Amazon Inspectorの料金について自分なりにしっくりさせた

2020.05.17

はじめに

こんにちは。大阪オフィスの林です。

Amazon Inspectorの課金の仕組みで少し分からない部分があったので検証して確認してみました。 ※料金や課金体系は今後アップデートの可能性もありますので2020年5月17日時点の情報としてご参照頂ければと思います。 Amazon Inspectorの料金

課金の仕組みの確認

一言でいうと

「実行対象」 × 「実行回数」 × 「利用料」で課金されます。

すごくシンプルで分かりやすいです! 少し補足をすると「利用料」の部分ですが、Inspectorでは一律で決まった「利用料」が定められている訳ではなく、どの評価ルールを使用するかによって「利用料」が異なります。(Aルールは$1 Bルールは$2というようなイメージ)

非常にシンプルで分かりやすいです!

評価ルール

「利用料」が異なると申し上げた評価ルールですが、そもそもの評価ルールについて説明させて頂きます。現在(2020/5/17時点)で、AWSから用意されている評価ルールのパッケージは4つあります。

  • Network Reachability-1.1
  • CIS Operating System Security Configuration Benchmarks-1.0
  • Common Vulnerabilities and Exposures-1.1
  • Security Best Practices-1.0

そして上記4つのルールは2つのカテゴリに分類されます。

  • ネットワークの到達可能性ルールパッケージ
    • Network Reachability-1.1
  • ホスト評価のルールパッケージ
    • CIS Operating System Security Configuration Benchmarks-1.0
    • Common Vulnerabilities and Exposures-1.1
    • Security Best Practices-1.0

先ほどどの評価ルールを使用するかによって「利用料」が異なります。と申し上げましたが、具体的には上記の2つの「カテゴリ毎」で料金が異なります。

ネットワークの到達可能性ルールパッケージの料金詳細

任意の月
1 回のインスタンス評価ごとの料金
最初の 250 回のインスタンス評価 0.13USD
次の 750 回のインスタンス評価 0.15USD
次の 4,000 回のインスタンス評価 0.10USD
次の 45,000 回のインスタンス評価 0.07USD
これ以上のインスタンス評価 0.04USD

※Amazon Inspector の利用開始から 90 日間において、最初の 250 回のエージェント評価は無料トライアルとなります。 ※2020年5月17日時点の料金です。

ホスト評価のルールパッケージの料金詳細

任意の月
1 回のインスタンス評価ごとの料金
最初の 250 回のインスタンス評価 0.30USD
次の 750 回のインスタンス評価 0.25USD
次の 4,000 回のインスタンス評価 0.15USD
次の 45,000 回のインスタンス評価 0.10USD
これ以上のインスタンス評価 0.05USD

※Amazon Inspector の利用開始から 90 日間において、最初の 250 回のエージェント評価は無料トライアルとなります。 ※2020年5月17日時点の料金です。

分からなかったこと(しっくりきてなかったこと)

最小単位のルール利用毎に課金されるのか?

ここまでで、「実行対象」 × 「実行回数」 × 「利用料」で課金されるというお話をさせて頂きました。 また、セキュリティ評価テストで使用するルールのカテゴリ毎で「利用料」が異なるというお話もさせて頂きました。

ネットワークの到達可能性ルールパッケージは紐づいている評価ルールパッケージが1つなので 特に気にならなかったのですが、ホスト評価のルールパッケージに関しては3つの評価ルールパッケージが存在します。 実際の設定では3つのルールを紐づけることが必須では無く、必要なルールパッケージを選択して評価ルールとして扱います。

ではホスト評価のルールパッケージに紐付けるルールの数(1つ or 2つ or 3つ)によってInspectorの利用料は変わってくるのでしょうか?

答えは「No」です。

紐づけている評価ルールの数は関係なくホスト評価のルールパッケージを利用したかどうかで費用の発生有無が変わります。(1つ紐付けようが、2つ紐付けようが、3つ紐付けようが費用は同じ)

実行されなかったルールは課金されるのか?

課金は発生しません。

ネットワークの到達可能性ルールパッケージは、InspectorAgentレスでセキュリティ評価が可能ですが、ホスト評価のルールパッケージは、InspectorAgentの導入が必要です。例えばInspectorAgentが導入されていないEC2に対してホスト評価のルールパッケージでセキュリティ評価を実行すると、評価が空振って終了するわけですが、もちろん課金は発生しません。

試してみた

上述した内容を裏付けするため検証してみました。

合計6回、1台のEC2に対して、Inspectorで評価を実行してみました。内容は下記の表のとおりです。

回数
内容
補足
想定のカウント
1回目
  • ネットワークの到達可能性ルールパッケージ
    • Network Reachability-1.1
  • ホスト評価のルールパッケージ
    • CIS (省略) Benchmarks-1.0
    • Common Vulnerabilities and Exposures-1.1
    • Security Best Practices-1.0
InspectorAgent未導入 ネットワークの到達可能性ルールパッケージ*1回
2回目
  • ネットワークの到達可能性ルールパッケージ
    • Network Reachability-1.1
  • ホスト評価のルールパッケージ
    • CIS (省略) Benchmarks-1.0
    • Common Vulnerabilities and Exposures-1.1
    • Security Best Practices-1.0
InspectorAgent未導入 ネットワークの到達可能性ルールパッケージ*1回
3回目
  • ネットワークの到達可能性ルールパッケージ
    • Network Reachability-1.1
  • ホスト評価のルールパッケージ
    • CIS (省略) Benchmarks-1.0
    • Common Vulnerabilities and Exposures-1.1
    • Security Best Practices-1.0
InspectorAgent導入済み ネットワークの到達可能性ルールパッケージ*1回ホスト評価のルールパッケージ*1回
4回目
  • ネットワークの到達可能性ルールパッケージ
    • Network Reachability-1.1
  • ホスト評価のルールパッケージ
    • CIS (省略) Benchmarks-1.0
    • Common Vulnerabilities and Exposures-1.1
    • Security Best Practices-1.0
InspectorAgent導入済み ネットワークの到達可能性ルールパッケージ*1回ホスト評価のルールパッケージ*1回
5回目
  • ネットワークの到達可能性ルールパッケージ
    • Network Reachability-1.1
InspectorAgent導入済み ネットワークの到達可能性ルールパッケージ*1回
6回目
  • ネットワークの到達可能性ルールパッケージ
    • Network Reachability-1.1
  • ホスト評価のルールパッケージ
    • CIS (省略) Benchmarks-1.0
InspectorAgent導入済み ネットワークの到達可能性ルールパッケージ*1回ホスト評価のルールパッケージ*1回

上記の検証からネットワークの到達可能性ルールパッケージホスト評価のルールパッケージの想定のカウントをまとめると下記となります。

カテゴリ
合計
ネットワークの到達可能性ルールパッケージ 6回
ホスト評価のルールパッケージ 3回

それでは、実際の料金明細で答え合わせをしてみます。 ネットワークの到達可能性ルールパッケージは6回とカウントされていて、ホスト評価のルールパッケージは3回とカウントされていることが分かります。(※無料期間中だったので費用は掛かっていませんが想定していたカウントの数は正しかったことが分かります)

まとめ

AWSは数多くのサービスが提供されているため、なんとなぁ~く利用料を把握してしているサービスも多くあると思います。いざ調べたりすると「なるほどー」と思うような結果も見えるので非常に面白いですね!微々たる課金とは言え、掛かるコストの仕組みは正確に把握していきましょう!

以上、大阪オフィスの林がお送りしました!