AWS Security Hubなどセキュリティサービスのボリュームディスカウントを確認してみた
2024.12.29こんにちは。サービス開発室の武田です。
ある日、AWSの料金明細を見ていたら、AWS Security Hubの明細レコードが複数行出ていました。
| Type | Description | Quantity | Cost |
|---|---|---|---|
| APN1-PaidComplianceCheck | The first 100,000 security checks per account per region per month cost USD0.001 per check | 173.00 | $0.17 |
| APN1-PaidComplianceCheck | 100,001 to 400,000 security checks per account per region per month cost USD0.0008 per check | 711.00 | $0.56 |
| APN1-PaidComplianceCheck | Over 500,000 security checks per account per region per month cost USD0.0005 per check | 1,551.00 | $0.77 |
なんだこれ?と思ったら、ボリュームディスカウント(ティア)ですね。AWSでは、サービスによって大量の使用量がある場合、段階的に安くなるものがあります。
今回はセキュリティ系のいくつかのサービスで、ボリュームディスカウントについて確認してみました。なお記載している表の料金は東京リージョンです。
AWS Security Hub
Security Hubでは、「セキュリティチェック」「検出結果の取り込みイベント」「自動化ルール」それぞれについてボリュームディスカウントがあります。
| セキュリティチェック | 料金 |
|---|---|
| 最初の100,000件のチェック/月 | $0.0010/チェック |
| 以後400,000件のチェック/月 | $0.0008/チェック |
| 500,000件以上のチェック/月 | $0.0005/チェック |
| 検出結果の取り込み | 料金 |
|---|---|
| Security Hubのチェックに関連する取り込み | 無料 |
| 最初の10,000イベント/月 | 無料 |
| 10,000以上のイベント/月 | $0.00003/イベント |
| 自動化ルール評価 | 料金 |
|---|---|
| 最初の100万件のルール評価/月 | 無料 |
| 以後9,900万件のルール評価/月 | $0.15/100万件評価 |
| 以後9億件のルール評価/月 | $0.075/100万件評価 |
| 10億件以上のルール評価/月 | $0.023/100万件評価 |
最初の例を見てもらうと、Quantity(使用量)の部分はボリュームディスカウントの段階に達していませんね。これはAWS Organizationsを利用してアカウントをまとめている場合[1]に見られるもので、単体のアカウントではなくまとめているアカウントの使用量が合算されます。先ほどの料金を合計すると$1.5173ですが、ボリュームディスカウントがない場合は$2.435となっていたはずです。
Amazon GuardDuty
GuardDutyでは「VPCフローログとDNSクエリログの分析」「保護プラン各種(一部除く)」でボリュームディスカウントがあります。
| VPCフローログとDNSクエリログの分析 | 料金 |
|---|---|
| 最初の500GB/月 | $1.18/GB |
| 次の2,000GB/月 | $0.59/GB |
| 次の7,500GB/月 | $0.29/GB |
| 10,000GB/月を超えた場合 | $0.17/GB |
S3プロテクション。
| CloudTrail S3データイベント分析 | 料金 |
|---|---|
| 最初の5億イベント/月 | $1.04/100万件イベント |
| 次の45億イベント/月 | $0.52/100万件イベント |
| 50億を超えるイベント/月 | $0.26/100万件イベント |
EKSプロテクション。
| EKS監査ログ | 料金 |
|---|---|
| 最初の1億件のイベント/月 | $2.48/100万件イベント |
| 次の1億イベント/月 | $1.24/100万件イベント |
| 2億を超えるイベント/月 | $0.31/100万件イベント |
ランタイムモニタリング。
| EKSランタイムモニタリング | 料金 |
|---|---|
| 最初の500個のvCPU/月 | $2.00/vCPU |
| 次の4,500個のvCPU/月 | $1.00/vCPU |
| 5,000個以上のvCPU/月 | $0.33/vCPU |
| ECSランタイムモニタリング | 料金 |
|---|---|
| 最初の500個のvCPU/月 | $2.00/vCPU |
| 次の4,500個のvCPU/月 | $1.00/vCPU |
| 5,000個以上のvCPU/月 | $0.33/vCPU |
| EC2ランタイムモニタリング | 料金 |
|---|---|
| 最初の500個のvCPU/月 | $2.00/vCPU |
| 次の4,500個のvCPU/月 | $1.00/vCPU |
| 5,000個以上のvCPU/月 | $0.33/vCPU |
Lambda保護。
| ネットワークアクティビティログ分析 | 料金 |
|---|---|
| 最初の500GB/月 | $1.18/GB |
| 次の2,000GB/月 | $0.59/GB |
| 次の7,500GB/月 | $0.29/GB |
| 10,000GB/月を超えた場合 | $0.17/GB |
GuardDutyは最大1/10程度まで費用が抑えられるのでボリュームディスカウントの恩恵が大きそうですね。
Amazon Detective
Detectiveでは取り込んだデータ量に応じたボリュームディスカウントがあります。
| CloudTrailログ、VPC Flow Logs、EKS監査ログ、GuardDutyから取り込まれるデータ | 料金 |
|---|---|
| 最初の1,000GB/月 | $2.70/GB |
| 次の4,000GB/月 | $1.35/GB |
| 次の5,000GB/月 | $0.68/GB |
| 10,000GB以上/月 | $0.34/GB |
Amazon Macie
Macieではスキャンしたデータ量に応じたボリュームディスカウントがあります。
| 月ごとにデータを検査し、対象自動機密データ検出を実現 | 料金 |
|---|---|
| 最初の50TB/月 | $1.25/GB |
| 追加の450TB/月 | $0.63/GB |
| 500TB以上/月 | $0.31/GB |
まとめ
クラスメソッドが提供しているメンバーズサービスでは、お客様の多くのアカウントをまとめておりボリュームディスカウントが効きやすいです。注意点としては、どのティア(料金)が適用されるかはランダムとなるため必ずしも安くなるとは限りません。とはいえ単体のアカウントで使用して低いティアだけの場合と比べれば安くなっているはずです。
メンバーズの請求代行サービスに加入していただくと7%OFFなどの割り引きが受けられますが、実はボリュームディスカウントによって加入前より利用費が下がっている可能性があります。セキュリティサービスは(文字通り)安全・防護のために必要ですが、どうしてもコストが目に付くものでしょう。ボリュームディスカウントが効いているかな?と気になった方は料金明細を確認してみてください。
参考URL
- https://aws.amazon.com/jp/security-hub/pricing/
- https://aws.amazon.com/jp/guardduty/pricing/
- https://aws.amazon.com/jp/detective/pricing/
- https://aws.amazon.com/jp/macie/pricing/
複数アカウントの請求をまとめることを一括請求あるいはコンソリテッドビリング(コンソリ)と呼びます。 ↩︎
