AWS Security Hub の料金

Security Hub では、30 日間の無料トライアルを提供しており、リソースベースの料金設定を使用する Security Hub エッセンシャルプランの機能が含まれています。各リージョンのすべての AWS アカウントには無料トライアルが適用され、以前に AWS Security Hub CSPM または Amazon Inspector の無料トライアルをご利用いただいていた場合でも引き続きご利用いただけます。Amazon GuardDuty による脅威分析や Amazon Inspector による AWS Lambda コードスキャンなどのアドオン機能や Extended プランは、Security Hub の無料トライアルには含まれていません。無料トライアルの終了後は、モニタリングする AWS リソース (EC2 インスタンス、コンテナイメージ、Lambda 関数、IAM ユーザー/ロール) と脅威分析の使用量 (CloudTrail イベントとログデータ量) に基づいて料金が決まります。

Security Hub はデフォルトでエッセンシャルプランを提供しており、必要に応じて脅威分析や Lambda コードスキャン機能を追加できます。エッセンシャルプランには、リスク分析、脆弱性管理、セキュリティポスチャ管理、およびセキュリティ対応管理が含まれます。脅威分析には、Amazon Guardduty による AWS アカウントアクティビティ、VPC フローログ、DNS ログ、およびその他のセキュリティデータのモニタリングが追加されています。Extended プランでは、エンドポイント、ID、E メール、ネットワーク、データ、ブラウザ、クラウド、人工知能、およびセキュリティオペレーション全体にわたる厳選されたパートナーソリューションを備えたエンタープライズセキュリティを追加します。 機能の詳細な説明については、プランの詳細セクションを参照してください。

Security Hub エッセンシャルプランは、次の 4 つの主要分野にわたってセキュリティ保護を提供します。

• リスクとエクスポージャーの分析 – 環境全体で検出結果を相互に関連づけることで、最も重要なセキュリティ問題を自動的に特定して優先順位を付けるため、最も重要なことに集中し、脅威に迅速に対応できるようになります。
• 脆弱性管理 – EC2 インスタンス、コンテナイメージ、Lambda 関数を継続的にスキャンして、ソフトウェアの脆弱性や設定の弱点がないかを調べます。これにより、セキュリティギャップが悪用される前に修正できます。
• セキュリティ体制管理 – AWS 環境を業界のセキュリティ標準とベストプラクティスに照らし合わせて評価し、設定ミスを特定します。これにより、コンプライアンスを維持し、アタックサーフェスを減らすのに役立ちます。
• セキュリティレスポンス管理 – 自動化されたワークフローでセキュリティ検出結果を一元的に確認できるため、チームは AWS 環境全体で問題をより効率的に調査して修正できます。

これらの機能を組み合わせることで、セキュリティリスクを軽減し、チームの生産性を向上させ、クラウドインフラストラクチャ全体で強固なセキュリティ体制を維持することができます。

はい。Security Hub は、お客様の環境内の関連する AWS リソースをすべて監視して、より包括的なセキュリティ対策を提供します。エッセンシャルプランの料金は、EC2 インスタンス、ECR コンテナイメージ、Lambda 関数、IAM ユーザーとロールの 4 つのリソースタイプに基づいています。このシンプルな料金モデルにより、Security Hub のコストの見積もりと管理が容易になります。

いいえ、両方のプランは必要ありません。Security Hub エッセンシャルプランは、Security Hub を有効にしたときに受けるデフォルトのカバレッジレベルであり、Security Hub のすべての機能に不可欠です。リスクとエクスポージャーの分析、脆弱性管理、セキュリティポスチャ管理、セキュリティ対応管理などのセキュリティ機能を提供します。脅威分析プランは、Amazon GuardDuty を利用する脅威モニタリング機能で重要なプランを強化するアドオンです。

脅威分析計画は単独では使用できません。その基盤として Security Hub エッセンシャルプランが必要です。エッセンシャルプランのほとんどの機能は独立して機能しますが、Amazon EC2 のマルウェア保護は特殊なケースです。Amazon EC2 のマルウェア保護はエッセンシャルプランに含まれていますが、脅威分析プランも有効になっている場合にのみ機能します。これは、マルウェアをスキャンする前に GuardDuty 脅威検出を利用して疑わしいアクティビティを特定するためです。

エッセンシャルプランだけから始めて、後でセキュリティ監視ニーズの変化に応じて脅威分析機能を追加できます。

AWS では、サービスを有効にする前に Security Hub のコストを見積もるのに役立つコスト見積りツールを提供しています。この見積もりにはエッセンシャルプランとアドオン機能 (脅威分析と Lambda コードスキャン) が含まれていますが、Extended プランの料金は含まれていません。 詳細については、Security Hub のコスト見積もりページをご覧ください。

Security Hub エッセンシャルプランは、Amazon Inspector と AWS Security Hub CSPM の機能を 1 つの予測可能なリソースベースの料金モデルにまとめたもので、セキュリティ運用を強化しながらコストを簡素化します。

Amazon Inspector の既存のお客様は、EC2 インスタンススキャン (エージェントベースとエージェントレスの両方) の統一リソース料金、無制限の CIS Benchmark 評価、予測可能な ECR コンテナイメージモニタリングコスト、月一律の Lambda 関数モニタリング料金により、脆弱性管理を効率化できます。この統合により、脆弱性を包括的にカバーしながら、複数の料金モデルを管理する複雑さが解消されます。

Security Hub CSPM のお客様は、より包括的な脆弱性関連付け機能、無制限のセキュリティチェックと検出結果の取り込み、Amazon Inspector の脆弱性データと自動的に関連付けることによる業界標準に応じたコンプライアンスモニタリングの強化などを利用しながら、使用量ベースの料金からリソースベースの料金に移行できるというメリットを享受できます。この移行により、セキュリティ機能を拡張しながらコストを予測できるようになります。

Security Hub エッセンシャルプランは、コストの統合だけでなく、脆弱性の発見とコンプライアンスチェックを自動的に関連付けることで、すべてのお客様のセキュリティ業務を変革し、リスクの優先順位付けを通じてアラートノイズを軽減します。セキュリティチームは、一元化された運用、自動修復ワークフロー、およびセキュリティニーズの変化に応じてより包括的な脅威検出に拡張できる柔軟性の恩恵を受けながら、脆弱性の重大度とネットワークのエクスポージャーやコンプライアンスギャップを組み合わせた状況に応じたリスクに集中できます。

セキュリティサービスの既存の請求は、Security Hub の合理化された料金設定にシームレスに移行するため、何もする必要はありません。Security Hub プランに含まれる機能については、個別のサービス請求書ではなく、Security Hub でまとめて請求します。

Security Hub は、AWS Organizations 内のアカウントレベルで柔軟な対応が取れます。アカウントで Security Hub を有効にすると、そのアカウントはセキュリティサービス全体で合理化された料金設定を受けられます。アカウントで Security Hub を有効にしない場合、そのアカウントではセキュリティサービスごとに個別のサービス料金が適用されます。つまり、単一の AWS Organization 内では、Security Hub の合理化された料金モデルを使用するアカウントもあれば、個別のサービス料金を引き続き適用するアカウントもあることが可能であることになります。これは、その特定のアカウントで Security Hub が有効になっているかどうかに基づいてアカウントレベルで決定されます。

EC2 インスタンス: EC2 インスタンスの平均数 = (アクティブなインスタンスの合計時間数/1 か月の時間数、つまり 720 時間)。例えば、1 か月間に異なる時間にアクティブだったインスタンスが 3 つあるとします。1 つ目は 360 時間、2 つ目は 350 時間、3 つ目は 10 時間で、合計するとアクティブなインスタンスが 720 時間あったことになります。したがって、その月にスキャンされたインスタンスの合計 720 時間/その月の 720 時間 = 1 つの平均 EC2 インスタンスになります。

コンテナイメージ: スキャンされたコンテナイメージの数 = Amazon ECR に毎月プッシュされたコンテナイメージの数に、Amazon Inspector の再スキャン設定に基づいて、その月に再スキャンの対象となったコンテナイメージの数を加えた数です。Amazon Inspector は、Amazon ECR にプッシュされた各コンテナイメージの初期スキャンを実行します。さらに、Amazon Inspector は、イメージのプッシュ日、イメージのプル日、およびイメージの最終使用日に設定した時間枠に基づいて、コンテナイメージを再スキャンして新しい脆弱性がないかを調べます。例: Amazon ECR リポジトリに 5,000 個のイメージがあり、1 か月で 500 個の追加イメージを Amazon ECR にプッシュしたとします。最終使用日に基づいて 14 日間のイメージモニタリングを設定しました。その月の間に、リポジトリから 75 個のコンテナイメージが Amazon ECS または Amazon EKS クラスターにデプロイされました。Amazon Inspector は、設定した時間枠内で各イメージが実際にモニタリングされた時間に基づいてモニタリングおよび請求します。これには、使用中のアクティブなイメージが 75 個と、それぞれのモニタリング期間に新しくプッシュされた 500 個のイメージの両方が含まれます。料金は、各画像が実際にモニタリングされた時間 (デフォルトでは最大 14 日間) についてのみ発生し、必ずしも 1 か月全体にかかるわけではなく、このモニタリング期間は必要に応じてカスタマイズできます。

Lambda 関数: 対象となる Lambda 関数は、$LATEST とマークされ、過去 90 日間に呼び出されたか更新された関数の数に基づいています。Lambda 関数の平均数 = (Lambda 関数に対する Security Hub のカバー時間の合計)/(1 か月の時間数、つまり 720 時間)。Security Hub のカバー時間は、Lambda 関数がデプロイされてから削除されるまでの時間を表します。

例: Security Hub にモニタリングされた 3 つのデプロイ済み Lambda 関数があり、1 か月の間に異なる時間だけスキャンされたとします。1 つ目は 720 時間、2 つ目は 350 時間、3 つ目は 10 時間で、合計 1080 時間の Lambda 関数がスキャンさたことになります。したがって、その月にスキャンされた Lambda 関数の合計 1080 時間/その月の 720 時間 = 1.5 の平均 Lambda 関数になります。

IAM ユーザーとロール: IAM ユーザーとロールの平均数 = その月に存在した IAM ユーザーまたはロールの数 (日割り計算)。

Security Hub プランに明示的に記載されていない機能は、引き続き元のサービスを通じて請求されます。例えば、GuardDuty の請求対象となるのは、脅威分析プランに含まれていない残りの GuardDuty 機能についてのみです。

はい。Amazon Inspector、GuardDuty、Security Hub CSPM などの個々のサービスは、Security Hub が有効になっていない場合でも標準料金で引き続き利用できます。

Security Hub Extended プランでは、エンドポイント、ID、E メール、ネットワーク、データ、ブラウザ、クラウド、人工知能、およびセキュリティオペレーション全体にわたる厳選されたパートナーソリューションを備えたエンタープライズセキュリティを追加します。Extended プランの料金は、有効にする特定のパートナーソリューションに基づいており、料金はセキュリティカテゴリと使用状況によって異なります。AWS リソースに基づくリソースベースの料金を使用するエッセンシャルプランとは異なり、Extended プランの料金はソリューションごとに設定され、ユーザー単位、エンドポイント単位、TB 単位など、各セキュリティカテゴリに適したディメンションに基づいています。Extended プランを追加すると、Security Hub の適用範囲を AWS 環境を超えて組織全体に広げることができます。