翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コンプライアンスステータスとコントロールステータスの評価
<a name="controls-overall-status"></a>

 AWS Security Finding 形式の `Compliance.Status`フィールドは、コントロールの検出結果を表します。 AWS Security Hub CSPM は、コントロールの検出結果のコンプライアンスステータスを使用して、全体的なコントロールステータスを決定します。コントロールのステータスは、Security Hub CSPM コンソールのコントロールの詳細ページに表示されます。

## Security Hub CSPM の検出結果のコンプライアンスステータスの評価
<a name="controls-overall-status-compliance-status"></a>

各検出結果のコンプライアンスステータスには、以下のいずれかの値が割り当てられます。
+ `PASSED` – コントロールが検出結果のセキュリティチェックに合格したことを示します。これにより Security Hub CSPM `Workflow.Status` が `RESOLVED` に自動的に設定されます。
+ `FAILED` – コントロールが検出結果のセキュリティチェックに合格しなかったことを示します。
+ `WARNING` – リソースが `PASSED` または `FAILED` 状態であるかどうかを Security Hub CSPM が判断できないことを示します。例えば、対応するリソースタイプに対して [[AWS Config リソースの記録]](securityhub-setup-prereqs.md#config-resource-recording) が有効になっていません。
+ `NOT_AVAILABLE` – サーバーが失敗した、リソースが削除された、または AWS Config 評価の結果が であったため、チェックを完了できないことを示します`NOT_APPLICABLE`。 AWS Config 評価結果が の場合`NOT_APPLICABLE`、Security Hub CSPM は自動的に結果をアーカイブします。

検出結果のコンプライアンスステイタスが `PASSED` から `FAILED`、`WARNING`、および `NOT_AVAILABLE` に変更され、かつ `Workflow.Status` が `NOTIFIED` または `RESOLVED` の場合、Security Hub CSPM は `Workflow.Status` を `NEW` に自動的に変更します。

コントロールに対応するリソースがない場合、Security Hub CSPM はアカウントレベルで `PASSED` 検出結果を生成します。コントロールに対応するリソースがあっても、そのリソースを削除すると、Security Hub CSPM は `NOT_AVAILABLE` 検出結果を作成し、すぐにアーカイブします。18 時間後、コントロールに対応するリソースがなくなったため、`PASSED` 検出結果が表示されます。

## コンプライアンスステータスからコントロールステータスを取得する
<a name="controls-overall-status-values"></a>

Security Hub CSPM は、コントロール検出結果のコンプライアンスステータスから、全体的なコントロールステータスを導き出します。コントロールステータスの決定時、Security Hub CSPM は `ARCHIVED` の `RecordState` がある検出結果と、`SUPPRESSED` の `Workflow.Status` がある検出結果を無視します。

コントロールステータスには、次のいずれかの値が割り当てられます。
+ **合格** - すべての検出結果において `PASSED` がコンプライアンスステータス であることを示します。
+ **失敗** - 少なくとも 1 つの検出結果において `FAILED` がコンプライアンスステータスであることを示します。
+ **不明** - 少なくとも 1 つの検出結果のコンプライアンスステータスが `WARNING` または `NOT_AVAILABLE` であることを示します。コンプライアンスステータスが `FAILED` の検出結果はありません。
+ **データなし** - コントロールの結果がないことを示します。例えば、新しく有効になったコントロールは、Security Hub CSPM がその検出結果の生成を開始するまで、このステータスになります。また、コントロールは、すべての検出結果が `SUPPRESSED` の場合、または現在の AWS リージョンで使用できない場合にも、このステータスになります。
+ **[無効]** - 現在のアカウントとリージョンでコントロールが無効になっていることを示します。現在のアカウントとリージョンでは、現在このコントロールに対してセキュリティチェックは実行されていません。ただし、無効になっているコントロールの検出結果には、無効になった後、最大 24 時間コンプライアンスステータスの値が含まれる場合があります。

管理者アカウントの場合、コントロールステータスには管理者アカウントとメンバーアカウントのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、管理者アカウントまたはメンバーアカウントにコントロールに 1 つ以上の失敗した検出結果がある場合、**[失敗]**として表示されます。集約リージョンを設定している場合、集約リージョンのコントロールステータスには、集約リージョンとリンクされたリージョンのコントロールステータスが反映されます。具体的には、コントロールの全体的なステータスは、集約リージョンおよびリンクされたリージョンでコントロールに 1 つ以上の失敗した検出結果がある場合、**[失敗]** と表示されます。

Security Hub CSPM は通常、Security Hub CSPM コンソールの **[概要]** ページまたは **[セキュリティ標準]** ページへの最初のアクセスから 30 分以内に最初のコントロールステータスを生成します。コントロールステータスを表示するには、[AWS Config リソースレコード](controls-config-resources.md)を設定する必要があります。最初のコントロールステータスが生成された後、Security Hub CSPM は、過去 24 時間の結果に基づき、24 時間おきにコントロールステータスを更新します。コントロールの詳細ページのタイムスタンプは、コントロールステータスが最後に更新された日時を示します。

**注記**  
初めて有効にしてから、コントロールステータスが中国リージョンと AWS GovCloud (US) Regionで生成されるまで、最大で 24 時間かかりる場合があります。