こんばんは。小寺です。AWS Audit Managerでサードパーティのアンケート方式の回答を行い、リスク評価結果をCSVファイルとしてエクスポートできるようになりました。
https://aws.amazon.com/about-aws/whats-new/2023/06/third-party-risk-assessments-csv-exports-aws-audit-manager/

AWS Audit Managerとは

AWS Audit Managerとは、AWSアカウント内のリソースがコンプライアンス違反していないかを継続的にチェックするサービスです。
証拠収集を自動化して、ポリシー、手順、および活動 (コントロールとも呼ばれる) が効果的に機能しているかどうかを簡単に評価できるようにします。

Audit Managerを利用することで、AWSリソースの使用状況を、CIS AWS Foundations Benchmark、一般データ保護規則 (GDPR)、PCI データセキュリティスタンダード (PCI DSS) などの業界標準または規制の要件にマッピングすることができます。
また、エビデンスの自動収集機能も提供されており、監査対応レポートを作成することもできます。

アップデート内容

AWS Audit Manager でテキスト形式の質問に回答することで、手動エビデンスが入手可能になりました。さらにその結果をCSV形式でエクスポートできるようになりました。
このアップデートにより、サードパーティのリスク評価のサポートが拡大されています。というのも、AWSで提供されているカスタム フレームワークをサードパーティのベンダー会社と共有できるため、フレームワークに関する評価を作成し、自社の環境からサードパーティの会社の情報が自動的に収集することができます。

カスタムコントロール構成時に手動エビデンスを試してみる

(1) Audit Managerへアクセスします。

(2)Control libraryから「Create custom control」を選びます。

(3) Specify control details 画面で詳細を入力します。

(4) 次にエビデンス収集は、「手動」を選びます。

(5) フレームワークライブラリーからフレームワークを構成します。

(6) 作ったフレームワークからアセスメントをしてみます。

(7) ダウンロードセンターからエビデンスがエクスポートできるはずです。。

まとめ

合わせたサードパーティー用ベンダー各社のリスク評価のアンケート形式の質問票を作成できるようになりました。カスタム フォームを使用すると、Audit Manager の各コントロールでリスク評価アンケートの質問を表すことができます。その後、リスク評価の質問をベンダーやパートナーと共有して、証拠として単純なテキスト回答や文書を集めることができます。