Security Hub CSPM でのコントロールの無効化
検出結果のノイズを減らすには、環境に関係のないコントロールを無効にすると便利です。AWS Security Hub CSPM では、すべてのセキュリティ標準にわたってコントロールを無効にすることも、特定の標準のみでコントロールを無効することもできます。
すべての標準にわたってコントロールを無効化した場合、次のようになります。
-
コントロールのセキュリティチェックは実行されなくなります。
-
そのコントロールに対して追加の検出結果は生成されません。
-
コントロールの既存の検出結果は更新されなくなりました。
-
コントロールの既存の検出結果は、通常ベストエフォートベースで 3~5 日以内に自動的にアーカイブされます。
-
Security Hub CSPM は、コントロール用に作成した関連 AWS Config ルールをすべて削除します。
特定の標準のみのコントロールを無効にすると、Security Hub CSPM はそれらの標準のみのコントロールのセキュリティチェックの実行を停止します。またこれにより、それらの各標準のセキュリティスコアの計算からコントロールが削除されます。コントロールが他の標準で有効になっている場合、Security Hub CSPM は必要に応じて、関連する AWS Config ルールを保持し、他の標準に対するコントロールのセキュリティチェックを引き続き実行します。また、Security Hub CSPM には、他の各標準のセキュリティスコアを計算する際のコントロールも含まれており、これはセキュリティスコアの概要に影響します。
標準を無効にすると、標準に適用されるコントロールがすべてその標準に対して自動的に無効になります。ただし、コントロールは他の標準で引き続き有効になる場合があります。標準を無効化すると、Security Hub CSPM はその標準に対して無効化されたコントロールを追跡しません。したがって、後で同じ標準を再度有効化すると、それに適用されるすべてのコントロールが自動的に有効になります。標準の無効化の詳細については、「セキュリティ標準の無効化」を参照してください。
コントロールの無効化は永続的なアクションになりません。あるコントロールを無効にし、そのコントロールを含む標準を有効にするとします。その後、コントロールはその標準に対して有効になります。Security Hub CSPM で標準を有効にすると、その標準に適用されるすべてのコントロールが自動的に有効になります。標準を有効化する方法については、「標準を有効にする」を参照してください。
