監査が完了すると、監査マネージャーは監査アーティファクトを作成して転送先ストレージ バケットに保存し、ユーザーが確認できるようにします。
- 監査概要レポート
- コントロール概要レポート
- 証拠
新しいコンソール エクスペリエンス(プレビュー)では、レポートの形式が異なります。詳細については、監査マネージャーのレポートを表示する(新しいエクスペリエンス)をご覧ください。
始める前に
次の IAM ロールがあることを確認します。
リソースに対する次の監査マネージャーのロールのいずれか。
- 監査マネージャー管理者 (
roles/auditmanager.admin) - 監査マネージャー監査担当者(
roles/auditmanager.auditor) - Compliance Manager
Viewer
(
roles/cloudsecuritycompliance.viewer)(コンプライアンス マネージャーを使用して作成したフレームワークを監査する場合に必要)
- 監査マネージャー管理者 (
監査マネージャーのレポートを含むストレージ バケットに対する次の Cloud Storage ロールのいずれか。
- Storage 管理者(
roles/storage.admin) - ストレージのレガシー バケット オーナー(
roles/storage.legacyBucketOwner) - ストレージ レガシー オブジェクト読み取り (
roles/storage.legacyObjectReader)
- Storage 管理者(
監査マネージャーのレポートを表示する(従来の操作)
コンソールで、[**監査マネージャー**] ページに移動します。 Google Cloud
[コンプライアンス監査] セクションで、[監査を表示] をクリックします。
[評価を表示] ページで、監査マネージャーまたはコンプライアンス マネージャーから、進行中の監査または完了した監査のステータスを表示できます。
表示する監査情報の種類に応じて、対応するタブの手順に沿って操作します。
監査概要レポート
- 監査の概要を表示するには、[ステータス] 列のリンクをクリックします。
[基本情報] ページには、 スコープ内のコンプライアンス コントロールに関する情報と、自動化されたコンプライアンスのステータスが表示されます。
- 準拠: すべての要件を満たす 構成が表示されます。
- 違反: 特定のコントロールに対して検出された構成ミスが表示されます。
- 手動レビューが必要: コンプライアンスとプロセス コントロールを証明するには、 ユーザーの入力が必要な構成が表示されます。
- スキップ: 特定のコントロールに対して 監査マネージャーがスキップした構成が表示されます。
- ステータスの詳細を表示するには、[表示] をクリックします。
- 監査の概要レポートをエクスポートするには、[エクスポート] をクリックします。 監査概要レポートは ODS 形式でエクスポートされます。
コントロール概要レポート
[基本情報] ページを使用して、コントロールまたはステータスに基づいてコントロールの概要レポートを表示できます。
- コントロールに基づいてコントロール概要レポートを表示する手順は次のとおりです。
- 必要なコントロールを開きます。
- 各ルールに対するコンプライアンス評価の詳細を表示するには、対応するハイパーリンクをクリックします。 コントロール ページには、責任、検出結果、要件が表示されます。
- ステータスに基づいてコントロール レポートを表示する手順は次のとおりです。
- 必要なステータスの [表示] をクリックします。
- コントロールのリストで、必要なハイパーリンクをクリックします。 コントロール ページには、責任、検出結果、要件が表示されます。
コントロール概要レポートをエクスポートするには、[エクスポート] をクリックします。[バケットの詳細] ページで、コントロール名をクリックして [ダウンロード] をクリックします。コントロール概要レポート は ODS 形式でエクスポートされます。
証拠
検出結果の証拠を表示するには、コントロール ページで対応するハイパーリンクをクリックします。証拠の詳細を含む [オブジェクトの詳細] ページが別のタブで開きます。
証拠をダウンロードするには、[Download] をクリックします。証拠は JSON 形式でダウンロードされます 。
- 監査の概要を表示するには、[ステータス] 列のリンクをクリックします。
また、必要なレポートと証拠を宛先ストレージ バケットから直接ダウンロードすることもできます。詳細な手順については、 バケットからオブジェクトをダウンロードするをご覧ください。
監査概要レポート
監査概要レポートは、すべてのコンプライアンス コントロールの概要と責任マトリックスを提供する包括的なレポートです。このレポートにより、システムの概要を把握できます。
宛先ストレージ バケットでは、監査概要レポートに次の命名規則が使用されます。
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods
プレースホルダの値は次のとおりです。
- FRAMEWORK_NAME: フレームワークの名前(
SOC2 2017など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
監査概要レポートでは、該当する各コントロール タイプについて次のフィールドが入力されます。
| コントロール タイプ | 説明 |
|---|---|
| コントロール情報 | コントロールの説明と要件。 |
| Google の責任 | Google Cloud の責任と実装の詳細。 |
| お客様の責任 | お客様の責任と実装の詳細。 |
| 評価ステータス | コントロールのコンプライアンス ステータス。ステータスは次のいずれかのタイプになります。
|
| コントロール レポートのリンク | コントロール概要レポートへのリンク。 |
コントロール概要レポート
コントロール概要レポートには、単一のコントロールのコンプライアンス評価の詳細な説明が含まれています。レポートには、各コンプライアンス チェックの評価の詳細(観察値と期待値を含む)が記載されています。
宛先ストレージ バケットでは、コントロール概要レポートに次の命名規則が使用されます。
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods
プレースホルダの値は次のとおりです。
- FRAMEWORK_NAME: フレームワークの名前(
CIS_CONTROLS_V8など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
- CONTROL_ID: コントロールの ID。
コントロール概要レポートは、次の例のようになります。
| コントロール ID: 準拠 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| サービス名 | リソースの番号 | ステータス | リソース評価の詳細 | ||||||||
| リソース ID | 測定対象フィールド | 現在の値 | 期待値 | ステータス | 証拠リソースの URI | 証拠のタイムスタンプ | プロジェクト/フォルダの証拠 | 実績へのリンク | |||
| このコントロールの対象となるサービスの合計数 | 監査範囲内のリソースの合計数 | コンプライアンスのステータス | リソース ID | 監査対象の構成 | 観測値 | 準拠値 | 個々のコンプライアンス ステータス | 証拠が収集されたときのタイムスタンプ | |||
| product1.googleapis.com | 2 | 準拠 | リソース 1 | abc | 10 | >=10 | 準拠 | リソース 1 | 12/05/2023 12:55:16 | プロジェクト 1 | リンク 1 |
| def | 15 | =15 | 準拠 | リソース 4 | 12/05/2023 13:55:16 | プロジェクト 1 | リンク 4 | ||||
| リソース 2 | xyz | 20 | =20 | 準拠 | リソース 2 | 12/05/2023 14:55:16 | プロジェクト 1 | リンク 2 | |||
| product2.googleapis.com | 1 | 準拠 | リソース 3 | def | 5 | >=5 | 準拠 | リソース 3 | 12/05/2023 15:55:16 | プロジェクト 1 | リンク 3 |
証拠
証拠には、各コントロールについて評価されたすべてのリソースが含まれます。これには、アセットデータの未加工のダンプと、出力を生成するために実行されたコマンドが含まれます。
宛先ストレージ バケットでは、証拠に次の命名規則が使用されます。
audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json
プレースホルダの値は次のとおりです。
- FRAMEWORK_NAME: フレームワークの名前(
CIS_CONTROLS_V8など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
- EVIDENCE_ID: 証拠の一意の ID。
監査マネージャーのレポートを表示する(新しいエクスペリエンス)
新しいコンソール エクスペリエンスでは、コンソールの [**監査レポート**] ページで、コントロール、 クラウド コントロール、および Google Cloud リソースのコンプライアンス スコアを表示できます。 Google Cloud
コンソールで、[**監査マネージャー**] ページに移動します。 Google Cloud
[コンプライアンス監査] セクションで、[監査を表示] をクリックします。
[新しいエクスペリエンスに切り替える] をクリックします。
[監査を表示] ページで、監査マネージャーまたはコンプライアンス マネージャーから、進行中の監査または完了した監査のステータスを表示できます。
監査の詳細を表示するには、監査名をクリックします。
[監査レポート] ダッシュボードには、コントロール、クラウド コントロール、リソースの個別のタブがあり、それぞれに固有の数と図が表示されます。[監査レポート] ダッシュボードには、コンプライアンス スコアが表示されます。各タブのダッシュボードには、次の情報が表示されます。
コンプライアンスの概要: パーセンテージは次のように決定されます。
(Number of evaluated items that compliance / Total number of items) * 100アイテムは、コントロール、クラウド コントロール、リソースのいずれかです。アイテムの合計数には、準拠しているアイテム、違反しているアイテム、評価されなかったアイテム(スキップされたアイテム)が含まれます。
合計: フレームワーク内のコントロールまたはクラウド コントロールの合計数、または評価されたリソースの合計数。
準拠: 評価要件を満たしたアイテムの数。
違反: 評価要件を満たさなかったアイテムの数。
不明: 監査マネージャーが準拠しているかどうかを判断できなかったアイテムの数。たとえば、取得した構成またはログデータがコンプライアンス ルールと明確に一致しなかった場合などです。
スキップ: 評価中にエラーまたはシステムの問題が発生したため、監査マネージャーが評価できなかったアイテムの数。たとえば、特定のリソースを検査する権限が不十分だった場合などです。
サポート対象外: 監査マネージャーが、 外部にあるリソースの評価が必要なため、検査できなかったアイテムの数 Google Cloud。
収集された証拠: アイテムの技術評価を通じて抽出された情報の量。
違反している評価: 監査マネージャーが失敗と評価したルールまたはリソースの数。
監査レポートを Cloud Storage バケットから OpenDocument スプレッドシート(ODS)としてダウンロードするには、[レポートをダウンロード] をクリックします。
また、必要なレポートと証拠を宛先ストレージ バケットから直接ダウンロードすることもできます。詳細な手順については、 バケットからオブジェクトをダウンロードする をご覧ください。
アイテムのステータスの詳細を表示するには、ステータスの横にある [表示] をクリックします。フィルタされたビューには、該当するコントロール、クラウド コントロール、またはリソースが表示されます。
[コントロール] タブでは、ビューはコントロールごとにグループ化されます。コントロール内でグループ化されているコントロールとクラウド コントロールを表示するには、フィルタを開きます。
[クラウド コントロール] タブでは、ビューはクラウド コントロールごとにグループ化されます。
[リソース] タブでは、ビューはサービス API 名(
cloudresourcemanager.googleapis.comなど)でグループ化されます。サービス内の該当するリソースを表示するには、フィルタを開きます。
特定のアイテムの詳細な概要を表示するには、フィルタされたビューでアイテムをクリックします。表示される情報は、表示しているタブによって異なります。
コントロール レポート
[コントロール] レポート ページには、次の情報が表示されます。
- コントロール ID とファミリー。
- 責任の共有ステータス。
- レビュー ステータス。
- 評価ステータス。
- 監査中に収集された証拠の量。
- Gemini によって生成された評価の概要。
- コントロールの一部であるクラウド コントロールに関する情報(合格したクラウド コントロールの数や証拠の概要など)。
- クラウド コントロール レポートと責任の共有情報へのリンクを提供するフィルタされたビュー。
クラウド コントロール レポート
[クラウド コントロール] レポート ページには、次の情報が表示されます。
- クラウド コントロールの名前と ID。
- レビュー ステータス。
- クラウド コントロールが属するコントロール(規制管理 と呼ばれます)。
- 評価ステータス。
- Gemini によって生成された評価の概要。
- 監査中に収集された証拠の量。
- コントロールの一部であるクラウド コントロールに関する情報(評価数、違反数、証拠など)。
- 観察の概要と該当するリソース レポートへのリンクを提供するフィルタされたビュー。
リソース レポート
[リソース] レポート ページには、次の情報が表示されます。
- 該当するリソースとサービス。
- リソースの評価に使用されたコントロール(規制管理 と呼ばれます)とクラウド コントロール。
- 評価ステータス。
- Gemini によって生成された評価の概要。
- 監査中に検出された観察結果(評価数、違反数、証拠など)。
- 観察の概要とクラウド コントロール レポートへのリンクを提供するフィルタされたビュー。
Cloud Storage のレポート
監査マネージャーの監査レポートは、次の命名規則を使用する Cloud Storage ストレージ バケット内のフォルダにあります。
audit-reports/audit_RESOURCE_NAME_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID
プレースホルダの値は次のとおりです。
- RESOURCE_NAME: フォルダまたはプロジェクトの ID(
folders_12345、projects_12345など)。 - FRAMEWORK_NAME:フレームワークの名前(
builtin-nist800-53-revision5など)。 - TIMESTAMP: レポートが生成された時点のタイムスタンプ。
- UNIQUE_ID: レポートの一意の ID。
各監査フォルダには、コントロール、クラウド コントロール、証拠ごとに個別のレポートがあります。コントロール レポートとクラウド コントロール レポートは ODS 形式で、単一のコントロールのコンプライアンス評価の詳細な説明が含まれています。 レポートには、各コンプライアンス チェックの評価の詳細(観察値と期待値を含む)が記載されています。証拠レポートは JSON 形式で、各コントロールについて評価されたすべてのリソースが含まれます。これには、アセットデータの未加工のダンプと、出力を生成するために実行されたコマンドが含まれます。