翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM でのコントロールの無効化
<a name="disable-controls-overview"></a>

検出結果のノイズを減らすには、環境に関係のないコントロールを無効にすると便利です。 AWS Security Hub CSPM では、すべてのセキュリティ標準または特定の標準に対してのみコントロールを無効にすることができます。

すべての標準にわたってコントロールを無効化した場合、次のようになります。
+ コントロールのセキュリティチェックは実行されなくなります。
+ そのコントロールに対して追加の検出結果は生成されません。
+ コントロールの既存の検出結果は更新されなくなりました。
+ コントロールの既存の検出結果は、通常ベストエフォートベースで 3～5 日以内に自動的にアーカイブされます。
+ Security Hub CSPM は、コントロール用に作成した関連 AWS Config ルールを削除します。

特定の標準のみのコントロールを無効にすると、Security Hub CSPM はそれらの標準のみのコントロールのセキュリティチェックの実行を停止します。またこれにより、それらの各標準の[セキュリティスコアの計算](standards-security-score.md)からコントロールが削除されます。コントロールが他の標準で有効になっている場合、Security Hub CSPM は必要に応じて、関連する AWS Config ルールを保持し、他の標準に対するコントロールのセキュリティチェックを引き続き実行します。また、Security Hub CSPM には、他の各標準のセキュリティスコアを計算する際のコントロールも含まれており、これはセキュリティスコアの概要に影響します。

標準を無効にすると、標準に適用されるコントロールがすべてその標準に対して自動的に無効になります。ただし、コントロールは他の標準で引き続き有効になる場合があります。標準を無効化すると、Security Hub CSPM はその標準に対して無効化されたコントロールを追跡しません。したがって、後で同じ標準を再度有効化すると、それに適用されるすべてのコントロールが自動的に有効になります。標準の無効化の詳細については、「[セキュリティ標準の無効化](disable-standards.md)」を参照してください。

コントロールの無効化は永続的なアクションになりません。あるコントロールを無効にし、そのコントロールを含む標準を有効にするとします。その後、コントロールはその標準に対して有効になります。Security Hub CSPM で標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります。標準を有効化する方法については、「[標準を有効にする](enable-standards.md)」を参照してください。

**Topics**
+ [すべての標準にわたってコントロールを無効にする](disable-controls-across-standards.md)
+ [特定の標準のコントロールを無効にする](disable-controls-standard.md)
+ [無効化を推奨するコントロール](controls-to-disable.md)

# すべての標準にわたってコントロールを無効にする
<a name="disable-controls-across-standards"></a>

組織全体の整合性を維持するために、標準全体で AWS Security Hub CSPM コントロールを無効にすることをお勧めします。特定の標準でのみコントロールを無効にすると、他の標準で有効になっている場合、コントロールの結果が引き続き表示されます。

## 複数のアカウントとリージョンでのクロススタンダード無効化
<a name="disable-controls-all-standards-central-configuration"></a>

複数の AWS アカウント および でセキュリティコントロールを無効にするには AWS リージョン、[中央設定](central-configuration-intro.md)を使用する必要があります。

中央設定を使用する場合、委任管理者は、有効な標準全体で指定されたコントロールを無効にする Security Hub CSPM 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウント、OU、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、1 つの OU ですべての AWS CloudTrail コントロールを無効にしたり、別の OU ですべての IAM コントロールを無効にしたりできます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを無効にする設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

**注記**  
委任管理者は、[サービスマネージドスタンダードを除くすべての標準でコントロールを管理する設定ポリシーを作成できます AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。この標準のコントロールは、 AWS Control Tower サービスで設定する必要があります。

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

## 単一のアカウントとリージョンでのクロススタンダード無効化
<a name="disable-controls-all-standards"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に無効にすることはできません。ただし、1 つのアカウントおよびリージョンでコントロールを無効にすることができます。

------
#### [ Security Hub CSPM console ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。

1. コントロールの横にあるオプションを選択します。

1. **[コントロールを無効にする]** を選択します。このオプションは、既に無効になっているコントロールには表示されません。

1. コントロールを無効にする理由を選択し、**[無効化]** を選択して確定します。

1. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ Security Hub CSPM API ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API を呼び出します。セキュリティコントロール ID を指定します。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API を呼び出します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }
   ```

1. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ AWS CLI ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを無効にするには**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) コマンドを実行します。セキュリティコントロール ID を指定します。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) コマンドを実行します。コントロールが有効になっている標準の ARN を指定します。標準 ARN を取得するには、`describe-standards` コマンドを実行します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

1. コントロールを無効にするリージョンごとに、これらの手順を繰り返します。

------

# 特定の標準のコントロールを無効にする
<a name="disable-controls-standard"></a>

すべての標準全体ではなく、特定のセキュリティ標準のみにおいて、コントロールを無効にすることができます。コントロールが他の有効な標準に適用される場合、 AWS Security Hub CSPM は引き続きコントロールのセキュリティチェックを実行し、引き続きコントロールの検出結果を受け取ります。

コントロールが適用されるすべての有効な標準にわたって、コントロールの有効化ステータスを一致させることをお勧めします。適用されるすべての標準にわたってコントロールを無効にする情報については、「[すべての標準にわたってコントロールを無効にする](disable-controls-across-standards.md)」を参照してください。

また、標準の詳細ページで、特定の標準のコントロールを無効にすることもできます。各 AWS アカウント および で、特定の標準のコントロールを個別に無効にする必要があります AWS リージョン。特定の標準のコントロールを無効にした場合、現在のアカウントとリージョンにのみ影響があります。

任意の方法を選択し、これらの手順に従って、1 つ以上の特定の標準でコントロールを無効にします。

------
#### [ Security Hub CSPM console ]

**特定の標準のコントロールを無効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[セキュリティ基準]** を選択します。該当する標準の **[結果を表示する]** を選択します。

1. コントロールを選択します。

1. **[コントロールを無効にする]** を選択します。このオプションは、既に無効になっているコントロールには表示されません。

1. コントロールを無効にする理由を入力し、**[無効化]** を選択して確定します。

------
#### [ Security Hub CSPM API ]

**特定の標準のコントロールを無効にするには**

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` を実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。この API は、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   **リクエストの例:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` を実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)` を実行します。コントロールを無効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }
   ```

------
#### [ AWS CLI ]

**特定の標準のコントロールを無効にするには**

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` コマンドを実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、`describe-standards` を実行します。このコマンドは、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` コマンドを実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` コマンドを実行します。コントロールを無効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `DISABLED` と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
   ```

------

# Security Hub CSPM で無効化を推奨するコントロール
<a name="controls-to-disable"></a>

検出結果のノイズと使用コストを削減するために、一部の AWS Security Hub CSPM コントロールを無効にすることをお勧めします。

## グローバルリソースを使用するコントロール
<a name="controls-to-disable-global-resources"></a>

一部の はグローバルリソース AWS のサービス をサポートしているため、任意の からリソースにアクセスできます AWS リージョン。のコストを節約するために AWS Config、1 つのリージョンを除くすべてのリージョンでグローバルリソースの記録を無効にすることができます。ただし、これを行った後、Security Hub CSPM は引き続きコントロールが有効になっているすべてのリージョンでセキュリティチェックを実行し、リージョンごとにアカウントごとのチェック数に基づいて料金を請求します。したがって、Security Hub CSPM での検出結果のノイズを減らし、コストを節約するには、グローバルリソースを記録するリージョン以外のすべてのリージョンで、グローバルリソースが含まれるコントロールを無効にする必要もあります。

コントロールにグローバルリソースが含まれるが、1 つのリージョンでのみ利用可能な場合、そのリージョンでコントロールを無効にすると、基盤となるリソースの検出結果を取得できなくなります。この場合、コントロールを有効にしておくことをお勧めします。クロスリージョン集約を使用する場合、コントロールが利用可能なリージョンは、集約リージョンまたはリンクされたリージョンのいずれかである必要があります。次のコントロールにはグローバルリソースが含まれますが、単一のリージョンでのみ使用できます。
+ **すべての CloudFront コントロール** – 米国東部 (バージニア北部) リージョンでのみ利用できます
+ **GlobalAccelerator.1** – 米国西部 (オレゴン) リージョンでのみ利用できます
+ **Route53.2** – 米国東部 (バージニア北部) リージョンでのみ利用できます
+ **WAF.1、WAF.6、WAF.7、WAF.8** – 米国東部 (バージニア北部) リージョンでのみ利用できます

**注記**  
中央設定を使用する場合、Security Hub CSPM は、ホームリージョンを除くすべてのリージョンでグローバルリソースが含まれるコントロールを自動的に無効にします。設定ポリシーを通じて有効を選択したその他のコントロールは、利用可能なすべてのリージョンで有効になります。これらのコントロールの検出結果を 1 つのリージョンのみに制限するには、 AWS Config レコーダー設定を更新し、ホームリージョンを除くすべてのリージョンでグローバルリソース記録をオフにします。  
グローバルリソースを含む有効なコントロールがホームリージョンでサポートされていない場合、Security Hub CSPM は、コントロールがサポートされているリンクされた 1 つのリージョンでコントロールを有効にしようとします。中央設定により、ホームリージョンまたはリンクされたリージョンのいずれかで利用できないコントロールがカバーされなくなります。  
中央設定の詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

*定期的な*スケジュールタイプを持つコントロールの場合、課金を防ぐには Security Hub CSPM でコントロールを無効にする必要があります。 AWS Config パラメータを に設定`false`しても`includeGlobalResourceTypes`、定期的な Security Hub CSPM コントロールには影響しません。

以下の Security Hub CSPM コントロールは、グローバルリソースを使用します。
+ [[Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント](account-controls.md#account-1)
+ [[Account.2] は AWS Organizations 組織の一部 AWS アカウント である必要があります](account-controls.md#account-2)
+ [[CloudFront.1] CloudFront ディストリビューションでは、デフォルトのルートオブジェクトが設定されている必要があります](cloudfront-controls.md#cloudfront-1)
+ [[CloudFront.3] CloudFront ディストリビューションでは、転送中に暗号化が必要となります](cloudfront-controls.md#cloudfront-3)
+ [[CloudFront.4] CloudFront ディストリビューションでは、オリジンフェイルオーバーが設定されている必要があります](cloudfront-controls.md#cloudfront-4)
+ [[CloudFront.5] CloudFront ディストリビューションでは、ログ記録を有効にする必要があります](cloudfront-controls.md#cloudfront-5)
+ [[CloudFront.6] CloudFront ディストリビューションでは、WAF を有効にする必要があります](cloudfront-controls.md#cloudfront-6)
+ [[CloudFront.7] CloudFront ディストリビューションでは、カスタム SSL/TLS 証明書を使用する必要があります](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.8] CloudFront ディストリビューションでは、SNI を使用して HTTPS リクエストを処理する必要があります](cloudfront-controls.md#cloudfront-8)
+ [[CloudFront.9] CloudFront ディストリビューションでは、カスタムオリジンへのトラフィックを暗号化する必要があります](cloudfront-controls.md#cloudfront-9)
+ [[CloudFront.10] CloudFront ディストリビューションは、エッジロケーションとカスタムオリジン間に非推奨の SSL プロトコルを使用しないでください](cloudfront-controls.md#cloudfront-10)
+ [[CloudFront.12] CloudFront ディストリビューションは、存在しない S3 オリジンをポイントしない必要があります](cloudfront-controls.md#cloudfront-12)
+ [[CloudFront.13] CloudFront ディストリビューションでは、オリジンアクセスコントロールを有効にする必要があります](cloudfront-controls.md#cloudfront-13)
+ [[CloudFront.15] CloudFront ディストリビューションは、推奨される TLS セキュリティポリシーを使用する必要があります](cloudfront-controls.md#cloudfront-15)
+ [[CloudFront.16] CloudFront ディストリビューションでは、Lambda 関数 URL オリジンのオリジンアクセスコントロールを使用する必要があります](cloudfront-controls.md#cloudfront-16)
+ [[GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります](globalaccelerator-controls.md#globalaccelerator-1)
+ [[IAM.1] IAM ポリシーでは、完全な「\$1」管理者権限を許可しないでください](iam-controls.md#iam-1)
+ [[IAM.2] IAM ユーザーには IAM ポリシーを添付しないでください](iam-controls.md#iam-2)
+ [[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります](iam-controls.md#iam-3)
+ [[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません](iam-controls.md#iam-4)
+ [[IAM.5] コンソールパスワードを使用するすべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-5)
+ [[IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります](iam-controls.md#iam-6)
+ [[IAM.7] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-7)
+ [[IAM.8] 未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-8)
+ [[IAM.9] ルートユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-9)
+ [[IAM.10] IAM ユーザーのパスワードポリシーには強力な設定が必要です](iam-controls.md#iam-10)
+ [[IAM.11] IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認します](iam-controls.md#iam-11)
+ [[IAM.12] IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認します](iam-controls.md#iam-12)
+ [[IAM.13] IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認します](iam-controls.md#iam-13)
+ [[IAM.14] IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認します](iam-controls.md#iam-14)
+ [[IAM.15] IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認します](iam-controls.md#iam-15)
+ [[IAM.16] IAM パスワードポリシーはパスワードの再使用を禁止しています](iam-controls.md#iam-16)
+ [[IAM.17] IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認します](iam-controls.md#iam-17)
+ [[IAM.18] でインシデントを管理するためのサポートロールが作成されていることを確認します AWS サポート](iam-controls.md#iam-18)
+ [[IAM.19] すべての IAM ユーザーに対して MFA を有効にする必要があります](iam-controls.md#iam-19)
+ [[IAM.21] 作成する IAM カスタマーマネージドポリシーにはサービスのワイルドカードアクションを許可してはいけません](iam-controls.md#iam-21)
+ [[IAM.22] 45 日間未使用の IAM ユーザー認証情報は削除する必要があります](iam-controls.md#iam-22)
+ [[IAM.24] IAM ロールにはタグを付ける必要があります](iam-controls.md#iam-24)
+ [[IAM.25] IAM ユーザーにはタグを付ける必要があります](iam-controls.md#iam-25)
+ [[IAM.26] IAM で管理されている期限切れの SSL/TLS 証明書は削除する必要があります](iam-controls.md#iam-26)
+ [[IAM.27] IAM ID に AWSCloudShellFullAccess ポリシーをアタッチしないでください](iam-controls.md#iam-27)
+ [[KMS.1] IAM カスタマー管理ポリシーでは、すべての KMS キーの復号アクションを許可しないでください](kms-controls.md#kms-1)
+ [[KMS.2] IAM プリンシパルは、すべての KMS キーで復号アクションを許可する IAM インラインポリシーを使用しないでください](kms-controls.md#kms-2)
+ [[Route53.2] Route 53 のパブリックホストゾーンは DNS クエリをログに記録する必要があります](route53-controls.md#route53-2)
+ [[WAF.1] AWS WAF Classic Global Web ACL ログ記録を有効にする必要があります](waf-controls.md#waf-1)
+ [[WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です](waf-controls.md#waf-6)
+ [[WAF.7] AWS WAF Classic グローバルルールグループには少なくとも 1 つのルールが必要です](waf-controls.md#waf-7)
+ [[WAF.8] AWS WAF Classic グローバルウェブ ACLs には、少なくとも 1 つのルールまたはルールグループが必要です](waf-controls.md#waf-8)

## CloudTrail ログ記録コントロール
<a name="controls-to-disable-cloudtrail-logging"></a>

[CloudTrail.2](cloudtrail-controls.md#cloudtrail-2) コントロールは、証 AWS CloudTrail 跡ログを暗号化するための AWS Key Management Service (AWS KMS) の使用を評価します。これらの証跡を一元的なログ記録アカウントに記録する場合は、アカウントと一元的なログ記録が行われる AWS リージョン 場所でのみこのコントロールを有効にする必要があります。

[中央設定](central-configuration-intro.md)を使用した場合、コントロールの有効化ステータスは、ホームリージョンおよびリンクされたリージョンで統一されます。一部のリージョンでコントロールを無効にして、他のリージョンで有効にすることはできません。この場合は、CloudTrail.2 コントロールからの検出結果を抑制して、検出結果のノイズを低減できます。

## CloudWatch アラームコントロール
<a name="controls-to-disable-cloudwatch-alarms"></a>

異常検出で、Amazon CloudWatch アラームの代わりに Amazon GuardDuty を使用したい場合は、CloudWatch アラームに特化した以下のコントロールを無効にすることができます。
+ [[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-3)
+ [[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] CloudTrail 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] AWS マネジメントコンソール 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します](cloudwatch-controls.md#cloudwatch-14)