翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Security Hub CSPM でのコントロールの有効化
<a name="securityhub-standards-enable-disable-controls"></a>

 AWS Security Hub CSPM では、コントロールは、組織が情報の機密性、完全性、可用性を保護するのに役立つセキュリティ標準内の保護手段です。各 Security Hub CSPM コントロールは、特定の AWS リソースに関連しています。コントロールを有効にすると、Security Hub CSPM はそのコントロールのセキュリティチェックを開始し、その検出結果を生成します。Security Hub CSPM は、セキュリティスコアを計算する際に有効なすべてのコントロールも考慮します。

適用されるすべてのセキュリティ標準でコントロールを有効にすることができます。または、異なる標準で有効化ステータスを異なる方法で設定できます。有効なすべての標準でコントロールの有効化ステータスを一致させる前者のオプションを使用することをお勧めします。コントロールを適用するすべての標準にわたってコントロールを有効にする手順については、「[すべての標準にわたってコントロールを有効にする](enable-controls-overview.md)」を参照してください。特定の標準でコントロールを有効にする手順については、「[特定の標準のコントロールを有効にする](controls-configure.md)」を参照してください。

クロスリージョン集約を有効にし、集約リージョンにサインインすると、Security Hub CSPM コンソールには、少なくとも 1 つのリンクされたリージョンで利用可能なコントロールが表示されます。リンクされたリージョンでコントロールを使用できるが、集約リージョンでは使用できない場合は、集約リージョンからそのコントロールを有効または無効にすることはできません。

Security Hub CSPM コンソール、Security Hub CSPM API、または を使用して、各リージョンでコントロールを有効または無効にできます AWS CLI。

コントロールを有効または無効にする手順は、[中央設定](central-configuration-intro.md)を使用するかどうかによって異なります。このトピックでは、その違いについて説明します。Security Hub CSPM と を統合するユーザーは、中央設定を使用できます AWS Organizations。マルチアカウント、マルチリージョン環境でコントロールを有効または無効にするプロセスを簡略化するために、中央設定を使用することをお勧めします。中央設定を使用する場合は、設定ポリシーを使用して、複数のアカウントとリージョンのコントロールを有効にすることができます。中央設定を使用しない場合は、各リージョンとアカウントで個別にコントロールを有効にする必要があります。

# すべての標準にわたってコントロールを有効にする
<a name="enable-controls-overview"></a>

コントロールが適用されるすべての標準で AWS Security Hub CSPM コントロールを有効にすることをお勧めします。統合コントロールの検出結果を有効にすると、コントロールが複数の標準に属する場合でも、コントロールチェックごとに 1 つの検出結果を受け取ります。

## マルチアカウント、マルチリージョン環境でのクロススタンダード有効化
<a name="enable-controls-all-standards-central-configuration"></a>

複数の AWS アカウント と でセキュリティコントロールを有効にするには AWS リージョン、委任 Security Hub CSPM 管理者アカウントにサインインし、[中央設定](central-configuration-intro.md)を使用する必要があります。

中央設定では、委任管理者は、有効な標準全体で指定されたコントロールを有効にする Security Hub CSPM 設定ポリシーを作成できます。そして、設定ポリシーを特定のアカウントや組織単位 (OU)、またはルートに関連付けることができます。設定ポリシーは、ホームリージョン (集約リージョンとも呼ばれる) およびリンクされているすべてのリージョンで有効になります。

設定ポリシーではカスタマイズが可能です。例えば、ある OU ではすべてのコントロールを有効にし、別の OU では Amazon Elastic Compute Cloud (EC2) コントロールのみを有効にすることができます。詳細度のレベルは、組織のセキュリティカバレッジについて目指す目標によって異なります。標準全体で指定されたコントロールを有効にする設定ポリシーの作成手順については、「[設定ポリシーの作成と関連付け](create-associate-policy.md)」を参照してください。

**注記**  
委任管理者は、[サービスマネージドスタンダードを除くすべての標準でコントロールを管理する設定ポリシーを作成できます AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。この標準のコントロールは、 AWS Control Tower サービスで設定する必要があります。

委任管理者ではなく一部のアカウントに独自のコントロールを設定させたい場合は、委任管理者がそれらのアカウントをセルフマネージドとして指定できます。セルフマネージドアカウントは、リージョンごとにコントロールを個別に設定する必要があります。

## 単一アカウントとリージョンでのクロススタンダード有効化
<a name="enable-controls-all-standards"></a>

中央設定を使用していない場合、またはセルフマネージドアカウントの場合、設定ポリシーを使用して複数のアカウントおよびリージョンでコントロールを一元的に有効にすることはできません。ただし、次の手順を使用して、1 つのアカウントおよびリージョンでコントロールを有効にすることができます。

------
#### [ Security Hub CSPM console ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで **[コントロール]** を選択します。

1. **[無効]** タブを選択します。

1. コントロールの横にあるオプションを選択します。

1. **[コントロールの有効化]** を選択します (このオプションは、既に有効になっているコントロールには表示されません)。

1. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ Security Hub CSPM API ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API を呼び出します。セキュリティコントロール ID を指定します。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API を呼び出します。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

------
#### [ AWS CLI ]

**1 つのアカウントおよびリージョンの標準全体でコントロールを有効にするには**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) コマンドを実行します。セキュリティコントロール ID を指定します。

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) コマンドを実行します。コントロールが有効になっていない標準の Amazon リソースネーム (ARN) を指定します。標準 ARN を取得するには、`describe-standards` コマンドを実行します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. コントロールを有効にするリージョンごとに、これらの手順を繰り返します。

------

# 特定の標準のコントロールを有効にする
<a name="controls-configure"></a>

 AWS Security Hub CSPM で標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります (ただし、この例外はサービスマネージド標準です）。その後、標準内の特定のコントロールを無効化または再有効化できます。ただし、有効なすべての標準でコントロールの有効化ステータスを一致させることをお勧めします。すべての標準にわたってコントロールを有効にする手順については、「[すべての標準にわたってコントロールを有効にする](enable-controls-overview.md)」を参照してください。

標準の詳細ページには、その標準に適用されるコントロールの一覧と、その標準で現在有効化されているコントロールと無効化されているコントロールに関する情報が含まれます。

また、標準の詳細ページで、特定の標準のコントロールを有効にすることもできます。各 AWS アカウント および で、特定の標準でコントロールを個別に有効にする必要があります AWS リージョン。特定の標準でコントロールを有効にした場合、現在のアカウントとリージョンにのみ影響します。

標準のコントロールを有効にするには、まず、そのコントロールが適用される標準を少なくとも 1 つ有効にする必要があります。標準を有効にする手順については、「[セキュリティ標準の有効化](enable-standards.md)」を参照してください。1 つ以上の標準でコントロールを有効にすると、Security Hub CSPM はそのコントロールの検出結果の生成を開始します。Security Hub CSPM では、全体のセキュリティスコアと標準セキュリティスコアの計算に[コントロールステータス](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values)が含まれます。コントロールを複数の標準で有効にしている場合でも、コントロール検出結果を統合して有効にすると、標準全体のセキュリティチェックごとに 1 つの検出結果を受け取ることができます。詳細については、[統合コントロールの検出結果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)を参照してください。

標準でコントロールを有効にするには、そのコントロールが現在のリージョンで使用可能である必要があります。詳細については、「[リージョン別のコントロールの可用性](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support)」を参照してください。

以下の手順に従って、*特定の*標準で Security Hub CSPM コントロールを有効にします。以下の手順の代わりに、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) API アクションを使用して特定の標準のコントロールを有効にすることもできます。*すべての*標準でコントロールを有効にする手順については、「[単一アカウントとリージョンでのクロススタンダード有効化](enable-controls-overview.md#enable-controls-all-standards)」を参照してください。

------
#### [ Security Hub CSPM console ]

**特定の標準のコントロールを有効にするには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[セキュリティ基準]** を選択します。

1. 該当する標準の **[結果を表示する]** を選択します。

1. コントロールを選択します。

1. **[コントロールの有効化]** を選択します (このオプションは、既に有効になっているコントロールには表示されません)。**[有効化]** を選択して確定します。

------
#### [ Security Hub CSPM API ]

**特定の標準のコントロールを有効にするには**

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` を実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) を実行します。この API は、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   **リクエストの例:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` を実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   **リクエストの例:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)` を実行します。コントロールを有効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。

   **リクエストの例:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**特定の標準のコントロールを有効にするには**

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` コマンドを実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、`describe-standards` を実行します。このコマンドは、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` コマンドを実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` コマンドを実行します。コントロールを有効にする標準の ARN を指定します。

1. `AssociationStatus` パラメータを `ENABLED` と等しい値に設定します。

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# 有効な標準で新しいコントロールを自動的に有効化する
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM は定期的に新しいコントロールをリリースし、1 つ以上の標準に追加します。有効化した標準で新しいコントロールを自動的に有効化するかどうかは、ユーザーが選択できます。

新しいセキュリティコントロールを自動的に有効にするには、Security Hub CSPM の中央設定を使用することをお勧めします。標準全体で無効にするコントロールのリストが含まれた設定ポリシーを作成できます。新しくリリースされたものも含め、他のすべてのコントロールはデフォルトで有効になっています。また、標準全体で有効にするコントロールのリストが含まれたポリシーを作成することもできます。新しくリリースされたものも含め、他のすべてのコントロールはデフォルトで無効になっています。詳細については、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

Security Hub CSPM では、有効化していない標準に新しいコントロールが追加された場合、そのコントロールを有効化しません。

以下の手順は、中央設定を使用しない場合にのみ適用されます。

お好みのアクセス方法を選択し、次の手順に従って、有効な標準の新しいコントロールを自動的に有効化します。

**注記**  
次の手順で新しいコントロールを自動的に有効にすると、コンソールでリリース直後にプログラムでコントロールを操作できます。ただし、自動的に有効化されたコントロールは一時的にデフォルトステータスが **[無効]** になります。Security Hub CSPM がコントロールリリースを処理し、アカウント内でコントロールを **[有効]** として指定するまでに、最大数日かかる場合があります。処理期間中は、コントロールを手動で有効または無効にすることができます。自動コントロールの有効化が有効になっているかどうかにかかわらず、Security Hub CSPM はその指定を維持します。

------
#### [ Security Hub CSPM console ]

**新しいコントロールを自動的に有効化するには**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

1. ナビゲーションペインで、**[Settings]** (設定)、**[General]** (一般) タブの順に選択します。

1. **[コントロール]** で **[編集]** を選択します。

1. **[有効になっている標準で新しいコントロールを自動的に有効にする]** をオンにします。

1. **[保存]** を選択します。

------
#### [ Security Hub CSPM API ]

**新しいコントロールを自動的に有効化するには**

1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) を実行します。

1. 有効な標準で新しいコントロールを自動的に有効にするには、`AutoEnableControls` を `true` に設定します。新しいコントロールを自動的に有効化しない場合は、`AutoEnableControls` を false に設定します。

------
#### [ AWS CLI ]

**新しいコントロールを自動的に有効化するには**

1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) コマンドを実行します。

1. 有効な標準で新しいコントロールを自動的に有効にするには、`--auto-enable-controls` を指定します。新しいコントロールを自動的に有効化しない場合は、`--no-auto-enable-controls` を指定します。

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **コマンドの例**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

新しいコントロールを自動的に有効化しない場合は、手動で有効化する必要があります。手順については、「[Security Hub CSPM でのコントロールの有効化](securityhub-standards-enable-disable-controls.md)」を参照してください。