こんにちは、小寺です。
AWS Audit ManagerがPCI4.0の対応内容にアップデートがあったので、お伝えします!
https://aws.amazon.com/about-aws/whats-new/2023/12/aws-audit-manager-pci-4-0-automated-evidence-collection/

おさらい AWS Audit Managerとは

Audit Managerとは、AWSアカウント内のリソースがコンプライアンス違反していないかを継続的にチェックしてくれるサービスです。
ポリシー、手順、および活動 (コントロールとも呼ばれる) が効果的に機能しているかどうかを簡単に評価できるようになります。
また、AWSのベストプラクティスを念頭に置いて開発されているので、AWSで使われているリソースが規制要件を満たしているかマッピングできます。
・AWS Control Tower
・AWS License Manager
・CIS AWS Foundations Benchmark 1.2.0、1.3.0
・CIS Controls v7.1 実装グループ 1
・FedRAMP Moderate
・一般データ保護規則 (GDPR)
・GxP 21 CFR パート 11
・医療保険の相互運用性と説明責任に関する法令 (HIPAA)
・PCI データセキュリティスタンダード (PCI DSS) v3.2.1、
・ervice Organization Control 2 (SOC 2)
・NIST 800-53 (Rev 5)

評価を前もって定義しておけば、監査の対象となるように定義した AWS アカウントとサービスのデータが自動的に収集することができます。
Audit Manager は、AWS CloudTrail と、AWS Config、AWS Security Hub、AWS License Manager などのAWS サービスから証拠を収集して整理します。

アップデート内容

Payment Card Industry Data Security Standard v4.0 (PCI DSS v4.0) のサポートがされるようになりました。
本アップデートで発表された新しい標準フレームワークは、カード所有者データや機密認証データを保存、処理、送信するお客様向けです。
フレームワークを使用することで、お客様は AWS リソース全体での証拠収集の自動化を開始して、最新の PCI DSS 要件に準拠することができます。

PCI Security Standards Councilでは、2024年3月31日の PCI v3.2.1が廃止予定です。
アップデートされたAWS Audit Manager の新しい PCI v4.0 標準フレームワークを活用して、証拠を生成ができるようになっています。

確認してみる

アセスメント作成画面をみてみます。

PCIDSS4.0を選ぶことができます。

この後、通常通りに自動エビデンス収集ができるようです。