- AWS Security Hub›
- AWS Security Hub の料金
料金の概要
AWS Security Hub は、お客様の重大なセキュリティ問題に優先順位を付け、セキュリティ運用を統合して、大規模な対応を支援します。複数の AWS セキュリティサービスのシグナルを相互に関連付けて充実させることで、重大な問題を検出します。これには、脅威検出用の Amazon GuardDuty や脆弱性管理用の Amazon Inspector などがあります。これにより、クラウド環境におけるリスクを明らかにし、優先順位を付けることができます。Security Hub はシグナルを実用的なインサイトに変換し、セキュリティリスクの軽減、チームの生産性の向上、クラウド環境の保護を実現します。
料金モデル
Security Hub は、リソースごとに統合された料金で合理化された料金モデルを採用しています。Security Hub を有効にすると、エッセンシャルプランを通じてデフォルトレベルの補償を受けることができ、Amazon Inspector、Amazon GuardDuty、AWS Security Hub CSPM、その他の統合されたセキュリティサービスを含む複数のサービスをまとめた料金体系の恩恵を受けられます。これらのセキュリティサービスに対する既存の請求は、Security Hub の合理化された料金設定にシームレスに移行します。お客様は何もする必要はありません。Security Hub が有効になっていない場合でも、個々のサービスは標準料金で引き続き利用できます。Security Hub は、デフォルトのカバレッジレベルとしてエッセンシャルプランを提供しており、これにはセキュリティカバレッジを拡大するためのアドオン機能も付帯しています。エッセンシャルプランの料金は、お客様がどの機能を使用したかに関わらず、モニタリングされたすべてのリソースに基づいて請求されることにご注意ください。
エッセンシャルプラン: リスク分析、脆弱性管理、セキュリティ体制管理、セキュリティ対応管理を行います。Security Hub にはデフォルトのカバレッジが含まれています。
エッセンシャルプランを強化するアドオン機能:
- Amazon GuardDuty による脅威分析プラン: AWS 環境全体の潜在的なセキュリティ上の脅威と不正なアクティビティを検出します。
- Amazon Inspector による Lambda コードのスキャン:Lambda 関数コードのセキュリティ上の脆弱性を特定します。
プランと特徴
Security Hub エッセンシャルプラン
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub essentials plan
|
|---|---|---|---|
|
料金設定アプローチ
|
AWS Security Hub
|
各セキュリティ機能の料金を個別に支払う
|
リソースごとに統合された料金 (スキャン回数は無制限) |
|
リスクとエクスポージャーの分析
|
AWS Security Hub |
利用不可 |
利用料に含まれる |
|
リソースインベントリ
|
AWS Security Hub |
利用不可 |
利用料に含まれる |
|
ワークフローオートメーション
|
AWS Security Hub |
利用不可 |
利用料に含まれる |
|
オートメーションルール
|
AWS Security Hub CSPM |
100 万件のルール評価あたり |
利用料に含まれる |
|
検出結果の取り込みイベント
|
AWS Security Hub CSPM |
最初の 10,000 件は無料、10,000 件以上はイベントごと |
利用料に含まれる |
|
体制マネジメント (CSPM)
|
AWS Security Hub CSPM |
1 回のチェックあたり |
利用料に含まれる |
|
EC2 脆弱性スキャン
|
Amazon Inspector |
1 インスタンスあたり |
利用料に含まれる |
|
EC2 CIS ベンチマーク評価
|
Amazon Inspector |
1 インスタンスあたり、1 回の評価ごと |
利用料に含まれる |
|
ECR 脆弱性スキャン
|
Amazon Inspector |
画像ごと (プッシュ時)、再スキャンごと (保持画像数) |
利用料に含まれる |
|
Lambda 脆弱性スキャン
|
Amazon Inspector |
1 つの Lambda 関数あたり |
利用料に含まれる |
|
EC2/EBS マルウェア保護
|
Amazon GuardDuty |
1 GB あたり |
利用料に含まれる |
Security Hub の脅威分析計画
|
Capability
|
Powered by
|
Standard pricing
|
Security Hub threat analytics plan (requires Security Hub essentials)
|
|---|---|---|---|
|
CloudTrail の脅威分析
|
Amazon GuardDuty
|
100 万イベントあたり
|
100 万イベントあたり |
|
VPC と DNS ログの脅威分析
|
Amazon GuardDuty
|
1 GB あたり |
1 GB あたり |
|
S3 脅威分析
|
Amazon GuardDuty
|
100 万イベントあたり
|
1 GB あたり |
|
EKS 脅威分析
|
Amazon GuardDuty
|
100 万イベントあたり
|
1 GB あたり |
|
Lambda 脅威分析
|
Amazon GuardDuty
|
1 GB あたり |
1 GB あたり |
AWS Lambda コードスキャン
|
Capability
|
Powered by
|
Standard pricing
|
Lambda code scanning (requires Security Hub essentials plan)
|
|---|---|---|---|
|
Lambda コードスキャン
|
Amazon Inspector
|
1 つの Lambda 関数あたり
|
1 つの Lambda 関数あたり
|
Security Hub を有効にする前に、Security Hub コスト見積りツールを使用して、組織全体の推定総支出額を把握しましょう。このツールは、実際の AWS リソースと現在のセキュリティサービスの使用状況を分析して、すべてのアカウントとリージョンにわたる正確なコスト予測を行います。無料トライアルの開始前に、Security Hub の合理化された料金設定と現在の個別のサービスコストを比較し、潜在的な節約機会を特定し、自信を持ってセキュリティ予算の計画を立てましょう。
AWS Security Hub 無料トライアルの概要
30 日間の無料トライアルで AWS Security Hub を無料でお試しください。これには、エッセンシャルプランの機能も含まれています。以前に AWS Security Hub CSPM または Amazon Inspector の無料トライアルを利用したことがある場合でも、Security Hub が有効になっている各リージョンのすべての AWS アカウントで無料トライアルをご利用いただけます。アドオン機能 (Amazon GuardDuty による脅威分析プランと Amazon Inspector による AWS Lambda コードスキャン) は Security Hub の無料トライアルには含まれていませんが、以前に利用したことがない場合は個別のサービスの無料トライアルをご利用いただけます。事前に計画を立てるために、サービスを有効にする前に Security Hub コスト見積りツールを使用して予想コストを計算しましょう。無料トライアルの間は、AWS 請求コンソールから使用状況をモニタリングし、無料トライアル中の実際の使用状況に基づいて継続的なコストを見積もることができます。
メリット
お客様が Security Hub プランを選ぶ理由
Security Hub エッセンシャルプランは、Security Hub を有効にしたときに受けるデフォルトのカバレッジレベルであり、Security Hub のすべての機能に不可欠です。リスクとエクスポージャーの分析、脆弱性管理、セキュリティポスチャ管理、セキュリティ対応管理などのセキュリティ機能を提供します。
EC2 インスタンススキャン (エージェントベースとエージェントレスの両方) の統一リソース料金、無制限の CIS Benchmark 評価、予測可能な ECR コンテナイメージモニタリングコスト、月一律の Lambda 関数モニタリング料金により、脆弱性管理を効率化できます。この統合により、脆弱性を包括的にカバーしながら、複数の料金モデルを管理する複雑さが解消されます。
使用量ベースの料金設定からリソースベースの料金設定への移行によるメリットを得ながら、より包括的な脆弱性相関機能、無制限のセキュリティチェックと検出結果の取り込み、Amazon Inspector 脆弱性データとの自動相関による業界標準に対するコンプライアンス監視の強化などを利用できます。この移行により、セキュリティ機能を拡張しながらコストを予測できるようになります。
Amazon GuardDuty による脅威分析プランは、アクティブな脅威を特定することでエッセンシャルプランを強化するアドオンとして利用できます。脅威分析プランを有効にすると、Security Hub の統合料金モデルを利用できると同時に、脅威の検出結果とエッセンシャルプランの脆弱性データやコンプライアンスデータを自動的に関連付けることで、リスクコンテキストを強化できます。
Security Hub エッセンシャルプランは、コストの統合だけでなく、脆弱性の発見とコンプライアンスチェックを自動的に関連付けることで、セキュリティ業務を変革し、リスクの優先順位付けを通じてアラートノイズを軽減します。セキュリティチームは、一元化された運用、自動修復ワークフロー、およびセキュリティニーズの変化に応じてより包括的なカバレッジに拡張できる柔軟性の恩恵を受けながら、脅威と脆弱性の重大度とネットワークのエクスポージャーや設定ミスのギャップを組み合わせた状況に応じたリスクに集中できます。
料金詳細
-
Security Hub エッセンシャルプラン
-
アドオン機能
-
Security Hub エッセンシャルプラン
-
Security Hub エッセンシャルプラン:
Security Hub エッセンシャルプランの料金は、1 か月あたりにモニタリングされる AWS リソースの平均数に基づいており、料金は Amazon EC2 インスタンスに基づいています。
料金は、1 か月あたりのリソースのモニタリング時間に基づいて日割り計算されます。料金の計算方法の詳細については、よくある質問をご覧ください。
サポートされているすべてのリソースはセキュリティリスクについて監視されていますが、リソースごとの料金は、EC2 インスタンス、ECR コンテナイメージ、Lambda 関数、IAM ユーザーとロールの 4 つの主要なリソースタイプにのみかかります。その他すべてのモニタリング対象リソースが料金に含まれています。
料金は Amazon EC2 インスタンスを 1 リソース単位としており、AWS Lambda 関数はリソース単位の 12 分の1 (12 関数 = 1 リソース単位)、Amazon ECR コンテナイメージはリソースの 1/18 (18 イメージ = 1 リソース単位)、AWS IAM ユーザーとロールはリソースの 1/125 (125 IAM リソース = 1 リソース単位) となっています。
-
アドオン機能
-
エッセンシャルプランを強化するアドオン機能:
注: Security Hub を有効にすると、含まれている機能の請求は Security Hub の合理化された料金体系で統合されます。Security Hub プランに含まれていないその他すべての AWS セキュリティサービス機能 (Amazon GuardDuty および Amazon Inspector のその他の機能を含む) については、元のサービスの請求が引き続き行われます。
料金の例
例 1: 中小規模の組織
AWS デプロイに、米国東部 (バージニア北部) の 1 つの AWS リージョンと 1 つのアカウントを使用しています。1 か月の間に、Security Hub 環境では 200 万件の CloudTrail 管理イベント、800 GB のデータイベント、ネットワークアクティビティ、その他のログを分析し、500 個の EC2 インスタンスのセキュリティリスクをモニタリングしました。
月額コストの計算
Security Hub エッセンシャルプラン
EC2 インスタンス: 500 × 1 単位 = 500 単位
Security Hub エッセンシャルプランの合計: 500 リソース単位 × 1 リソースあたり 3.75 USD = 1,875.00 USD
脅威分析プラン
CloudTrail 管理イベント: 200 万イベント、100 万イベントあたり 4.00 USD = 8.00 USD
データイベント、ネットワークアクティビティ、およびその他のログ: 800 GB、1 GB あたり 0.55 USD (最初の 1,000 GB 階層) = 440.00 USD
脅威分析の合計: 8 USD + 400 USD = 448.00 USD
合計月額コスト = 2,323.00 USD
例 2: 大規模な組織
さまざまなリソースタイプが混在する大規模な企業の AWS デプロイを例に取ります。Security Hub 環境では、1 か月で 1 億件の CloudTrail 管理イベント、ログやイベントから得られる 500 TB のセキュリティデータを処理し、さまざまな AWS リソース (1,000 個の EC2 インスタンス、1,800 個のコンテナイメージ、1,200 個の Lambda 関数、120 人の IAM ユーザー) をモニタリングします。
月額コストの計算
Security Hub エッセンシャルプラン
EC2 インスタンス: 1,000 × 1 単位 = 1,000 単位
ECR コンテナイメージ: 1,800 × 1/18 単位 = 100 単位
Lambda 関数: 1,200 × 1/12 単位 = 100 単位
IAM ユーザーとロール: 1,250 × 1/125 単位 = 10 単位
総リソース単位: 1,000 + 100 + 100 + 10 = 1,210 単位
Security Hub エッセンシャルプランの合計: = 1,210 リソース単位 × リソースあたり 3.75 USD = 4,537.50 USD
脅威分析プラン
CloudTrail 管理イベント: 1 億件のイベント (100 万件のイベントあたり 4.00 USD) = 400.00 USD のデータイベント、ネットワークアクティビティ、その他のログ:
500 TB (合計で 512,000 GB) の場合、計算は次のようになります。
最初の 1,000 GB は 1 GB あたり 0.55 USD = 550.00 USD
次の 9,000 GB は 1 GB あたり 0.25 USD = 2,250.00 USD
残りの 502,000 GB は 1 GB あたり 0.10 USD = 50,200.00 USD
合計 = 53,000.00 USD
脅威分析の合計: 400 USD+ 53,000 USD= 53,400.00 USD
合計月額コスト = 57,937.50 USD
料金に関するその他のリソース
ページトピック
よくある質問
すべて開くSecurity Hub では、30 日間の無料トライアルを提供しており、リソースベースの料金設定を使用する Security Hub エッセンシャルプランの機能が含まれています。各リージョンのすべての AWS アカウントには無料トライアルが適用され、以前に AWS Security Hub CSPM または Amazon Inspector の無料トライアルをご利用いただいていた場合でも引き続きご利用いただけます。Amazon GuardDuty による脅威分析プランや Amazon Inspector による AWS Lambda コードスキャンなどのアドオン機能は、Security Hub の無料トライアルには含まれていません。無料トライアルの終了後は、モニタリングする AWS リソース (EC2 インスタンス、コンテナイメージ、Lambda 関数、IAM ユーザー/ロール) と脅威分析プランの使用量 (CloudTrail イベントとログデータ量) に基づいて料金が決まります。
Security Hub はデフォルトでエッセンシャルプランを提供しており、必要に応じて脅威分析プランや Lambda コードスキャン機能を追加できます。エッセンシャルプランには、リスク分析、脆弱性管理、セキュリティポスチャ管理、およびセキュリティ対応管理が含まれます。脅威分析プランには、Amazon Guardduty による AWS アカウントアクティビティ、VPC フローログ、DNS ログ、およびその他のセキュリティデータのモニタリングが追加されています。機能の詳細な説明については、プランの詳細セクションを参照してください。
Security Hub エッセンシャルプランは、次の 4 つの主要分野にわたってセキュリティ保護を提供します。
- リスクとエクスポージャーの分析 – 環境全体で検出結果を相互に関連づけることで、最も重要なセキュリティ問題を自動的に特定して優先順位を付けるため、最も重要なことに集中し、脅威に迅速に対応できるようになります。
- 脆弱性管理 – EC2 インスタンス、コンテナイメージ、Lambda 関数を継続的にスキャンして、ソフトウェアの脆弱性や設定の弱点がないかを調べます。これにより、セキュリティギャップが悪用される前に修正できます。
- セキュリティ体制管理 – AWS 環境を業界のセキュリティ標準とベストプラクティスに照らし合わせて評価し、設定ミスを特定します。これにより、コンプライアンスを維持し、アタックサーフェスを減らすのに役立ちます。
- セキュリティレスポンス管理 – 自動化されたワークフローでセキュリティ検出結果を一元的に確認できるため、チームは AWS 環境全体で問題をより効率的に調査して修正できます。
これらの機能を組み合わせることで、セキュリティリスクを軽減し、チームの生産性を向上させ、クラウドインフラストラクチャ全体で強固なセキュリティ体制を維持することができます。
はい。Security Hub は、お客様の環境内の関連する AWS リソースをすべて監視して、より包括的なセキュリティ対策を提供します。エッセンシャルプランの料金は、EC2 インスタンス、ECR コンテナイメージ、Lambda 関数、IAM ユーザーとロールの 4 つのリソースタイプに基づいています。このシンプルな料金モデルにより、Security Hub のコストの見積もりと管理が容易になります。
いいえ、両方のプランは必要ありません。Security Hub エッセンシャルプランは、Security Hub を有効にしたときに受けるデフォルトのカバレッジレベルであり、Security Hub のすべての機能に不可欠です。リスクとエクスポージャーの分析、脆弱性管理、セキュリティポスチャ管理、セキュリティ対応管理などのセキュリティ機能を提供します。脅威分析プランは、Amazon GuardDuty を利用する脅威モニタリング機能で重要なプランを強化するアドオンです。
脅威分析計画は単独では使用できません。その基盤として Security Hub エッセンシャルプランが必要です。エッセンシャルプランのほとんどの機能は独立して機能しますが、Amazon EC2 のマルウェア保護は特殊なケースです。Amazon EC2 のマルウェア保護はエッセンシャルプランに含まれていますが、脅威分析プランも有効になっている場合にのみ機能します。これは、マルウェアをスキャンする前に GuardDuty 脅威検出を利用して疑わしいアクティビティを特定するためです。
エッセンシャルプランだけから始めて、後でセキュリティ監視ニーズの変化に応じて脅威分析機能を追加できます。
AWS では、サービスを有効にする前に Security Hub のコストを見積もるのに役立つコスト見積りツールを提供しています。詳細については、Security Hub のコスト見積もりページをご覧ください。
Security Hub エッセンシャルプランは、Amazon Inspector と AWS Security Hub CSPM の機能を 1 つの予測可能なリソースベースの料金モデルにまとめたもので、セキュリティ運用を強化しながらコストを簡素化します。
Amazon Inspector の既存のお客様は、EC2 インスタンススキャン (エージェントベースとエージェントレスの両方) の統一リソース料金、無制限の CIS Benchmark 評価、予測可能な ECR コンテナイメージモニタリングコスト、月一律の Lambda 関数モニタリング料金により、脆弱性管理を効率化できます。この統合により、脆弱性を包括的にカバーしながら、複数の料金モデルを管理する複雑さが解消されます。
Security Hub CSPM のお客様は、より包括的な脆弱性関連付け機能、無制限のセキュリティチェックと検出結果の取り込み、Amazon Inspector の脆弱性データと自動的に関連付けることによる業界標準に応じたコンプライアンスモニタリングの強化などを利用しながら、使用量ベースの料金からリソースベースの料金に移行できるというメリットを享受できます。この移行により、セキュリティ機能を拡張しながらコストを予測できるようになります。
Security Hub エッセンシャルプランは、コストの統合だけでなく、脆弱性の発見とコンプライアンスチェックを自動的に関連付けることで、すべてのお客様のセキュリティ業務を変革し、リスクの優先順位付けを通じてアラートノイズを軽減します。セキュリティチームは、一元化された運用、自動修復ワークフロー、およびセキュリティニーズの変化に応じてより包括的な脅威検出に拡張できる柔軟性の恩恵を受けながら、脆弱性の重大度とネットワークのエクスポージャーやコンプライアンスギャップを組み合わせた状況に応じたリスクに集中できます。
セキュリティサービスの既存の請求は、Security Hub の合理化された料金設定にシームレスに移行するため、何もする必要はありません。Security Hub プランに含まれる機能については、個別のサービス請求書ではなく、Security Hub でまとめて請求します。
Security Hub は、AWS Organizations 内のアカウントレベルで柔軟な対応が取れます。アカウントで Security Hub を有効にすると、そのアカウントはセキュリティサービス全体で合理化された料金設定を受けられます。アカウントで Security Hub を有効にしない場合、そのアカウントではセキュリティサービスごとに個別のサービス料金が適用されます。つまり、単一の AWS Organization 内では、Security Hub の合理化された料金モデルを使用するアカウントもあれば、個別のサービス料金を引き続き適用するアカウントもあることが可能であることになります。これは、その特定のアカウントで Security Hub が有効になっているかどうかに基づいてアカウントレベルで決定されます。
EC2 インスタンス: EC2 インスタンスの平均数 = (アクティブなインスタンスの合計時間数/1 か月の時間数、つまり 720 時間)。例えば、1 か月間に異なる時間にアクティブだったインスタンスが 3 つあるとします。1 つ目は 360 時間、2 つ目は 350 時間、3 つ目は 10 時間で、合計するとアクティブなインスタンスが 720 時間あったことになります。したがって、その月にスキャンされたインスタンスの合計 720 時間/その月の 720 時間 = 1 つの平均 EC2 インスタンスになります。
コンテナイメージ: スキャンされたコンテナイメージの数 = Amazon ECR に毎月プッシュされたコンテナイメージの数に、Amazon Inspector の再スキャン設定に基づいて、その月に再スキャンの対象となったコンテナイメージの数を加えた数です。Amazon Inspector は、Amazon ECR にプッシュされた各コンテナイメージの初期スキャンを実行します。さらに、Amazon Inspector は、イメージのプッシュ日、イメージのプル日、およびイメージの最終使用日に設定した時間枠に基づいて、コンテナイメージを再スキャンして新しい脆弱性がないかを調べます。例: Amazon ECR リポジトリに 5,000 個のイメージがあり、1 か月で 500 個の追加イメージを Amazon ECR にプッシュしたとします。最終使用日に基づいて 14 日間のイメージモニタリングを設定しました。その月の間に、リポジトリから 75 個のコンテナイメージが Amazon ECS または Amazon EKS クラスターにデプロイされました。Amazon Inspector は、設定した時間枠内で各イメージが実際にモニタリングされた時間に基づいてモニタリングおよび請求します。これには、使用中のアクティブなイメージが 75 個と、それぞれのモニタリング期間に新しくプッシュされた 500 個のイメージの両方が含まれます。料金は、各画像が実際にモニタリングされた時間 (デフォルトでは最大 14 日間) についてのみ発生し、必ずしも 1 か月全体にかかるわけではなく、このモニタリング期間は必要に応じてカスタマイズできます。
Lambda 関数: 対象となる Lambda 関数は、$LATEST とマークされ、過去 90 日間に呼び出されたか更新された関数の数に基づいています。Lambda 関数の平均数 = (Lambda 関数に対する Security Hub のカバー時間の合計)/(1 か月の時間数、つまり 720 時間)。Security Hub のカバー時間は、Lambda 関数がデプロイされてから削除されるまでの時間を表します。
例: Security Hub にモニタリングされた 3 つのデプロイ済み Lambda 関数があり、1 か月の間に異なる時間だけスキャンされたとします。1 つ目は 720 時間、2 つ目は 350 時間、3 つ目は 10 時間で、合計 1080 時間の Lambda 関数がスキャンさたことになります。したがって、その月にスキャンされた Lambda 関数の合計 1080 時間/その月の 720 時間 = 1.5 の平均 Lambda 関数になります。
IAM ユーザーとロール: IAM ユーザーとロールの平均数 = その月に存在した IAM ユーザーまたはロールの数 (日割り計算)。
Security Hub プランに明示的に記載されていない機能は、引き続き元のサービスを通じて請求されます。例えば、GuardDuty の請求対象となるのは、脅威分析プランに含まれていない残りの GuardDuty 機能についてのみです。
はい。Amazon Inspector、GuardDuty、Security Hub CSPM などの個々のサービスは、Security Hub が有効になっていない場合でも標準料金で引き続き利用できます。