月額200万円!?そんなワケはない、新しいAWS Security Hubの料金試算と実際の料金の考え方を確認してみた #AWSreInvent
こんにちは、臼田です。
みなさん、AWSのセキュリティ管理してますか?(挨拶
なんと衝撃的なサムネなのでしょう。どうやら今回のAWS re:Invent 2025で正式リリースとなったAWS Security Hubのコスト試算をしたら月額約200万円になってしまいました。(サムネ参照
………そんなワケありませんよね?
というわけで今回はこの正式リリースにともなって一緒に登場したAWS Security Hubのコスト試算ツールと、実際の料金体系について見ていきます。
ちなみに速報記事はこちら
サムネの画面に至るまで
さて、新しいAWS Security Hubを触ってみようと思っている方はとりあえず有効化の画面にたどり着きます。
そして、横に「Pricing in the new Security Hub」とあり、どうやらコストを試算できそうだ、ということになりますので開いてみるわけです。そうするとこれです。
バァーン!(SEは各自脳内再生
※一部日本語と英語のUIが入り混じっていますが、現状日本語UIに対応していないのでブラウザ翻訳を活用しております
というわけでなんだかよくわかりませんが「月額$12,426」というとてつもない金額の試算を叩きつけられています。
日本円にすると今日現在で「1,929,714.31円」ということで約200万円というわけですね。
べらぼーに高いではないか!?
ってそんなワケ無いですよね。詳しく見ていきましょう。
AWS Security Hubコスト試算ツール
AWS Security Hub Cost Estimatorは今回の正式リリースに合わせて一緒に登場したAWSマネジメントコンソールから利用できるツールです。正式な日本語訳は今のところなさそうなので便宜上コスト試算ツールと呼ぶことにします。
先程のAWS Security Hubの有効化画面から飛ぶことができ、有効化前の試算が可能です。便利ですね。試算しないと思ったより料金が高いかもしれないので。
そう、速報記事にもありますがAWS Security Hub、結構料金がかかる感じがするんです。英語の料金ページから確認可能です。だからちゃんと確認しましょう。
しかしほんとに月額200万円だと困りますから、ちゃんと料金算出の根拠と実際の料金について確認していきたいです。
というわけで先にコスト試算ツールを見てみましょう。AWSマネジメントコンソール上で情報が色々出ていますが、ユーザーガイドにも説明ページがあります。
AWS Security Hub Cost Estimator - AWS Security Hub
この詳細を読んでいってもいいのですが、せっかく手元に実際の画面がありますのでもう少し画面を見て感触を掴んでからドキュメントを読みましょう。
ところで私のこのアカウントでは「ご利用のアカウントの種類ではデータがご利用いただけません。管理アカウントに切り替えるか、サンプルシナリオをご覧になり、価格を比較して表にデータを入力してください。」となっています。
なるほど、このアカウントはメンバーアカウントだから正しく試算できなくて、代わりに「サンプルシナリオ」としてこの価格が表示されているんですね。それなら納得、いくらなんでも高すぎるもん。
管理アカウントで改めてコスト試算
要因がわかったところで別系で確認しやすい管理アカウントを開いて同様に有効化ページを開いていきます。
先程のメンバーアカウントと違って、委任設定とかもこの画面から設定して行く感じなんですね。AWS Organizations全体で利用していく場合には委任の設計もだいじですからね。
一旦そちらはおいておいて、お待ちかねのコスト試算ツールを開きましょう。
バァーン!(SEは各自脳内再生
なんでやねん。
「$7,133」は日本円にして「約110万円」です。月額がこれでは流石に現実味がありません。
しかしよく見ると、「現在のコストのみを表示」というトグルボタンがあります。これはさっきのAWSアカウントには無かったボタンです。
押してみると…
「推定月額2ドル」やったー!
ガクッと下がって、これが実際の価格かな?となります。
合っていそうな気もしますし、もう少しかかる気もしなくもありません。
とりあえずこのまま画面全体を眺めていきましょう。
まず先程からずっと表が2つのカラムになっていて、「標準価格(Standard)」と「簡素化された価格設定(simplified pricing)」とありますね。これは従来のままでAmazon GuardDuty/AWS Security Hub CSPM/Amazon InspectorなどのAWS Security Hubを有効化した際に統合される(イベント集約的な意味合いで)サービスをそのまま使うことをStandardと呼び、AWS Security Hubを有効化し請求も統合された状態をsimplified pricingと言っています。
つまりsimplified pricing = AWS Security Hubの料金、ということになるんですね。
従来個別に有効化して請求されていたAmazon GuardDutyなどの料金も統合されるので、シンプルになると言えばそうですが、従来のサービスの請求ではなくなって別サービスの料金として計上されるため、どちらがわかりやすいかの判断は分かれるところですね。
下にスクロールするとまずはAWS Security Hubの機能としての料金が並びます。
比較対象の機能としては「セキュリティハブの露出相関、リソースインベントリ、ワークフロー自動化」という今回の新しいAWS Security Hubでしかできない機能をはじめ、取り込む各種サービスの機能が並んでいます。
注目すべきは「コンテナイメージ 0 個、Lambda 関数 0 個、EC2 インスタンス 0 個、IAM ユーザー 0 個、IAM ロール 0 個(月あたり)」となっているところで、当然このアカウントにIAMユーザーもロールも1つもない、ということはありませんがそれは計上されていません。
コスト試算ツールに必要な権限がガイドにありますが、ce:GetCostAndUsageでコストエクスプローラーを見ているのですが、IAMのリソース数などコストエクスプローラーで見れない値は見ていないようです。せっかく環境を閲覧して算出してくれるのですから、もっと権限を与えても良いのでしっかりクロールして試算してほしいですね。フィードバックしておきましょう。(みなさんもやりましょう。フィードバックは数がだいじ)
続いて脅威分析では分析対象のCloudTrailログなどが計上されており、こちらはしっかりとログ量を確認できているようです。コストエクスプローラーから既存のAmazon GuardDutyの料金を経由して取得できるから、と考えられます。これで$2分あります。
追加機能としてAmazon InspectorのLambdaコードスキャンもあります。
なるほど、だいたい掴めてきましたね。
「現在のコストのみを表示」にするとだいぶ現実的なコストに近づきますが、算出しづらかったり算術されないものは引き続き残っていて分かりづらいです。
先程の高価で現実的ではないものと比較して検討すると、取得できているデータが使われるものはそのまま算出し、既存で有効化していないサービスなどの料金はサンプルで算出されるようです。なので環境のセキュリティサービスの有効状況や利用状況によって、試算されるコストが変わるということですね。
コストの調整とPDFエクスポート
もう少し周辺機能も見てみます。
「編集」から算出の根拠になっているログ量とかの数値を一通り調整できます。
「PDFをダウンロード」して中身を見てみます。
ほぼ画面と何も変わらないPDFが出来上がりました。まあ十分でしょう。
まとめ
さくっとまとめると以下のような感じです。
- AWS Security Hubのコスト試算ツールはデフォルトでサンプルの数値が入っているから「現在のコストのみを表示」にする
- IAMなど試算されていないリソースもあるため手動で入力するか、過信しない
- 30日の無料トライアルもあるので試してもいいと思えたら試す
深くコストを検討するにはもう少し色々考える必要がありそうですが、一旦有効にして30日の無料期間を体験してもよいかもですね。
