Amazon Inspector の料金表

料金設定の概要

Amazon Inspector は、自動化された継続的な脆弱性スキャンサービスで、Amazon ECR や継続的インテグレーションおよび継続的デリバリー (CI/CD) ツール内で、Amazon Elastic Compute Cloud (EC2) インスタンス、AWS Lambda 関数、コードリポジトリ、およびコンテナイメージを評価し、インフラストラクチャワークロードのセキュリティとコンプライアンスを向上させます。月々の料金は、スキャンされたさまざまなワークロードに基づいて決定されます。

Amazon EC2 インスタンススキャン: 各 EC2 インスタンスは、ソフトウェアの脆弱性と、意図しないネットワークのエクスポージャーがないかどうかを確認するために継続的にスキャンされます。これは、エージェントベースのスキャンとエージェントレススキャンの両方に当てはまります。1 か月の総コストは、1 か月以内に評価された EC2 インスタンスの平均*数に基づいています。断続的に実行されるインスタンスの場合、両院は 1 か月以内に実行された合計時間に基づいて比例配分されます。

Amazon EC2 CIS ベンチマーク評価: Amazon Inspector は Center for Internet Security の CIS ベンチマークをサポートしています。Amazon EC2 インスタンスの OS レベルの CIS 設定ベンチマークに対するオンデマンド評価と対象を絞った評価をサポートします。Amazon EC2 インスタンスのオペレーティングシステムの CIS Benchmark 評価の費用は、インスタンスごとの評価ごとに請求されます。

Amazon ECR コンテナイメージスキャン: Amazon Inspector スキャン用に設定された Amazon ECR にプッシュされた各コンテナイメージは、ソフトウェアの脆弱性がないかを確認するために評価されます。1 か月の総費用は、Amazon ECR にプッシュされたときに最初にスキャンされたイメージの数と、それらのイメージが 1 か月に再スキャンされた回数の組み合わせに基づいています。

オンデマンドコンテナイメージスキャン (CI/CD ツール内で、および Amazon Inspector によって開始されたスキャンを含む): 各コンテナイメージは、Jenkins や TeamCity などのデベロッパーツール内で、ソフトウェアの脆弱性がないかを確認するために評価されます。コストは、CI/CD ツールで 1 か月あたりにスキャンされる画像の数と、CI/CD ツール以外のオンデマンドスキャンのコストに基づいています。

AWS Lambda 標準スキャン: デプロイされた各 Lambda 関数は、ソフトウェアパッケージの脆弱性がないかを確認するために継続的に評価されます。月額総額は、月間の平均的な Lambda 関数スキャン数に基づいて算出されます。料金は、1 か月間の Lambda 関数の Amazon Inspector の総カバレッジ時間 (Amazon Inspector で関数が発見されてから、削除またはスキャンから除外されるまでの時間数) に基づいて按分して計算されます。

AWS Lambda コードスキャン: デプロイされた各 Lambda 関数は、記述したアプリケーションコードにインジェクションの欠陥や埋め込まれたシークレットなどのコードの脆弱性がないかを確認するために継続的に評価されます。月額総額は、月間の平均的な Lambda 関数スキャン数に基づいて算出されます。料金は、1 か月以内にスキャンされた機能に対する Amazon Inspector の合計サービス時間に基づいて日割り計算されます。時間数は、Amazon Inspector によって関数が検出されてから、関数が削除されるかスキャンから除外されるまでの時間を反映しています。

コードリポジトリスキャン: 各コードリポジトリまたはコード変更 (プルリクエスト/マージリクエストまたはプッシュ) は、記述したアプリケーションコードにインジェクションの欠陥や埋め込まれたシークレットなどのコードの脆弱性がないかを確認するために継続的に評価されます。月額総額は、スキャンされたすべてのリポジトリ全体で、サポートされている各スキャンタイプ全体 (ファーストパーティコード (SAST)、サードパーティ依存関係 (SCA)、および Infrastructure as Code (IaC) について) で実行されたスキャンの総数に基づいています。

Amazon Inspector では、実際に使用した分に対してのみ料金が発生します。最低料金や前払いの義務はありません。

無料トライアル

Amazon Inspector を初めて使用するすべてのアカウントは、サービスを評価してそのコストを見積もるための 15 日間の無料トライアルの対象となります。試用期間中、対象となるすべての Amazon Elastic Compute Cloud (EC2) インスタンス、AWS Lambda 関数および Amazon Elastic Container Registry (ECR) またはコードリポジトリにプッシュされたコンテナイメージは、無料で継続的にスキャンされます。CI/CD ツール内のオンデマンドコンテナイメージスキャンでは、1 アカウントあたり 25 回のイメージ評価を 1 回限り無料で利用できます。注:CIS Benchmark 評価は 15 日間の無料トライアルには含まれていません。

さらに、Amazon Inspector の中央管理者アカウントでの組織全体の総支出を含め、Amazon Inspector コンソールで推定支出を確認できます。このようにして、有料サービス利用に移行する前に、組織全体の EC2、Amazon ECR および Lambda 関数全体の自動化された継続的な脆弱性スキャンに対する Amazon Inspector の使用料を理解して見積もることができます。

Amazon Inspector の無料トライアルを開始する

*EC2 インスタンスの平均数 = (スキャンされたアクティブでサポートされているインスタンスの合計時間) / (1 か月の時間数、すなわち、720 時間)。例えば、1 か月の間にアクティブで、さまざまな時間にスキャンされた 3 つのサポート対象のインスタンスがあるとします。1 つ目は 360 時間、2 つ目は 350 時間、3 つ目は 10 時間で、合計 720 時間のアクティブなサポート対象のインスタンスがスキャンされます。したがって、その月にスキャンされたインスタンスの合計 720 時間/その月の 720 時間 = 1 つの平均 EC2 インスタンスになります。

**Lambda 関数の平均数 = (Lambda 関数に対する Amazon Inspector のカバー時間の合計)/(1 ヶ月の時間数、つまり 720 時間)。Amazon Inspector の対象時間とは、Lambda 関数がデプロイされてから、Amazon Inspector のスキャンから削除されるか、Amazon Inspector のスキャンから除外されるまでの時間を意味します。例えば、Amazon Inspector にモニターされた3 つのデプロイ済み Lambda 関数があり、1 ヶ月の間に異なる時間だけスキャンされたとします。1 つ目は 720 時間、2 つ目は 350 時間、3 つ目は 10 時間で、合計 1080 時間の Lambda 関数インスタンスがスキャンさたことになります。したがって、その月にスキャンされた Lambda 関数の合計 1080 時間/その月の 720 時間 = 1.5 の平均 Lambda 関数になります。

***0.03 USD の同じ料金が、ソフトウェア部品表 (SBOM) を入力として受け取り、脆弱性の結果を提供する Amazon Inspector API を使用している場合に適用されます

****Inspector は、エージェントレススキャンを行うために Amazon Elastic Block Store (Amazon EBS) スナップショットを作成して顧客アカウントに一時的に保存します。スナップショットストレージのコストは、EC2 の Inspector エージェントレススキャンとは別に料金設定されます。スナップショットストレージのコストについては、Amazon EBS の料金をご覧ください。

*****10 MB を超えるリポジトリは、複数のリポジトリとして課金されます。例えば、100 MB のリポジトリは、課金の際には 10 個のリポジトリとしてカウントされます。1 か月あたりのスキャンごとのリポジトリ評価の合計数: 各月において、サイズが 10 MB 未満の 5 個のリポジトリを管理し、SAST、SCA、IaC の 3 つのスキャンのタイプで異なる設定を使用してスキャンしているとします。リポジトリごとに、各スキャンタイプで週 1 回スキャンを実行します。すなわち、タイプごとに 1 か月あたり合計 4 回のスキャンが実行されます。さらに、変更ベースのスキャンが有効になっているため、すべてのリポジトリについて、各月、スキャンタイプごとに 5 回のプルリクエストスキャンまたはマージリクエストスキャンが実行されます。また、リポジトリが初めてオンボーディングされると、各スキャンタイプごとにオンデマンドで 1 回スキャンされます。合計すると、各リポジトリで 12 回の週次スキャン (4 週間 × 3 つのスキャンタイプ)、15 回の変更ベーススキャン (1 か月あたり 5 回 × 3 つのスキャンタイプ)、および 3 回のオンデマンドスキャン (スキャンタイプごとに 1 回) が実行されます。すなわち、各月において、リポジトリあたり最大 30 回のスキャンが実行されることになります。リポジトリが 5 個の場合、1 か月あたり合計 150 回のスキャンとなります。

料金の例

例 1: Amazon EC2 インスタンススキャン
10 個の Amazon EC2 インスタンスがある米国東部 (北バージニア) でのデプロイの新しい請求月になったとします。そこでは、AWS Systems Manager Agent がインストールされ、Amazon Inspector スキャンを行うように設定されています。このようなインスタンスは 1 か月間実行されます。さらに、この毎月の請求期間中に、さらに 10 個のインスタンスが起動され、Amazon Inspector で継続的にスキャンされます。ただし、これらの新しいインスタンスはそれぞれ、請求期間中の 15 日間のみアクティブになります。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

10 個の EC2 インスタンスがそれぞれ 1.258 USD で 30 日間毎日スキャンされた場合: 10 * 1.258 USD = 12.58 USD
10 個の EC2 インスタンスが 15 日間だけスキャンされると、平均 5 個のインスタンスがそれぞれ 1.258 USD でスキャンされたことになります: 5 * 1.258 USD = 6.29 USD
その月の Amazon Inspector の請求額は 18.87 USD になります。

例 2: 継続的なスキャンを使用した Amazon ECR コンテナイメージ
米国東部 (バージニア北部) でのデプロイの新しい請求月になったとします。そこには、過去 30 日間、継続スキャン用に設定された ECR リポジトリに以前にプッシュ、スキャン、および保持されたコンテナイメージが 500 個あります。また、その月に 1,000 個の新しいコンテナイメージを同じリポジトリにプッシュします。費用には、ECR にプッシュされたときに最初にスキャンされた 1,000 個の新しいコンテナイメージの料金と、合計 1,500 個の保持されたコンテナイメージを再スキャンするための料金が含まれます。今月は、Amazon Inspector 脆弱性データベースが更新され、15 回の再スキャンが呼び出されました。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

1,000 個の新しくプッシュされたコンテナイメージはそれぞれ 0.09 USD で最初にスキャンします: 1,000 * 0.09 USD = 90.00 USD
(1,000 個の新しくプッシュされたコンテナイメージと、500 個の以前にプッシュおよびスキャンされたコンテナイメージが既にリポジトリにあります: リポジトリにはの合計 1,000 + 500 = 1,500 個のイメージがあります)
1,500 個のイメージがそれぞれが平均 15 回再スキャンされ、再スキャンごとに 0.01 USD かかります: 1,500 * 15 * 0.01 USD = 225.00 USD
その月の Amazon Inspector の請求額は 315.00 USD になります。

例 3: オンプッシュスキャンを使用した Amazon ECR コンテナイメージ
米国東部 (バージニア北部) でのデプロイの新しい請求月になったとします。そこには、オンプッシュスキャン用に設定された Amazon ECR リポジトリに、以前にプッシュ、スキャン、および保持された 500 個のコンテナイメージがあります。その月に 1,000 個の新しいコンテナイメージを同じリポジトリにプッシュします。費用には、Amazon ECR にプッシュされたときにスキャンされた 1,000 個の新しいコンテナイメージのみが含まれます。リポジトリはオンプッシュスキャン用に設定されているため、再スキャンは発生せず、追加料金も発生しません。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

最初にスキャンされた 1,000 個の新しくプッシュされたコンテナイメージにそれぞれ 0.09 USD がかかるため、90.00 USD のコストが発生します
(以前にスキャンした 500 個のイメージは無料です)。
その月の Amazon Inspector の請求額は 90.00 USD になります。

例 4: AWS Lambda 関数の標準スキャン
米国東部 (バージニア北部) に 20 の Lambda 関数をデプロイし、新しい請求月に入ります。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

1 つあたり 0.30 USD の Lambda 関数 10 を、30 日間すべてスキャンした場合 = 3.00 USD
1 つあたり 0.30 USD の Lambda 関数 10 を、15 日間だけスキャンした場合 (つまり 15 日後に削除される場合) = 1.50 USD
(再スキャンに対する追加料金はありません)
その月の Amazon Inspector の請求額は 4.50 USD になります。

例 5: AWS Lambda 関数標準とコードスキャン
米国東部 (バージニア北部) に 20 の Lambda 関数をデプロイし、新しい請求月に入ります。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

1 つあたり 0.90 USD (0.30 USD+0.60 USD) を、30 日間すべてスキャンされた10 Lambda 関数 = 9.00 USD
1 つあたり 0.90 USD (0.30 USD+0.60 USD) の Lambda 関数 10 を、15 日間だけスキャンした場合 (つまり 15 日後に削除される場合) = 4.50 USD
(再スキャンに対する追加料金はありません)
その月の Amazon Inspector の請求額は 13.50 USD になります。

例 6: Amazon EC2 エージェントレススキャン
AWS Systems Manager エージェント (SSM) がインストールされ、Amazon Inspector EC2 スキャン用に構成された 10 台の Amazon EC2 インスタンスで、米国東部 (バージニア北部) のデプロイメントの新しい請求月に入り、これらのインスタンスは 1 ヶ月間実行されています。さらに、この毎月の請求期間中に、さらに 10 個のインスタンスが起動され、エージェントレススキャンでスキャンされます。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

SSM エージェントベースのスキャンを使用してスキャンされた 10 個の EC2 インスタンス (1 個あたり 1.258 USD = 12.58 USD)
エージェントレススキャンを使用してスキャンされた 10 個の EC2 インスタンス (1 個あたり 1.75 USD) = 17.50 USD

その月の Amazon Inspector の請求額は 30.08 USD になります。

例 7: オンデマンドコンテナイメージ評価 (CI/CD ツール内を含む)
CI/CD ツールに 1000 個のコンテナイメージがある米国東部 (バージニア北部) デプロイの新しい請求月を入力します。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

CI/CD ツール内の 1,000 個のコンテナイメージ、1 個あたり 0.03 ドル = 30.00 ドル
その月の Amazon Inspector の請求額は 30.00 USD になります。

例 8: Amazon EC2 インスタンスのオペレーティングシステムのインターネットセキュリティセンター (CIS) ベンチマーク評価
AWS Systems Manager エージェントがインストールされた 10 個の EC2 インスタンスを含む米国東部 (バージニア北部) のデプロイの新しい請求月を入力します。10 個のインスタンスについて、月に 2 回の CIS ベンチマーク評価をスケジュールします。米国東部 (バージニア北部) での Amazon Inspector の料金は、次のように計算されます。

10 個の EC2 インスタンスを 2 回評価すると、それぞれ 0.03 USD = 0.30 USD*2
その月の Amazon Inspector の請求額は 0.60 USD になります。

例 9: 顧客リポジトリのコードセキュリティスキャン
500 個のリポジトリがある米国東部 (バージニア北部) デプロイの新しい請求月に入り、各スキャンタイプ (SAST、SCA、IaC) で週 1 回の定期スキャンを設定します。また、接続を初めて開始したときに、これらすべてのリポジトリについて 1 回限りのスキャンを実行しました。コストには、3 つすべてのスキャンタイプでスキャンされた 500 個のリポジトリについての料金と、1 か月間に 4 回実行された定期スキャン (各リポジトリでスキャンタイプごとに 5 回) についての料金が含まれます。米国東部 (バージニア北部) におけるコードセキュリティについての Amazon Inspector の料金は、次のように計算されます:

新たに特定された 500 個のリポジトリを、スキャンタイプ (SAST、IaC、SCA) ごとに 0.15 USD で 1 回スキャンした場合 = 500 * 0.15 USD * 3 = 225 USD

同じ 500 個のリポジトリを、すべてのスキャンタイプで週 1 回 (月 4 回) 定期スキャンするようスケジュール設定した場合 = 500 * 4 * 0.15 USD * 3 = 900 USD

その月の Amazon Inspector の請求額は 1,125 USD になります。

スキャンではリポジトリごとに 10 MB のサイズ制限があります。10 MB を超えるリポジトリは、複数のリポジトリとして課金されます。例えば、100 MB のリポジトリは、課金の際には 10 個のリポジトリとしてカウントされます。リポジトリが 10 個あり、そのうち 5 個がそれぞれ 10 MB 未満、5 個がそれぞれ 20 MB である場合、各リポジトリは、スキャンタイプ (SCA、SAST、IaC) ごとに 1 週間に 1 回スキャンされます。対象となるリポジトリの合計数は、5 (10 MB 未満) + 5 × 2 (20 MB の各リポジトリは 2 つとしてカウントされるため) で、合計 15 個のリポジトリとなります。それぞれを 4 週間にわたって週 3 回 (スキャンタイプごとに 1 回) スキャンするため、合計で 15 × 3 × 4 = 180 回のスキャンとなります。0.15 USD/スキャンなので、1 か月の合計コストは 27 USD となります。