新 Security HubがついにGA!仕組みや料金を深堀り #AWSreInvent #regrowth
2025/12/10 に開催された AWS re:Invent 2025 ふりかえり勉強会 re:Growth 2025 大阪 にて 「新 Security HubがついにGA!仕組みや料金を深堀り」 というタイトルで発表しました。
来ていただいたみなさま、ありがとうございます!
発表で用いたスライドと発表内容を本ブログにて共有します。
スライド
新しい Security Hub の概要を把握する
新しい AWS Security Hub は、クラウドセキュリティの課題を大規模に管理・優先順位付けし、 対応を支援する 統合クラウドセキュリティソリューション です。
複数のソース(構成管理、脆弱性管理、脅威検出、機密データ検出など) からのセキュリティシグナル を自動的に収集・相関分析することで、 セキュリティチームがアクティブなリスクを特定し、優先的に対応できるようにします。
以下が 一般提供: GA になった Security Hub のコンソール画面です。
- ダッシュボード → 概要 カスタマイズ可能なダッシュボードが提供されます
- ダッシュボード → 脅威 脅威検知を把握できます (by GuardDuty)
- ダッシュボード → 露出 潜在的なセキュリティ問題を把握できます
- ダッシュボード → 脆弱体 ソフトウェアの脆弱性や意図しないネットワークへの露出が無いかを把握できます (by Inspector)
- ダッシュボード → 体制管理 AWS環境のコンプライアンスとセキュリティ体制を把握できます (by Security Hub CSPM)
- インベントリ → All findings 集約されている検出結果を把握できます
- インベントリ → リソース 環境内にあるAWSリソースを把握できます (by Config)
露出(エクスポージャー)
「複数の潜在的な問題を掛け合わせたセキュリティリスクのある状況」 を発見してくれる機能です。 複数サービス( Security Hub CSPM や Inspector など)の 検出結果を関連付けて、 エクスポージャー = 脅威にさらされている状態を発見します。
マネジメントコンソール上で可視化したものが見れます。
料金体系を把握する
新しい Security Hub の料金について解説します。 現状、私の肌感としては 「シンプルでイイ感じ。でも従来と大きく課金ルールが異なるので、見積もり/評価は丁寧にしたい」 です。
前提
初めて Security Hub を有効にする場合は、 30日間の無料トライアルが利用できます。
また、ランディングページにて、コスト見積もりツールへアクセスできます。
Essentials Plan (基本機能)
Essentials Plan (基本機能) に入っている機能は以下のとおりです。
- セキュリティ管理:
- 露出相関、リソースインベントリ、検出結果の集約、ワークフロー自動化
- Amazon GuardDutyによる脅威分析
- EC2マルウェアスキャン
- Amazon Security Hub CSPMによるポスチャ管理:
- Security Hub CSPMチェック
- Amazon Inspectorによる脆弱性管理:
- EC2スキャン
- ECRスキャン
- Lambdaスキャン
これらの料金は EC2インスタンス、Lambda関数、ECRイメージ、IAMユーザー/ロールによって決定されます。 逆に言うと、スキャン回数や他リソース(RDSやS3 等)含むセキュリティチェック回数などは、料金に左右されません。
具体的には、リソースユニットという新しいコストの単位が登場します。 コスト計算の基準はEC2インスタンスとなっていて、他のリソースは以下の比率で換算されます。 各リソースが監視された時間に基づいて、課金されます。
- EC2 インスタンス: 1 インスタンス = 1 ユニット
- Lambda 関数: 12 関数 = 1 ユニット
- ECR コンテナイメージ: 18 イメージ = 1 ユニット
- IAM ユーザー/ロール: 125 リソース = 1 ユニット
Essentials Plan (基本機能) 料金体系 at 東京リージョン
Add-on capabilities (追加機能)
Add-on capabilities (追加機能)に入っている機能は以下のとおりです。
- Amazon GuardDutyによる脅威分析
- 基本的な脅威検出
- S3マルウェア保護
- Lambda保護
- ランタイムモニタリング
- RDS保護
- Amazon Inspectorによる脆弱性管理:
- Lambdaコードスキャン
- コードセキュリティ
追加機能は Security Hub 外の料金として、コスト計上されます。
Add-on capabilities (追加機能) 料金体系 at 東京リージョン
雑記や所感
- マルチアカウント管理もシンプルになりそうですが、裏側まで細かく把握しようとすると、なかなかに煩雑な気がします
- Security Hub: Organizationsポリシーで管理する
- Security Hub CSPM: サービスにてOrganizations連携機能(中央設定)を使う
- Inspector: Organizations ポリシーで管理する
- GuardDuty: サービスにてOrganizations連携機能を使う
- Config: Security Hub を使う分には Service-managed レコーダー(無料) があるので気にしなくてもOK
- 料金はシンプルになって良いです
- CSPM セキュリティコントロールを無効化してコスト削減、の必要は無くなりました
- 現時点、見積もりツールに自動で入る値は疑ったほうが良いかも
- 基本的に Cost Expolorer から1ヶ月の使用量を取ってきて、入力している
- でも、空白の値もある (IAMユーザー/ロールの数など)
No. of automated rescans per image per monthの値がおかしい- 本来は 10~15 回 あたりが妥当ですが、 rescan 合計値 (100以上) が入っています
- そのため、Standard pricing (Individual services) が高く見えているかも
- ほか
- プレビュー版を利用していた場合は、GAへの移行(オプトイン)を2026/01/15 までに実施する必要があるので注意
- AWS CLIのコマンドは変わらず
securityhub。サブコマンドに v2 サフィックスがついている (例:aws securityhub get-findings-v2) - アカウント招待/受理によるマルチアカウント管理はできない。環境によっては使いにくいかも
- 検出結果のスキーマは OCSF ( 一方 Security Hub CSPM は AWS独自: ASFF )
おわりに
今回伝えたいことは以下のとおりです。
- 新 Security Hub は よりハブらしく
- 露出(エクスポージャー)が便利
- 料金体系がシンプルで良い感じ
- 見積もりツールで Before/After を調べてみましょう!
気になった方はぜひ触ってみてください。 以上、参考になれば幸いです。
