翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub CSPM のコントロールパラメータについて
AWS Security Hub CSPM の一部のコントロールは、コントロールの評価方法に影響するパラメータを使用します。通常、このようなコントロールは、Security Hub CSPM が定義するデフォルトのパラメータ値と照らし合わせて評価されます。ただし、これらのコントロールのサブセットについては、パラメータ値を変更することができます。コントロールパラメータ値を変更した場合、Security Hub CSPM は、指定された値に対するコントロールの評価を開始します。コントロールの基になるリソースがカスタム値を満たした場合、Security Hub CSPM は `PASSED` 検出結果を生成します。リソースがカスタム値を満たさなかった場合、Security Hub CSPM は `FAILED` 検出結果を生成します。
コントロールパラメータをカスタマイズすることで、ビジネス要件やセキュリティの期待と一致するように、Security Hub CSPM によって推奨および監視されるセキュリティベストプラクティスを改良できます。コントロールの検出結果を抑制する代わりに、1 つ以上のパラメータをカスタマイズして、セキュリティニーズに合った検出結果を取得することができます。
コントロールパラメータの変更とカスタム値の設定のサンプルユースケースを以下に示します。
+ **[CloudWatch.16] – CloudWatch ロググループは指定した期間保持する必要があります**
保持期間を指定できます。
+ **[IAM.7] – IAM ユーザーのパスワードポリシーには強力な設定が必要です**
パスワード強度に関するパラメータを指定できます。
+ **[EC2.18] – セキュリティグループは、許可されたポートに対して無制限の着信トラフィックのみを許可する必要があります**
無制限の着信トラフィックを許可するように承認するポートを指定できます。
+ **[Lambda.5] – VPC Lambda 関数は複数のアベイラビリティーゾーンで運用する必要があります**
成功の検出結果を生成するアベイラビリティーゾーンの最小数を指定できます。
このセクションでは、コントロールパラメータを変更するときに考慮すべき事項について説明します。
## コントロールパラメータ値の変更による影響
パラメータ値を変更する場合は、新しい値に基づいてコントロールを評価する新しいセキュリティチェックもトリガーします。そして、Security Hub CSPM が新しい値に基づいて新しいコントロール検出結果を生成します。コントロール検出結果の定期更新時には、Security Hub CSPM は新しいパラメータ値も使用します。コントロールのパラメータ値を変更しても、そのコントロールを含む標準を有効にしていない場合、Security Hub CSPM は新しい値を使用したセキュリティチェックを行いません。新しいパラメータ値に基づいてコントロールを評価するには、Security Hub CSPM の関連標準を少なくとも 1 つ有効にする必要があります。
コントロールは、1 つまたは複数のカスタマイズ可能なパラメータを持つことができます。それぞれのコントロールパラメータで使用可能なデータ型には以下が含まれます。
+ ブール値
+ Double
+ 列挙型
+ EnumList
+ 整数
+ IntegerList
+ String
+ StringList
カスタムパラメータ値は、有効な標準に適用されます。現在のリージョンでサポートされていないコントロールのパラメータはカスタマイズできません。個々のコントロールに関するリージョンの制限のリストについては、「[Security Hub CSPM コントロールのリージョンの制限](regions-controls.md)」を参照してください。
一部のコントロールは、許容パラメータ値も指定された範囲に収まらないと有効になりません。このような場合は、Security Hub CSPM が許容範囲を提供します。
Security Hub CSPM はデフォルトのパラメータ値を選択し、場合によっては更新することもあります。コントロールパラメータをカスタマイズしても、その値は、変更しない限りパラメータに指定した値のままです。つまり、パラメータのカスタム値が Security Hub CSPM で定義されている現在のデフォルト値と一致する場合でも、パラメータはデフォルトの Security Hub CSPM 値の更新の追跡を停止します。コントロール「**[ACM.1] – インポートされ ACM によって発行された証明書は、一定期間後に更新する必要があります**」の例を以下に示します。
```
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 30
}
}
}
}
```
前の例では、`daysToExpiration` パラメータのカスタム値は `30` です。このパラメータの現在のデフォルト値も `30` です。Security Hub CSPM がデフォルト値を `14` に変更しても、この例のパラメータはその変更を追跡しません。`30` の値は保持されます。
パラメータのデフォルトの Security Hub CSPM 値の更新を追跡する場合は、`ValueType` フィールドを `CUSTOM` ではなく `DEFAULT` に設定します。詳細については、「[1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す](revert-default-parameter-values.md#revert-default-parameter-values-local-config)」を参照してください。
## カスタムパラメータをサポートするコントロール
カスタムパラメータをサポートするセキュリティコントロールのリストについては、Security Hub CSPM コンソールの**コントロール**ページまたは「[Security Hub CSPM のコントロールリファレンス](securityhub-controls-reference.md)」を参照してください。このリストをプログラムで取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) 操作を使用します。レスポンスで、`CustomizableProperties` オブジェクトによって、どのコントロールがカスタマイズ可能なパラメータをサポートしているかが示されます。
# 現在のコントロールパラメータ値の確認
変更する前に、コントロールパラメータの現在の値を知っておくと便利です。
アカウント内の個々のコントロールパラメータの現在の値を確認できます。中央設定を使用する場合、委任 AWS Security Hub CSPM 管理者は、設定ポリシーで指定されたパラメータ値を確認することもできます。
希望する方法を選択し、手順に従って現在のコントロールパラメータ値を確認します。
------
#### [ Security Hub CSPM console ]
**現在のコントロールパラメータ値を確認するには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[コントロール]** を選択します。コントロールを選択します。
1. **[パラメータ]** タブを選択します。このタブに、コントロールの現在のパラメータ値が表示されます。
------
#### [ Security Hub CSPM API ]
**現在のコントロールパラメータ値を確認するには (API)**
[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) API を呼び出し、1 つ以上のセキュリティコントロール ID または ARN を指定します。レスポンス内の `Parameters` オブジェクトに、指定されたコントロールの現在のパラメータ値が表示されます。
たとえば、次の AWS CLI コマンドは、、`APIGatway.1`、`CloudWatch.15`および の現在のパラメータ値を示しています`IAM.7`。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```
------
希望する方法を選択し、中央設定ポリシーの現在のパラメータ値を表示します。
------
#### [ Security Hub CSPM console ]
**設定ポリシーの現在のコントロールパラメータ値を確認するには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. **[ポリシー]** タブで、設定ポリシーを選択し、**[詳細を表示]** を選択します。すると、現在のパラメータ値を含むポリシーの詳細が表示されます。
------
#### [ Security Hub CSPM API ]
**設定ポリシーの現在のコントロールパラメータ値を確認するには (API)**
1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) API を呼び出します。
1. 詳細を確認したい設定ポリシーの ARN または ID を指定します。レスポンスに、現在のパラメータ値が含まれています。
たとえば、次の AWS CLI コマンドは、指定された設定ポリシーの現在のコントロールパラメータ値を取得します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
コントロールの検出結果には、コントロールパラメータの現在の値も含まれます。[AWS Security Finding 形式 (ASFF)](securityhub-findings-format.md) では、これらの値は `Compliance` オブジェクトの `Parameters` フィールドに表示されます。Security Hub CSPM コンソールで検出結果を表示するには、ナビゲーションペインで **[検出結果]** を選択します。検出結果をプログラムで確認するには、Security Hub CSPM API の [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) 操作を使用します。
# コントロールパラメータ値のカスタマイズ
コントロールパラメータをカスタマイズする手順は、 AWS Security Hub CSPM で[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。中央設定は、委任 Security Hub CSPM 管理者が AWS リージョン、、アカウント、組織単位 (OUs。
組織が中央設定を使用している場合、委任管理者は、カスタムコントロールパラメータを含む設定ポリシーを作成できます。これらのポリシーは、一元管理されるメンバーアカウントや OU に関連付けることができ、自分のホームリージョンおよびリンクされているすべてのリージョンで有効になります。委任管理者は 1 つ以上のアカウントをセルフマネージドとして指定することもできます。これにより、アカウント所有者は各リージョンで独自のパラメータを個別に設定できるようになります。組織で中央設定を使用していない場合は、アカウントおよびリージョンごとにコントロールパラメータを個別にカスタマイズする必要があります。
組織のさまざまな部分でコントロールパラメータ値を整合させることができるため、中央設定を使用することをお勧めします。例えば、すべてのテストアカウントが特定のパラメータ値を使用し、すべての本番稼働用アカウントが異なる値を使用する場合があります。
## 複数のアカウントおよびリージョンのコントロールパラメータをカスタマイズする
中央設定を使用する組織の委任 Security Hub CSPM 管理者の場合は、希望する方法を選択し、手順に従って複数のアカウントおよびリージョンのコントロールパラメータをカスタマイズします。
------
#### [ Security Hub CSPM console ]
**複数のアカウントおよびリージョンのコントロールパラメータ値をカスタマイズするには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンにサインインしていることを確認します。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. **[Policies]** タブを選択します。
1. カスタムパラメータを含む新しい設定ポリシーを作成するには、**[ポリシーの作成]** を選択します。既存の設定ポリシーでカスタムパラメータを指定するには、ポリシーを選択し、**[編集]** を選択します。
**カスタムコントロールパラメータ値を使用して新しい設定ポリシーを作成するには**
1. **[カスタムポリシー]** セクションで、有効にするセキュリティ標準およびコントロールを選択します。
1. **[コントロールパラメータをカスタマイズする]** を選択します。
1. コントロールを選択し、1 つ以上のパラメータにカスタム値を指定します。
1. その他のコントロールのパラメータをカスタマイズするには、**[その他のコントロールをカスタマイズする]** を選択します。
1. **[アカウント]** セクションで、ポリシーを適用するアカウントまたは OU を選択します。
1. [**次へ**] を選択します。
1. **[ポリシーを作成して適用]** を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。
**既存の設定ポリシーでコントロールパラメータ値をカスタマイズするには**
1. **[コントロール]** セクションの **[カスタムポリシー]** で、必要な新しいカスタムパラメータ値を指定します。
1. このポリシーでコントロールパラメータをカスタマイズするのが初めての場合は、**[コントロールパラメータをカスタマイズする]** を選択し、カスタマイズするコントロールを選択します。その他のコントロールのパラメータをカスタマイズするには、**[その他のコントロールをカスタマイズする]** を選択します。
1. **[アカウント]** セクションで、ポリシーを適用するアカウントまたは OU を確認します。
1. [**次へ**] を選択します。
1. 変更内容を見直し、それらが正しいことを確認します。完了したら、**[ポリシーを保存して適用]** を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。
------
#### [ Security Hub CSPM API ]
**複数のアカウントおよびリージョン (API) のコントロールパラメータ値をカスタマイズするには**
**カスタムコントロールパラメータ値を使用して新しい設定ポリシーを作成するには**
1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API を呼び出します。
1. `SecurityControlCustomParameters` オブジェクトには、カスタマイズする各コントロールの識別子を指定します。
1. `Parameters` オブジェクトには、カスタマイズする各パラメータの名前を指定します。カスタマイズする各パラメータで、`ValueType` に `CUSTOM` を指定します。`Value` には、パラメータのデータ型とカスタム値を指定します。`ValueType` が `CUSTOM` の場合、`Value` フィールドを空にすることはできません。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API を呼び出すことで、コントロールでサポートされているパラメータ、データ型、有効な値を確認できます。
**既存の設定ポリシーでコントロールパラメータ値をカスタマイズするには**
1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API を呼び出します。
1. `Identifier` フィールドには、更新する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
1. `SecurityControlCustomParameters` オブジェクトには、カスタマイズする各コントロールの識別子を指定します。
1. `Parameters` オブジェクトには、カスタマイズする各パラメータの名前を指定します。カスタマイズする各パラメータで、`ValueType` に `CUSTOM` を指定します。`Value` には、パラメータのデータ型とカスタム値を指定します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API を呼び出すことで、コントロールでサポートされているパラメータ、データ型、有効な値を確認できます。
たとえば、次の AWS CLI コマンドは、 `daysToExpiration`パラメータのカスタム値を使用して新しい設定ポリシーを作成します`ACM.1`。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```
------
## 1 つのアカウントおよびリージョンでコントロールパラメータをカスタマイズする
中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでのみアカウントのコントロールパラメータをカスタマイズできます。
希望する方法を選択し、手順に従ってコントロールパラメータをカスタマイズします。変更は、現在のリージョンのアカウントにのみ適用されます。別のリージョンでコントロールパラメータをカスタマイズするには、パラメータをカスタマイズする別のアカウントおよびリージョンごとに以下の手順を繰り返します。同じコントロールでも、リージョンごとに異なるパラメータ値を使用できます。
------
#### [ Security Hub CSPM console ]
**1 つのアカウントおよびリージョン (コンソール) でコントロールパラメータ値をカスタマイズするには**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[コントロール]** を選択します。テーブルで、カスタムパラメータをサポートしていて、パラメータを変更したいコントロールを選択します。**[カスタムパラメータ]** 列に、どのコントロールがカスタムパラメータをサポートしているかが示されます。
1. コントロールの詳細ページで、**[パラメータ]** タブを選択し、**[編集]** を選択します。
1. 必要なパラメータ値を指定します。
1. 必要に応じて、**[変更の理由]** セクションで、パラメータをカスタマイズする理由を選択します。
1. [**保存**] を選択します。
------
#### [ Security Hub CSPM API ]
**1 つのアカウントおよびリージョン (API) でコントロールパラメータ値をカスタマイズするには**
1. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API を呼び出します。
1. `SecurityControlId` には、カスタマイズするコントロールの ID を指定します。
1. `Parameters` オブジェクトには、カスタマイズする各パラメータの名前を指定します。カスタマイズする各パラメータで、`ValueType` に `CUSTOM` を指定します。`Value` には、パラメータのデータ型とカスタム値を指定します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html) API を呼び出すことで、コントロールでサポートされているパラメータ、データ型、有効な値を確認できます。
1. 必要に応じて、`LastUpdateReason` に、コントロールパラメータをカスタマイズする理由を入力します。
たとえば、次の AWS CLI コマンドは の `daysToExpiration`パラメータのカスタム値を定義します`ACM.1`。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```
------
# デフォルトのコントロールパラメータ値に戻す
コントロールパラメータには、 AWS Security Hub CSPM が定義するデフォルト値を含めることができます。Security Hub CSPM では、進化するセキュリティのベストプラクティスを反映させるため、パラメータのデフォルト値を更新する場合があります。コントロールパラメータにカスタム値を指定していない場合、コントロールは、これらの更新を自動的に追跡し、新しいデフォルト値を使用します。
コントロールのデフォルトパラメータ値を使用するように戻すことができます。元に戻す手順については、Security Hub CSPM で[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。中央設定は、委任 Security Hub CSPM 管理者が AWS リージョン、、アカウント、組織単位 (OUs。
**注記**
すべてのコントロールパラメータにデフォルトの Security Hub CSPM 値があるわけではありません。このような場合は、`ValueType` を `DEFAULT` に設定しても、Security Hub CSPM が使用する特定のデフォルト値は存在しません。より正確に言えば、Security Hub CSPM は、カスタム値がないときはパラメータを無視します。
## 複数のアカウントおよびリージョンでデフォルトのパラメータに戻す
中央設定を使用すると、ホームリージョンとリンクされたリージョン内の複数の一元管理されるアカウントや OU のコントロールパラメータを元に戻すことができます。
希望する方法を選択し、手順に従って、中央設定を使用して複数のアカウントおよびリージョンでデフォルトのパラメータ値に戻します。
------
#### [ Security Hub CSPM console ]
**複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。
1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。
1. **[Policies]** タブを選択します。
1. ポリシーを選択し、**[編集]** を選択します。
1. **[カスタムポリシー]** の **[コントロール]** セクションに、カスタムパラメータを指定したコントロールのリストが表示されます。
1. 元に戻すパラメータ値が 1 つ以上あるコントロールを見つけます。そして、**[削除]** を選択してデフォルト値に戻します。
1. **[アカウント]** セクションで、ポリシーを適用するアカウントまたは OU を確認します。
1. [**次へ**] を選択します。
1. 変更内容を見直し、それらが正しいことを確認します。完了したら、**[ポリシーを保存して適用]** を選択します。ホームリージョンおよびリンクされているすべてのリージョンで、このアクションにより、この設定ポリシーに関連付けられているアカウントおよび OU の既存の構成設定がオーバーライドされます。アカウントと OU は、直接適用するか親から継承することによって、設定ポリシーに関連付けることができます。
------
#### [ Security Hub CSPM API ]
**複数のアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)**
1. ホームリージョンの委任管理者アカウントから [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API を呼び出します。
1. `Identifier` フィールドには、更新するポリシーの Amazon リソースネーム (ARN) または ID を指定します。
1. `SecurityControlCustomParameters` オブジェクトには、1 つ以上のパラメータを元に戻す各コントロールの識別子を指定します。
1. `Parameters` オブジェクトでは、元に戻すパラメータごとに、`ValueType` フィールドに `DEFAULT` を指定します。`ValueType` を `DEFAULT` に設定すると、`Value` フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はその値を無視します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。
**警告**
`SecurityControlCustomParameters` フィールドでコントロールオブジェクトを省略すると、Security Hub CSPM は、そのコントロールのすべてのカスタムパラメータをデフォルト値に戻します。`SecurityControlCustomParameters` のリストが完全に空の場合は、すべてのコントロールのカスタムパラメータがデフォルト値に戻ります。
たとえば、次の AWS CLI コマンドは、 の`daysToExpiration`コントロールパラメータ`ACM.1`を、指定された設定ポリシーのデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```
------
## 1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻す
中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでアカウントのデフォルトパラメータ値を使用するように戻すことができます。
希望する方法を選択し、手順に従って 1 つのリージョンでアカウントのデフォルトのパラメータ値に戻します。別のリージョンでデフォルトのパラメータ値に戻すには、それぞれのリージョンでこれらの手順を繰り返します。
**注記**
Security Hub CSPM を無効にすると、カスタムコントロールパラメータがリセットされます。その後、Security Hub CSPM を再度有効にすると、すべてのコントロールがデフォルトのパラメータ値を使用して起動します。
------
#### [ Security Hub CSPM console ]
**1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. ナビゲーションペインで **[コントロール]** を選択します。デフォルトのパラメータ値に戻すコントロールを選択します。
1. `Parameters` タブで、コントロールパラメータの横にある **[カスタマイズ済み]** を選択します。そして、**[カスタマイズを削除]** を選択します。これで、このパラメータはデフォルトの Security Hub CSPM 値を使用し、デフォルト値の今後の更新を追跡するようになります。
1. 元に戻すパラメータ値ごとに、上記のステップを繰り返します。
------
#### [ Security Hub CSPM API ]
**1 つのアカウントおよびリージョンでデフォルトのコントロールパラメータ値に戻すには (API)**
1. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html) API を呼び出します。
1. `SecurityControlId` には、パラメータを元に戻すコントロールの ARN または ID を指定します。
1. `Parameters` オブジェクトでは、元に戻すパラメータごとに、`ValueType` フィールドに `DEFAULT` を指定します。`ValueType` を `DEFAULT` に設定すると、`Value` フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub CSPM はその値を無視します。
1. 必要に応じて、`LastUpdateReason` に、デフォルトのパラメータ値に戻す理由を入力します。
たとえば、次の AWS CLI コマンドは、 の`daysToExpiration`コントロールパラメータ`ACM.1`をデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```
------
# コントロールパラメータの変更ステータスをチェックする
コントロールパラメータをカスタマイズしたり、デフォルト値に戻したりしようとすると、目的の変更が有効であったかどうかを検証できます。これにより、コントロールが期待どおりに機能し、意図したセキュリティ値を提供することを確認できます。パラメータの更新に失敗した場合、Security Hub CSPM はパラメータの現在の値を保持します。
パラメータの更新が成功したことを検証するには、Security Hub CSPM コンソールでコントロールの詳細を確認します。コンソールで、**[コントロール]** をクリックします。次に、詳細を表示するコントロールを選択します。**[パラメータ]** タブに、パラメータ変更のステータスが表示されます。
プログラム上では、パラメータの更新リクエストが有効な場合、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) 操作を受けて `UpdateStatus` フィールドの値が `UPDATING` になります。つまり、更新は有効でも、すべての検出結果には更新されたパラメータ値がまだ含まれていない可能性があります。`UpdateState` の値が `READY` に変更されると、Security Hub CSPM は、コントロールのセキュリティチェックを実行するときに更新されたコントロールパラメータ値を使用します。検出結果には、更新されたパラメータ値が含まれます。
`UpdateSecurityControl` 操作は、無効なパラメータ値に対して `InvalidInputException` レスポンスを返します。このレスポンスにより、失敗の理由に関するさらなる詳細が提供されます。例えば、パラメータの有効範囲外の値を指定した可能性があります。あるいは、正しいデータ型を使用していない値を指定した可能性があります。有効な入力内容でリクエストを再送信します。
パラメータ値を更新しようとしたときに内部障害が発生した場合、有効にすると Security Hub CSPM は自動的に再試行します AWS Config 。詳細については、「[を有効にして設定する前に考慮すべき点 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config)」を参照してください。