要です
  • スキップ: 手動コントロール、自動化なし
コントロール レポートのリンク コントロール概要レポートへのリンク。

コントロール概要レポート

コントロール概要レポートには、単一のコントロールのコンプライアンス評価の詳細な説明が含まれています。レポートには、各コンプライアンス チェックの評価の詳細(観察値と期待値を含む)が記載されています。

宛先ストレージ バケットでは、コントロール概要レポートに次の命名規則が使用されます。

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

プレースホルダの値は次のとおりです。

  • FRAMEWORK_NAME: フレームワークの名前( CIS_CONTROLS_V8など)。
  • TIMESTAMP: レポートが生成された時点のタイムスタンプ。
  • UNIQUE_ID: レポートの一意の ID。
  • CONTROL_ID: コントロールの ID。

コントロール概要レポートは、次の例のようになります。

コントロール ID: 準拠
サービス名 リソースの番号 ステータス リソース評価の詳細
リソース ID 測定対象フィールド 現在の値 期待値 ステータス 証拠リソースの URI 証拠のタイムスタンプ プロジェクト/フォルダの証拠 実績へのリンク
このコントロールの対象となるサービスの合計数 監査範囲内のリソースの合計数 コンプライアンスのステータス リソース ID 監査対象の構成 観測値 準拠値 個々のコンプライアンス ステータス 証拠が収集されたときのタイムスタンプ
product1.googleapis.com 2 準拠 リソース 1 abc 10 >=10 準拠 リソース 1 12/05/2023 12:55:16 プロジェクト 1 リンク 1
def 15 =15 準拠 リソース 4 12/05/2023 13:55:16 プロジェクト 1 リンク 4
リソース 2 xyz 20 =20 準拠 リソース 2 12/05/2023 14:55:16 プロジェクト 1 リンク 2
product2.googleapis.com 1 準拠 リソース 3 def 5 >=5 準拠 リソース 3 12/05/2023 15:55:16 プロジェクト 1 リンク 3

証拠

証拠には、各コントロールについて評価されたすべてのリソースが含まれます。これには、アセットデータの未加工のダンプと、出力を生成するために実行されたコマンドが含まれます。

宛先ストレージ バケットでは、証拠に次の命名規則が使用されます。

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

プレースホルダの値は次のとおりです。

  • FRAMEWORK_NAME: フレームワークの名前( CIS_CONTROLS_V8など)。
  • TIMESTAMP: レポートが生成された時点のタイムスタンプ。
  • UNIQUE_ID: レポートの一意の ID。
  • EVIDENCE_ID: 証拠の一意の ID。

監査マネージャーのレポートを表示する(新しいエクスペリエンス)

新しいコンソール エクスペリエンスでは、コンソールの [**監査レポート**] ページで、コントロール、 クラウド コントロール、および Google Cloud リソースのコンプライアンス スコアを表示できます。 Google Cloud

  1. コンソールで、[**監査マネージャー**] ページに移動します。 Google Cloud

    監査マネージャーに移動

  2. [コンプライアンス監査] セクションで、[監査を表示] をクリックします。

  3. [新しいエクスペリエンスに切り替える] をクリックします。

    [監査を表示] ページで、監査マネージャーまたはコンプライアンス マネージャーから、進行中の監査または完了した監査のステータスを表示できます。

  4. 監査の詳細を表示するには、監査名をクリックします。

    [監査レポート] ダッシュボードには、コントロール、クラウド コントロール、リソースの個別のタブがあり、それぞれに固有の数と図が表示されます。[監査レポート] ダッシュボードには、コンプライアンス スコアが表示されます。各タブのダッシュボードには、次の情報が表示されます。

    • コンプライアンスの概要: パーセンテージは次のように決定されます。

      (Number of evaluated items that compliance / Total number of items) * 100
      

      アイテムは、コントロール、クラウド コントロール、リソースのいずれかです。アイテムの合計数には、準拠しているアイテム、違反しているアイテム、評価されなかったアイテム(スキップされたアイテム)が含まれます。

    • 合計: フレームワーク内のコントロールまたはクラウド コントロールの合計数、または評価されたリソースの合計数。

    • 準拠: 評価要件を満たしたアイテムの数。

    • 違反: 評価要件を満たさなかったアイテムの数。

    • 不明: 監査マネージャーが準拠しているかどうかを判断できなかったアイテムの数。たとえば、取得した構成またはログデータがコンプライアンス ルールと明確に一致しなかった場合などです。

    • スキップ: 評価中にエラーまたはシステムの問題が発生したため、監査マネージャーが評価できなかったアイテムの数。たとえば、特定のリソースを検査する権限が不十分だった場合などです。

    • サポート対象外: 監査マネージャーが、 外部にあるリソースの評価が必要なため、検査できなかったアイテムの数 Google Cloud。

    • 収集された証拠: アイテムの技術評価を通じて抽出された情報の量。

    • 違反している評価: 監査マネージャーが失敗と評価したルールまたはリソースの数。

  5. 監査レポートを Cloud Storage バケットから OpenDocument スプレッドシート(ODS)としてダウンロードするには、[レポートをダウンロード] をクリックします。

    また、必要なレポートと証拠を宛先ストレージ バケットから直接ダウンロードすることもできます。詳細な手順については、 バケットからオブジェクトをダウンロードする をご覧ください。

  6. アイテムのステータスの詳細を表示するには、ステータスの横にある [表示] をクリックします。フィルタされたビューには、該当するコントロール、クラウド コントロール、またはリソースが表示されます。

    • [コントロール] タブでは、ビューはコントロールごとにグループ化されます。コントロール内でグループ化されているコントロールとクラウド コントロールを表示するには、フィルタを開きます。

    • [クラウド コントロール] タブでは、ビューはクラウド コントロールごとにグループ化されます。

    • [リソース] タブでは、ビューはサービス API 名(cloudresourcemanager.googleapis.com など)でグループ化されます。サービス内の該当するリソースを表示するには、フィルタを開きます。

  7. 特定のアイテムの詳細な概要を表示するには、フィルタされたビューでアイテムをクリックします。表示される情報は、表示しているタブによって異なります。

    コントロール レポート

    [コントロール] レポート ページには、次の情報が表示されます。

    • コントロール ID とファミリー。
    • 責任の共有ステータス。
    • レビュー ステータス。
    • 評価ステータス。
    • 監査中に収集された証拠の量。
    • Gemini によって生成された評価の概要。
    • コントロールの一部であるクラウド コントロールに関する情報(合格したクラウド コントロールの数や証拠の概要など)。
    • クラウド コントロール レポートと責任の共有情報へのリンクを提供するフィルタされたビュー。

    クラウド コントロール レポート

    [クラウド コントロール] レポート ページには、次の情報が表示されます。

    • クラウド コントロールの名前と ID。
    • レビュー ステータス。
    • クラウド コントロールが属するコントロール(規制管理 と呼ばれます)。
    • 評価ステータス。
    • Gemini によって生成された評価の概要。
    • 監査中に収集された証拠の量。
    • コントロールの一部であるクラウド コントロールに関する情報(評価数、違反数、証拠など)。
    • 観察の概要と該当するリソース レポートへのリンクを提供するフィルタされたビュー。

    リソース レポート

    [リソース] レポート ページには、次の情報が表示されます。

    • 該当するリソースとサービス。
    • リソースの評価に使用されたコントロール(規制管理 と呼ばれます)とクラウド コントロール。
    • 評価ステータス。
    • Gemini によって生成された評価の概要。
    • 監査中に検出された観察結果(評価数、違反数、証拠など)。
    • 観察の概要とクラウド コントロール レポートへのリンクを提供するフィルタされたビュー。

Cloud Storage のレポート

監査マネージャーの監査レポートは、次の命名規則を使用する Cloud Storage ストレージ バケット内のフォルダにあります。

audit-reports/audit_RESOURCE_NAME_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID

プレースホルダの値は次のとおりです。

  • RESOURCE_NAME: フォルダまたはプロジェクトの ID( folders_12345projects_12345 など)。
  • FRAMEWORK_NAME:フレームワークの名前( builtin-nist800-53-revision5など)。
  • TIMESTAMP: レポートが生成された時点のタイムスタンプ。
  • UNIQUE_ID: レポートの一意の ID。

各監査フォルダには、コントロール、クラウド コントロール、証拠ごとに個別のレポートがあります。コントロール レポートとクラウド コントロール レポートは ODS 形式で、単一のコントロールのコンプライアンス評価の詳細な説明が含まれています。 レポートには、各コンプライアンス チェックの評価の詳細(観察値と期待値を含む)が記載されています。証拠レポートは JSON 形式で、各コントロールについて評価されたすべてのリソースが含まれます。これには、アセットデータの未加工のダンプと、出力を生成するために実行されたコマンドが含まれます。