Security Hub の「有効になっている標準で新しいコントロールを自動的に有効にする」で料金が増加する話
結論
「有効になっている標準で新しいコントロールを自動的に有効にする」がオンになっていると Security Hub の料金が増加する可能性があります。
Enabling new controls in enabled standards automatically - AWS Security Hub
AWS Security Hub regularly releases new controls and adds them to one or more standards. You can choose whether to automatically enable new controls in your enabled standards.
Security Hub でのコントロール追加について
上記ドキュメントに記載されている通り、Security Hub は定期的に新しいコントロールをリリースしています。
リリース情報は AWS の最新情報やドキュメント履歴から確認可能です。
- What’s New at AWS – Cloud Innovation & News
- AWS Security Hub launches 7 new security controls - AWS
- Document history for the AWS Security Hub User Guide - AWS Security Hub
Security Hub の料金について
Security Hub の価格は、セキュリティチェックの数、検出結果の取り込みイベントの数、1 か月あたりに処理されるルール評価の量という 3 つの観点から設定されます。
Security Hub での料金算出基準は上記の通りです。
今回注目したのは「セキュリティチェックの数」です。
東京リージョンの場合、セキュリティチェック 1 回あたりの料金は以下の通りです。
最初の 100,000 件のチェック/月 USD 0.0010/チェック
以後 400,000 件のチェック/月 USD 0.0008/チェック
500,000 件以上のチェック/月 USD 0.0005/チェック
Security Hub の定期的なセキュリティチェックについて
Schedule for running security checks - AWS Security Hub
Periodic security checks run automatically within 12 or 24 hours after the most recent run. Security Hub determines the periodicity, and you can't change it.
Security Hub では 12 時間または 24 時間周期で定期的なセキュリティチェックが行われており、この周期をユーザー側で変更することはできない仕様になっています。
新しいコントロールを自動的に有効にする場合
Enabling new controls in enabled standards automatically - AWS Security Hub
以上の要素を踏まえて新しいコントロールを自動的に有効化している場合に料金が増加する仕組みを考えると、以下のようになります。
- Security Hub が新しいコントロールを追加
- Security Hub で新しいコントロールを自動的に有効にする機能がオンになっている場合、追加されたコントロール分のセキュリティチェック数が増加
- セキュリティチェック数が増加した結果、Security Hub の料金も増加
例えば、以下の条件での料金増加分を試算してみます。
- セキュリティチェック 1 回あたりの料金は 0.0010 USD
- 東京リージョン
- ある月の 1 日に Security Hub が 10 個のコントロールを追加
- 追加された 10 個のコントロールが 24 時間おきにチェックされる
- Security Hub で「有効になっている標準で新しいコントロールを自動的に有効にする」がオンになっている
- 1 カ月を 30 日とする
上記条件下での 1 カ月あたりの料金増加量は以下の計算式となります。
(1 回あたりのセキュリティチェック) * (30 日分) * (10 個のコントロール)
0.0010 * 30 * 10 = 0.3 USD/月
単純計算で 0.3 USD/月増加する計算となりました。
上述の通り Security Hub の料金にはセキュリティチェック以外の要素も含まれているため、上記は参考値として考えて頂ければ幸いです。
また、リソース数によってもセキュリティチェック回数が変わる可能性があるため、リソースが多ければ料金の増加量も多くなる可能性があります。
まとめ
今回は Security Hub の「有効になっている標準で新しいコントロールを自動的に有効にする」で料金が増加する話を紹介しました。
Security Hub の料金が増加した際の調査の一観点として参考になれば幸いです。
参考資料
- Enabling new controls in enabled standards automatically - AWS Security Hub
- What’s New at AWS – Cloud Innovation & News
- AWS Security Hub launches 7 new security controls - AWS
- Document history for the AWS Security Hub User Guide - AWS Security Hub
- 料金 - AWS Security Hub | AWS
- Schedule for running security checks - AWS Security Hub
Discussion