翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM で無効化を推奨するコントロール
検出結果のノイズと使用コストを削減するために、一部の AWS Security Hub CSPM コントロールを無効にすることをお勧めします。
## グローバルリソースを使用するコントロール
一部の はグローバルリソース AWS のサービス をサポートしているため、任意の からリソースにアクセスできます AWS リージョン。のコストを節約するために AWS Config、1 つのリージョンを除くすべてのリージョンでグローバルリソースの記録を無効にすることができます。ただし、これを行った後、Security Hub CSPM は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、Security Hub CSPM での検出結果のノイズを減らし、コストを節約するには、グローバルリソースを記録するリージョン以外のすべてのリージョンで、グローバルリソースが含まれるコントロールを無効にする必要もあります。
コントロールにグローバルリソースが含まれるが、1 つのリージョンでのみ利用可能な場合、そのリージョンでコントロールを無効にすると、基盤となるリソースの検出結果を取得できなくなります。この場合、コントロールを有効にしておくことをお勧めします。クロスリージョン集約を使用する場合、コントロールが利用可能なリージョンは、集約リージョンまたはリンクされたリージョンのいずれかである必要があります。次のコントロールにはグローバルリソースが含まれますが、単一のリージョンでのみ使用できます。
+ **すべての CloudFront コントロール** – 米国東部 (バージニア北部) リージョンでのみ利用できます
+ **GlobalAccelerator.1** – 米国西部 (オレゴン) リージョンでのみ利用できます
+ **Route53.2** – 米国東部 (バージニア北部) リージョンでのみ利用できます
+ **WAF.1、WAF.6、WAF.7、WAF.8** – 米国東部 (バージニア北部) リージョンでのみ利用できます
**注記**
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。
中央設定の詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。
*定期的な*スケジュールタイプを持つコントロールの場合、課金を防ぐには Security Hub CSPM でコントロールを無効にする必要があります。 AWS Config パラメータを に設定`false`しても`includeGlobalResourceTypes`、定期的な Security Hub CSPM コントロールには影響しません。
以下の Security Hub CSPM コントロールは、グローバルリソースを使用します。
+ [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
+ [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
+ [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
+ [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
+ [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
+ [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)
+ [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
+ [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
+ [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
+ [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
+ [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
+ [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
+ [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)
+ [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
+ [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24)
+ [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25)
+ [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)
+ [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)
+ [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1)
+ [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2)
+ [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)
+ [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8)
## CloudTrail ログ記録コントロール
[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) コントロールは、証 AWS CloudTrail 跡ログを暗号化するための AWS Key Management Service (AWS KMS) の使用を評価します。これらの証跡を一元的なログ記録アカウントに記録する場合は、アカウントと一元的なログ記録が行われる AWS リージョン 場所でのみこのコントロールを有効にする必要があります。
[中央設定](central-configuration-intro.md)を使用した場合、コントロールの有効化ステータスは、ホームリージョンおよびリンクされたリージョンで統一されます。一部のリージョンでコントロールを無効にして、他のリージョンで有効にすることはできません。この場合は、CloudTrail.2 コントロールからの検出結果を抑制して、検出結果のノイズを低減できます。
## CloudWatch アラームコントロール
異常検出で、Amazon CloudWatch アラームの代わりに Amazon GuardDuty を使用したい場合は、CloudWatch アラームに特化した以下のコントロールを無効にすることができます。
+ [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)