# デプロイを計画する
このセクションでは、ソリューションのデプロイに先立って、コスト、ネットワークセキュリティ、サポート対象の AWS リージョン、クォータ、その他の考慮事項について説明します。
# Cost
このソリューションを実行するために使用した AWS のサービスのコストは、お客様の負担となります。
この改訂時点での推定月額コストは次のとおりです。
+ 小規模デプロイ (10 アカウント、1 リージョン - 米国東部 (バージニア北部)): 300 の修復で約 14.70 USD/月
+ 中規模デプロイ (100 アカウント、1 リージョン - 米国東部 (バージニア北部)): 3,000 の修復で約 106.40 USD/月
+ 大規模デプロイ (1,000 アカウント、10 リージョン): 30,000 の修復で約 7,360.00 USD/月
**重要**
価格は変更されることがあります。詳細については、このソリューションで使用する AWS のサービス別の料金ページを参照してください。
**注記**
多くの AWS のサービスには、無料で利用できるサービスのベースライン額である無料利用枠が含まれています。実際のコストは、提示しているコストの例よりも多い場合と少ない場合があります。
[AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) を使用して予算を作成することをお勧めします。これはコスト管理に役立ちます。料金は変更されることがあります。詳細については、このソリューションで使用する各 AWS サービスの料金ページを参照してください。
## サンプルコスト表
このソリューションを実行するための総コストは、次の要因により異なります。
+ AWS Security Hub のメンバーアカウントの数
+ 自動的に起動されるアクティブな修復の数
+ 修復の頻度
このソリューションでは、以下の AWS コンポーネントを使用し、設定に基づいてコストが発生します。小規模、中規模、大規模の組織向けのコスト例を示します。
| サービス | 無料利用枠 | 料金 [USD] |
| --- | --- | --- |
| [AWS Systems Manager Automation - ステップカウント](https://aws.amazon.com/systems-manager/pricing/) | 無料利用枠なし | 基本ステップごとに 1 ステップあたり 0.002 USD が課金されます。複数のアカウントで自動化にする場合は、子 AWS アカウントで実行されるステップを含むすべてのステップは、オリジナルアカウントでのみカウントされます。 |
| [AWS Systems Manager Automation - ステップの持続時間](https://aws.amazon.com/systems-manager/pricing/) | 無料利用枠なし | 各 `aws:executeScript` アクションステップには、1 秒あたり 0.00003 USD が課金されます。 |
| [AWS Systems Manager Automation - ストレージ](https://aws.amazon.com/systems-manager/pricing/) | 無料利用枠なし | 1 GB につき 1 か月あたり 0.046 USD |
| [AWS Systems Manager Automation - データ転送](https://aws.amazon.com/systems-manager/pricing/) | 無料利用枠なし | 転送される 1 GB あたり 0.900 USD (クロスアカウントまたはリージョン外の場合) |
| [AWS Security Hub CSPM - セキュリティチェック](https://aws.amazon.com/security-hub/cspm/pricing/) | 無料利用枠なし | 1 つのアカウント / 1 つのリージョン / 1 か月あたりの最初の 100,000 件のチェックに対するコストは、1 件のチェックにつき 0.0010 USD 1 つのアカウント / 1 つのリージョン / 1 か月あたりの次の 400,000 件のチェックに対するコストは、1 件のチェックにつき 0.0008 USD 1 つのアカウント / 1 つのリージョン / 1 か月あたりの 500,000 件を超えるチェックに対するコストは、1 件のチェックにつき 0.0005 USD |
| [AWS Security Hub CSPM - 検出結果取り込みイベント](https://aws.amazon.com/security-hub/cspm/pricing/) | 1 つのアカウント / 1 つのリージョン / 1 か月あたりの最初の 10,000 件のイベントは無料。Security Hub のセキュリティチェックに関連する検出結果取り込みイベント。 | 1 つのアカウント / 1 つのリージョン / 1 か月あたりの 10,000 件を超えるイベントに対するコストは、1 件のイベントにつき 0.00003 USD |
| [Amazon CloudWatch - メトリクス](https://aws.amazon.com/cloudwatch/pricing/) | 基本モニタリングメトリクス (5 分間隔) 10 詳細なモニタリングメトリクス (1 分間隔) 1 100 万件の API リクエスト (GetMetricData、GetInsightRuleReport、および GetMetricWidgetImage には適用されません) | 最初の 10,000 件のメトリクスのコストは、1 か月あたり 0.30 USD 次の 240,000 件のメトリクスのコストは、1 か月あたり 0.10 USD 次の 750,000 件のメトリクスのコストは、1 か月あたり 0.05 USD 1,000,000 件を超えるメトリクスのコストは、1 か月あたり 0.02 USD API コールのコストは 1,000 件のリクエストにつき 0.01 USD |
| [Amazon CloudWatch - ダッシュボード](https://aws.amazon.com/cloudwatch/pricing/) | 1 か月あたり最大 50 件のメトリクスに対応して、3 つのダッシュボード | 1 か月あたり 1 つのダッシュボードごとに 3.00 USD |
| [Amazon CloudWatch - アラーム](https://aws.amazon.com/cloudwatch/pricing/) | 10 件のアラームメトリクス (高解像度のアラームには適用なし) | 標準解像度 (60 秒) のコストは、アラームメトリクスごとに 0.10 USD 高解像度 (10 秒) のコストは、アラームメトリクスごとに 0.30 USD 標準解像度の異常検出のコストは、アラームごとに 0.30 USD 高解像度の異常検出のコストは、アラームごとに 0.90 USD 組み合わせた場合のコストは、アラームごとに 0.50 USD |
| [Amazon CloudWatch - ログ収集](https://aws.amazon.com/cloudwatch/pricing/) | 5 GB のデータ (取り込み、ストレージのアーカイブ、Logs Insights クエリでスキャンされたデータ) | 1 GB あたり 0.50 USD |
| [Amazon CloudWatch - ログのストレージ](https://aws.amazon.com/cloudwatch/pricing/) | 5 GB のデータ (取り込み、ストレージのアーカイブ、Logs Insights クエリでスキャンされたデータ) | スキャンされたデータの GB あたり 0.005 USD |
| [AWS Lambda - リクエスト](https://aws.amazon.com/lambda/pricing/) | 1 か月あたり 100 万件の無料リクエスト | 100 万件のリクエストあたり 0.20 USD |
| [AWS Lambda - 期間](https://aws.amazon.com/lambda/pricing/) | 1 か月あたり 400,000 GB / 秒のコンピューティング時間 | 1 GB 秒あたり 0.0000166667 USD 実行時間に対する料金は、関数に割り当てたメモリ量により異なります。関数には、128 MB から 10,240 MB までの任意の量のメモリを 1 MB 単位の増分で割り当てることができます。 |
| [AWS Step Functions - 状態遷移](https://aws.amazon.com/step-functions/pricing/) | 1 か月あたり 4,000 回の無料状態遷移 | それ以後は、1,000 件の状態遷移につき 0.025 USD |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/pricing/) | AWS のサービスが発行するすべての状態変更イベントは無料 | カスタマイズされたイベントで、100 万件の発行されたイベントにつき 1.00 USD サードパーティ製 (SaaS) のイベントで、100 万件の発行されたイベントにつき 1.00 USD クロスアカウントのイベントで、100 万件の送信されたイベントにつき 1.00 USD |
| [ Amazon SNS](https://aws.amazon.com/sns/pricing/) | 最初の 100 万件 (1 か月あたり) の Amazon SNS リクエストは無料 | それ以後は、100万件のリクエストにつき 0.50 USD |
| [Amazon Simple Queue Service](https://aws.amazon.com/sqs/pricing/) | Amazon SQS リクエストのうち、毎月最初の 100 万件は無料 | 以降は、100 万から 1,000 億のリクエストごとに 0.40 USD |
| [Amazon DynamoDB](https://aws.amazon.com/dynamodb/pricing/) | 最初の 25GB のストレージは無料 | それ以降、整合性のとれた読み取り/書き込みが 100 万回につき 2.00 USD |
| [AWS Key Management Service](https://aws.amazon.com/kms/pricing/) | 20,000 リクエスト/月 | 1 KMS キーあたり 1.00 USD。API リクエスト 10,000 件あたり 0.03 USD。自動またはオンデマンドでローテーションする KMS キーの場合、キーの最初のローテーションと 2 番目のローテーションで 1 か月あたり 1 USD (時間単位で按分) のコストが追加されます。 **注意: このソリューションには、KMS キャッシュ最適化 (S3 バケットキー、60 分間の SQS データキー再利用、5 分間の Secrets Manager キャッシュ) が含まれており、KMS API コールを約 70% 削減します。** |
| [Amazon Cognito](https://aws.amazon.com/cognito/pricing/) | Essentials 階層では、最初の 10,000 人の月間アクティブユーザーは無料です。 注: ユーザーが外部 IdP (SAML/OIDC) 経由で認証する場合、この無料利用枠は 50 人の月間アクティブユーザーです。 | 月間アクティブユーザー数が 10,000 人を超える場合は、1 ユーザーあたり 0.015 USD です。 |
| [Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing/) \$1 | 無料利用枠には、1 か月あたり 1 TB のデータ転送と 10,000,000 件の HTTP または HTTPS リクエストが含まれます。 | (米国/カナダ/メキシコ) 最初の 9 TB は 1 か月あたり 0.085 USD です。次の 40 TB は 1 か月あたり 0.080 USD です。 HTTP リクエストあたり 0.0075 USD。HTTPS リクエストあたり 0.0100 USD。 |
| [Amazon S3](https://aws.amazon.com/s3/pricing/) | 無料利用枠なし | 最初の 50 TB は、1 GB あたり月額 0.023 USD です。 PUT、COPY、POST、LIST リクエストの場合は、1,000 件あたり 0.005 USD です。 GET、SELECT、およびその他のすべてのリクエストの場合は、1,000 件あたり 0.0004 USD です。 |
| [Amazon API Gateway](https://aws.amazon.com/api-gateway/pricing/): | 最初の 12 か月間の使用で 100 万回の REST API コール。 | 最初の 3 億 3,300 万件の API コールに対して 100 万あたり 3.50 USD です。 |
## KMS コスト最適化
**バージョン 3.1.0** 以降、このソリューションには暗号化オペレーションコストを約 70% 削減する KMS キャッシュの最適化が含まれています
+ **S3 バケットキー**: S3 暗号化オペレーションの KMS GenerateDataKey 呼び出しを削減します
+ **SQS データキーの再利用**: メッセージ暗号化のための 60 分間のキャッシュ期間
+ **Secrets Manager キャッシュ**: Lambda 関数の 5 分間の TTL
**パフォーマンスへの影響**: これらの最適化により、S3 オペレーションと完全なワークフローのレイテンシーが 10~15 ミリ秒改善され、スループットが低下することなくコストを削減できます。
## 料金の例 (1 か月あたり)
### 例 1: 1 か月あたり 300 件の修復
+ 10 個のアカウント、1 つのリージョン
+ 1 つのアカウント / 1 つのリージョン / 1 か月につき 30 件の修復
+ アカウント/リージョン/月あたりで処理された 500 件の Security Hub の検出結果
+ **ウェブ UI が無効**
+ **アクションログが無効**
+ 総コストは、1 か月あたり 14.70 USD
| サービス | 前提 | 月額料金 [USD] |
| --- | --- | --- |
| AWS Systems Manager Automation | ステップ: \$1 4 ステップ \$1 300 件の修復 \$1 0.002 USD = 2.40 USD 実行時間: 10秒 \$1 300 件の修復 \$1 0.00003 USD = 0.09 USD | 2.49 USD |
| AWS Security Hub | 請求可能なサービスの利用なし | \$10 |
| Amazon CloudWatch Logs | 1 GB あたり 0.50 USD | < 0.01 USD |
| AWS Lambda - リクエスト | 300 件の修正 \$1 7 件のリクエスト = 2,100 件のリクエスト 5,000 件の検出結果 \$1 1 件のリクエスト = 5,000 件のリクエスト 0.20 USD / 1,000,000 件のリクエスト = リクエストあたり 0.0000002 USD | 0.00142 USD |
| AWS Lambda - 期間 | (512 MB メモリ) 4,000 ミリ秒 \$1 300 件の修復 \$1 0.0000000083 USD = 0.00996 USD 449 ミリ秒 \$1 5,000 件の検出結果 \$1 0.0000000083 USD = 0.0186 USD | 0.029 USD |
| AWS Step Functions | 19 件の状態遷移 x 300 件の修復 = 5,700 0.025 USD \$1 (5,700/1,000) 状態遷移 = 0.14 USD | 0.14 USD |
| Amazon EventBridge ルール | ルールに対する課金なし | \$10 |
| AWS Key Management Service | 1 つのキー \$1 10 アカウント \$1 1 つのリージョン \$1 1 USD = 10 USD (API リクエストの暗号化/復号) (300 件の修復 \$1 2 件のリクエスト) \$1 (5,000 件の検出結果 \$1 4 件のリクエスト) = 20,600 件のリクエスト KMS キャッシュの場合: 20,600 \$1 0.30 = 6,180 リクエスト 10,000 件のリクエストあたり 0.03 USD ⇒ 0.03 USD \$1 (6,180 / 10,000) = 0.02 USD | 10.02 USD |
| Amazon DynamoDB | 2.00 USD x 1,000,000 回の読み込みおよび書き込み = 2.00 USD (検出結果テーブル) 15 MB \$1 10 アカウント \$1 1 リージョン = 150 MB (履歴テーブル) 10 MB \$1 10 アカウント \$1 1 リージョン = 100 MB 1 GB/月あたり 0.25 USD \$1 0.25 GB = 0.0625 USD | 2.0625 USD |
| Amazon SQS | 0.40 USD \$1 1,000,000 件のリクエスト = 0.40 USD | 0.40 USD |
| Amazon SNS | 0.50 USD \$1 (600 / 1,000,000 件の通知) = 0.0003 USD | 0.0003 USD |
| Amazon CloudWatch - メトリクス | (拡張メトリクスが無効) 0.30 USD \$1 7 つのカスタムメトリクス = 2.10 USD 0.01 USD \$1 (300 件の PUT メトリクス API コール / 1,000) = 0.003 USD | 2.10 USD |
| Amazon CloudWatch - ダッシュボード | 3.00 USD \$1 1 つのダッシュボード = 3.00 USD | 3.00 USD |
| Amazon CloudWatch - アラーム | (拡張メトリクスが無効) 0.10 USD \$1 4 つのアラーム = 0.40 USD | 0.40 USD |
| Amazon CloudWatch - X-Ray トレース | 300 件の修復 \$1 7 件のリクエスト = 2,100 件の Lambda 呼び出し 5,000 件の検出結果 \$1 1 件のリクエスト = 5,000 件の Lambda 呼び出し トレースあたり 0.000005 USD \$1 7,100 件のトレース = 0.0355 USD | 0.0355 USD |
| **合計** | | **14.70 USD** |
### 例 2: 1 か月あたり 300 件の修復 (ウェブ UI が有効)
+ 10 個のアカウント、1 つのリージョン
+ 1 つのアカウント / 1 つのリージョン / 1 か月につき 30 件の修復
+ アカウント/リージョン/月あたりで処理された 5,000 件の Security Hub の検出結果
+ **ウェブ UI が有効**
+ **アクションログが無効**
+ 総コストは、1 か月あたり 36.35 USD
| サービス | 前提 | 月額料金 [USD] |
| --- | --- | --- |
| AWS Systems Manager Automation | ステップ: \$1 4 ステップ \$1 300 件の修復 \$1 0.002 USD = 2.40 USD 実行時間: 10秒 \$1 300 件の修復 \$1 0.00003 USD = 0.09 USD | 2.49 USD |
| AWS Security Hub | 請求可能なサービスの利用なし | \$10 |
| Amazon CloudWatch Logs | 1 GB あたり 0.50 USD | < 0.01 USD |
| AWS Lambda - リクエスト | 300 件の修正 \$1 7 件のリクエスト = 2,100 件のリクエスト 5,000 件の検出結果 \$1 1 件のリクエスト = 5,000 件のリクエスト 0.20 USD / 1,000,000 件のリクエスト = リクエストあたり 0.0000002 USD | 0.00142 USD |
| AWS Lambda - 期間 | (512 MB メモリ) 4,000 ミリ秒 \$1 300 件の修復 \$1 0.0000000083 USD = 0.00996 USD 449 ミリ秒 \$1 5,000 件の検出結果 \$1 0.0000000083 USD = 0.0186 USD | 0.029 USD |
| AWS Step Functions | 19 件の状態遷移 x 300 件の修復 = 5,700 0.025 USD \$1 (5,700/1,000) 状態遷移 = 0.14 USD | 0.14 USD |
| Amazon EventBridge ルール | ルールに対する課金なし | \$10 |
| AWS Key Management Service | 1 つのキー \$1 10 アカウント \$1 1 つのリージョン \$1 1 USD = 10 USD (API リクエストの暗号化/復号) (300 件の修復 \$1 2 件のリクエスト) \$1 (5,000 件の検出結果 \$1 4 件のリクエスト) = 20,600 件のリクエスト 10,000 件のリクエストあたり 0.03 USD ⇒ 0.03 USD \$1 (20,600 / 10,000) = 0.06 USD | 10.06 USD |
| Amazon DynamoDB | 2.00 USD x 1,000,000 回の読み込みおよび書き込み = 2.00 USD (検出結果テーブル) 15 MB \$1 10 アカウント \$1 1 リージョン = 150 MB (履歴テーブル) 10 MB \$1 10 アカウント \$1 1 リージョン = 100 MB 1 GB/月あたり 0.25 USD \$1 0.25 GB = 0.0625 USD | 2.0625 USD |
| Amazon SQS | 0.40 USD \$1 1,000,000 件のリクエスト = 0.40 USD | 0.40 USD |
| Amazon SNS | 0.50 USD \$1 (600 / 1,000,000 件の通知) = 0.0003 USD | 0.0003 USD |
| Amazon CloudWatch - メトリクス | (拡張メトリクスが無効) 0.30 USD \$1 7 つのカスタムメトリクス = 2.10 USD 0.01 USD \$1 (300 件の PUT メトリクス API コール / 1,000) = 0.003 USD | 2.10 USD |
| Amazon CloudWatch - ダッシュボード | 3.00 USD \$1 1 つのダッシュボード = 3.00 USD | 3.00 USD |
| Amazon CloudWatch - アラーム | (拡張メトリクスが無効) 0.10 USD \$1 4 つのアラーム = 0.40 USD | 0.40 USD |
| Amazon CloudWatch - X-Ray トレース | 300 件の修復 \$1 7 件のリクエスト = 2,100 件の Lambda 呼び出し 5,000 件の検出結果 \$1 1 件のリクエスト = 5,000 件の Lambda 呼び出し トレースあたり 0.000005 USD \$1 7,100 件のトレース = 0.0355 USD | 0.0355 USD |
| Amazon Cognito | (Essentials 階層) 500 人の月間アクティブユーザー | \$10 |
| Amazon CloudFront | オリジンへのリージョンデータ転送 (GB あたり) = 0.020 USD インターネットへのリージョンデータ転送 (GB あたり) = 0.085 USD すべての HTTP メソッドのリクエスト料金 (10,000 あたり) = 0.0075 USD | 0.1125 USD |
| Amazon S3 | (UI ホスティング) 1 GB あたり 0.023 USD \$1 0.002 GB = 0.000046 USD (履歴のエクスポート) 1 GB あたり 0.023 USD \$1 0.50 GB = 0.0125 USD GET リクエスト 1,000 件あたり 0.0004 USD | 0.0125 USD |
| AWS WAF | 1 ウェブ ACL = 1 か月あたり 5.00 USD 7 個のルール \$1 1 個のルールあたり 1.00 USD = 7.00 USD | 12 USD |
| Amazon API Gateway | REST API コール 100 万件あたり 3.50 USD | 3.50 USD |
| **合計** | | **36.35 USD** |
### 例 3: 1 か月あたり 3,000 件の修復
+ 100 個のアカウント、1 つのリージョン
+ 1 つのアカウント / 1 つのリージョン / 1 か月につき 30 件の修復
+ アカウント/リージョン/月あたりで処理された 500 件の Security Hub の検出結果
+ **ウェブ UI が無効**
+ **アクションログが無効**
+ 総コストは、1 か月あたり 106.40 USD
| サービス | 前提 | 月額料金 [USD] |
| --- | --- | --- |
| AWS Systems Manager Automation | ステップ: \$1 4 ステップ \$1 3,000 件の修復 \$1 0.002 USD = 24.00 USD 実行時間: 10 秒 \$1 3,000 件の修復 \$1 0.00003 USD = 09.0 USD | 24.90 USD |
| AWS Security Hub | 請求可能なサービスの利用なし | \$10 |
| Amazon CloudWatch Logs | 1 GB あたり 0.50 USD | < 0.01 USD |
| AWS Lambda - リクエスト | 3,000 件の修復 \$1 7 件のリクエスト = 2,100 件のリクエスト 50,000 件の検出結果 \$1 1 件のリクエスト = 50,000 件のリクエスト 0.20 USD / 1,000,000 件のリクエスト = リクエストあたり 0.0000002 USD | 0.01 USD |
| AWS Lambda - 期間 | (512 MB メモリ) 4,000 ミリ秒 \$1 3,000 件の修復 \$1 0.0000000083 USD = 0.0996 USD 449 ミリ秒 \$1 50,000 件の検出結果 \$1 0.0000000083 USD = 0.186 USD | 0.29 USD |
| AWS Step Functions | 19 件の状態遷移 \$1 3,000 件の修復 = 57,000 0.025 USD \$1 (57,000/1,000) 状態遷移 = 1.425 USD | 1.425 USD |
| Amazon EventBridge ルール | ルールに対する課金なし | \$10 |
| AWS Key Management Service | 1 つのキー \$1 100 個のアカウント \$1 1 つのリージョン \$1 1 USD = 100 USD (API リクエストの暗号化/復号) (3,000 件の修復 \$1 2 件のリクエスト) \$1 (50,000 件の検出結果 \$1 4 件のリクエスト) = 206,000 件のリクエスト KMS キャッシュの場合: 206,000 \$1 0.30 = 61,800 リクエスト 10,000 件のリクエストあたり 0.03 USD ⇒ 0.03 USD \$1 (61,800 / 10,000) = 0.185 USD | 100.185 USD |
| Amazon DynamoDB | 2.00 USD x 1,000,000 回の読み込みおよび書き込み = 2.00 USD (検出結果テーブル) 15 MB \$1 100 アカウント \$1 1 リージョン = 1,500 MB (履歴テーブル) 10 MB \$1 100 アカウント \$1 1 リージョン = 1,000 MB 1 GB/月あたり 0.25 USD \$1 2.5 GB = 0.625 USD | 2.625 USD |
| Amazon SQS | 0.40 USD \$1 1,000,000 件のリクエスト = 0.40 USD | 0.40 USD |
| Amazon SNS | 0.50 USD \$1 1,000,000 件の通知 = 0.50 USD | 0.50 USD |
| Amazon CloudWatch - メトリクス | (拡張メトリクスが無効) 0.30 USD \$1 7 つのカスタムメトリクス = 2.10 USD 0.01 USD \$1 (3,000 / 1,000) PUT メトリクスの API コール = 0.03 USD | 2.13 USD |
| Amazon CloudWatch - ダッシュボード | 3.00 USD \$1 1 つのダッシュボード = 3.00 USD | 3.00 USD |
| Amazon CloudWatch - アラーム | 0.10 USD \$1 4 つのアラーム = 0.40 USD | 0.40 USD |
| Amazon CloudWatch - X-Ray トレース | 3,000 件の修復 \$1 7 件のリクエスト = 2,100 件の Lambda 呼び出し 50,000 件の検出結果 \$1 1 件のリクエスト = 50,000 件の Lambda 呼び出し トレースあたり 0.000005 USD \$1 52,100 件のトレース = 0.2605 USD | 0.2605 USD |
| **合計** | | **106.40 USD** |
### 例 4: 1 か月あたり 30,000 件の修復
+ 1,000 アカウント、10 リージョン
+ 1 つのアカウント / 1 つのリージョン / 1 か月につき 30 件の修復
+ アカウント/リージョン/月あたりで処理された 500 件の Security Hub の検出結果
+ **ウェブ UI が無効**
+ **アクションログが無効**
+ 総コストは、1 か月あたり 7,360.00 USD
| サービス | 前提 | 月額料金 [USD] |
| --- | --- | --- |
| AWS Systems Manager Automation | ステップ: \$1 4 ステップ \$1 30,000 件の修復 \$1 0.002 USD = 240.00 USD 実行時間: 10 秒 \$1 30,000 件の修復 \$1 0.00003 USD = 9.00 USD | 249.00 USD |
| AWS Security Hub | 請求可能なサービスの利用なし | \$10 |
| Amazon CloudWatch Logs | 1 GB あたり 0.50 USD | < 0.01 USD |
| AWS Lambda - リクエスト | 30,000 件の修正 \$1 7 件のリクエスト = 210,000 件のリクエスト 5,000,000 件の検出結果 \$1 1 件のリクエスト = 5,000,000 件のリクエスト 0.20 USD / 1,000,000 件のリクエスト = リクエストあたり 0.0000002 USD | 1.042 USD |
| AWS Lambda - 期間 | (512 MB メモリ) 4,000 ミリ秒 \$1 30,000 件の修復 \$1 0.0000000083 USD = 0.996 USD 449 ミリ秒 \$1 5,000,000 件の検出結果 \$1 0.0000000083 USD = 18.63 USD | 19.63 USD |
| AWS Step Functions | 19 件の状態遷移 \$1 30,000 件の修復 = 570,000 0.025 USD \$1 (570,000/1,000) 状態遷移 = 14.25 USD | 14.25 USD |
| Amazon EventBridge ルール | ルールに対する課金なし | \$10 |
| AWS Key Management Service | (1 つのキー) 1 USD \$1 1,000 アカウント \$1 10 リージョン = 10,000 USD (API リクエストの暗号化/復号) (30,000 件の修復 \$1 2 件のリクエスト) \$1 (5,000,000 件の検出結果 \$1 4 件のリクエスト) = 20,060,000 件のリクエスト KMS キャッシュの場合: 20,060,000 \$1 0.30 = 6,018,000 リクエスト 10,000 件のリクエストあたり 0.03 USD ⇒ 0.03 USD \$1 (6,018,000 / 10,000) = 18.05 USD | 10,018.05 USD |
| Amazon DynamoDB | 2.00 USD \$1 (10,000,000 回の読み込みおよび書き込み / 1,000,000) = 20.00 USD (検出結果テーブル) 15 MB \$1 1,000 アカウント \$1 10 リージョン = 150 GB (履歴テーブル) 10 MB \$1 1,000 アカウント \$1 10 リージョン = 100GB 1 GB/月あたり 0.25 USD \$1 250 GB = 62.50 USD | 82.50 USD |
| Amazon SQS | 0.40 USD \$1 (5,060,000 件のリクエスト / 1,000,000 ) = 2.024 USD | 2.024 USD |
| Amazon SNS | 0.000005 USD \$1 1,000,000 件の通知 = 0.50 USD | 0.50 USD |
| Amazon CloudWatch - メトリクス | (拡張メトリクスが無効) 0.30 USD \$1 7 つのカスタムメトリクス = 2.10 USD 0.01 USD \$1 (30,000 / 1,000) PUT メトリクスの API コール = 0.30 USD | 2.40 USD |
| Amazon CloudWatch - ダッシュボード | 3.00 USD \$1 1 つのダッシュボード = 3.00 USD | 3.00 USD |
| Amazon CloudWatch - アラーム | (拡張メトリクスが無効) 0.10 USD \$1 4 つのアラーム = 0.40 USD | 0.40 USD |
| Amazon CloudWatch - X-Ray トレース | 30,000 件の修復 \$1 7 件のリクエスト = 210,000 件の Lambda 呼び出し 5,000,000 件の検出結果 \$1 1 件のリクエスト = 5,000,000 件の Lambda 呼び出し トレースあたり 0.000005 USD \$1 5,210,000 件のトレース = 26.05 USD | 26.05 USD |
| **合計** | | **7,360.00 USD** |
### 例 5: 1 か月あたり 30,000 件の修復 (ウェブ UI が有効)
+ 1,000 アカウント、10 リージョン
+ 1 つのアカウント / 1 つのリージョン / 1 か月につき 30 件の修復
+ アカウント/リージョン/月あたりで処理された 500 件の Security Hub の検出結果
+ **ウェブ UI が有効**
+ **アクションログが無効**
+ 総コストは、1 か月あたり 7,380.10 USD
| サービス | 前提 | 月額料金 [USD] |
| --- | --- | --- |
| AWS Systems Manager Automation | ステップ: \$1 4 ステップ \$1 30,000 件の修復 \$1 0.002 USD = 240.00 USD 実行時間: 10 秒 \$1 30,000 件の修復 \$1 0.00003 USD = 9.00 USD | 249.00 USD |
| AWS Security Hub | 請求可能なサービスの利用なし | \$10 |
| Amazon CloudWatch Logs | 1 GB あたり 0.50 USD | < 0.01 USD |
| AWS Lambda - リクエスト | 30,000 件の修正 \$1 7 件のリクエスト = 210,000 件のリクエスト 5,000,000 件の検出結果 \$1 1 件のリクエスト = 5,000,000 件のリクエスト 0.20 USD / 1,000,000 件のリクエスト = リクエストあたり 0.0000002 USD | 1.042 USD |
| AWS Lambda - 期間 | (512 MB メモリ) 4,000 ミリ秒 \$1 30,000 件の修復 \$1 0.0000000083 USD = 0.996 USD 449 ミリ秒 \$1 5,000,000 件の検出結果 \$1 0.0000000083 USD = 18.63 USD | 19.63 USD |
| AWS Step Functions | 19 件の状態遷移 \$1 30,000 件の修復 = 570,000 0.025 USD \$1 (570,000/1,000) 状態遷移 = 14.25 USD | 14.25 USD |
| Amazon EventBridge ルール | ルールに対する課金なし | \$10 |
| AWS Key Management Service | (1 つのキー) 1 USD \$1 1,000 アカウント \$1 10 リージョン = 10,000 USD (API リクエストの暗号化/復号) (30,000 件の修復 \$1 2 件のリクエスト) \$1 (5,000,000 件の検出結果 \$1 4 件のリクエスト) = 20,060,000 件のリクエスト KMS キャッシュの場合: 20,060,000 \$1 0.30 = 6,018,000 リクエスト 10,000 件のリクエストあたり 0.03 USD ⇒ 0.03 USD \$1 (6,018,000 / 10,000) = 18.05 USD | 10,018.05 USD |
| Amazon DynamoDB | 2.00 USD \$1 (10,000,000 回の読み込みおよび書き込み / 1,000,000) = 20.00 USD (検出結果テーブル) 15 MB \$1 1,000 アカウント \$1 10 リージョン = 150 GB (履歴テーブル) 10 MB \$1 1,000 アカウント \$1 10 リージョン = 100GB 1 GB/月あたり 0.25 USD \$1 250 GB = 62.50 USD | 82.50 USD |
| Amazon SQS | 0.40 USD \$1 (5,060,000 件のリクエスト / 1,000,000 ) = 2.024 USD | 2.024 USD |
| Amazon SNS | 0.000005 USD \$1 1,000,000 件の通知 = 0.50 USD | 0.50 USD |
| Amazon CloudWatch - メトリクス | (拡張メトリクスが無効) 0.30 USD \$1 7 つのカスタムメトリクス = 2.10 USD 0.01 USD \$1 (30,000 / 1,000) PUT メトリクスの API コール = 0.30 USD | 2.40 USD |
| Amazon CloudWatch - ダッシュボード | 3.00 USD \$1 1 つのダッシュボード = 3.00 USD | 3.00 USD |
| Amazon CloudWatch - アラーム | (拡張メトリクスが無効) 0.10 USD \$1 4 つのアラーム = 0.40 USD | 0.40 USD |
| Amazon CloudWatch - X-Ray トレース | 30,000 件の修復 \$1 7 件のリクエスト = 210,000 件の Lambda 呼び出し 5,000,000 件の検出結果 \$1 1 件のリクエスト = 5,000,000 件の Lambda 呼び出し トレースあたり 0.000005 USD \$1 5,210,000 件のトレース = 26.05 USD | 26.05 USD |
| Amazon Cognito | (Essentials 階層) 5,000 人の月間アクティブユーザー | \$10 |
| Amazon CloudFront | オリジンへのリージョンデータ転送 (GB あたり) = 0.020 USD インターネットへのリージョンデータ転送 (GB あたり) = 0.085 USD すべての HTTP メソッドのリクエスト料金 (10,000 あたり) = 0.0075 USD | 0.1125 USD |
| Amazon S3 | (UI ホスティング) 1 GB あたり 0.023 USD \$1 0.002 GB = 0.000046 USD (履歴のエクスポート) 1 GB あたり 0.023 USD \$1 100 GB = 2.30 USD GET リクエスト 1,000 件あたり 0.0004 USD \$1 5,000 件のリクエスト = 2.00 USD | 4.30 USD |
| AWS WAF | 1 ウェブ ACL = 1 か月あたり 5.00 USD 7 個のルール \$1 1 個のルールあたり 1.00 USD = 7.00 USD | 12 USD |
| Amazon API Gateway | REST API コール 100 万件あたり 3.50 USD | 3.50 USD |
| **合計** | | **7,380.10 USD** |
**重要**
**KMS キーローテーションのコスト**: ローテーションが有効になっている場合、AWS Key Management Service (KMS) はカスタマーマネージドキーを 1 年に 1 回自動的にローテーションします。ローテーションごとに、年間 1.00 USD のコストがキーごとに発生します。例えば、1 つのリージョンに 1,000 アカウントがある場合、年あたり 1,000 USD (1 ローテーション × 1,000 キー × 1.00 USD) が追加されます。
## オプション機能の追加コスト
このセクションでは、このソリューションのオプション機能に関連する追加コストについて説明します。
### 強化された CloudWatch メトリクス
管理スタックをデプロイするときに **EnableEnhancedCloudWatchMetrics** パラメータに `yes` を選択した場合、ソリューションはコントロール ID ごとに 2 つのカスタムメトリクスと 1 つのアラームを作成します。コストは、修復するコントロール ID の数によって異なります。次の表では、コストの上限を決定するために、1 か月あたり 96 の異なるコントロール ID をすべて修復することを前提としています。
| サービス | 96 のコントロール ID x 2 = 192 のカスタムメトリクス | 月額料金 [USD] |
| --- | --- | --- |
| Amazon CloudWatch - メトリクス | 0.30 USD x 192 のカスタムメトリクス = 57.60 USD | 57.60 USD |
| Amazon CloudWatch - アラーム | 0.10 USD x 96 のアラーム = 9.60 USD | 9.60 USD |
| **合計** | | **67.20 USD** |
### CloudTrail アクションログ
アクションログ機能を有効にする各メンバーアカウントで、ソリューションはすべての書き込み管理イベントをログに記録する CloudTrail 証跡を作成します。Lambda 関数は、ソリューションに関連しないイベントを除外します。つまり、ソリューションに関連しないイベントは引き続き証跡によってキャプチャされ、Lambda 関数によって処理されるため、コストはアカウントの管理イベントの合計数に関連しています。
次の表では、アカウントで 1 か月あたり 150,000 件の管理イベントを想定しています。実際のコストは、アカウントの実際の管理イベントアクティビティによって異なります。
| サービス | 前提 | 月額料金 [USD] |
| --- | --- | --- |
| AWS CloudTrail | 150,000 x 2.00 USD ÷ 100,000 = 3.00 USD | 3.00 USD |
| Lambda | 150,000 x 0.2 x 0.125 = 3,750 GB 秒 3,750 x 0.0000166667 USD = 0.0625 USD の計算時間コスト 0.15 x 0.20 USD = 0.03 USD のリクエストコスト 0.0625 USD \$1 0.03 USD = Lambda の合計コスト 0.0952 USD | 0.0925 USD |
| **合計** | | **メンバーアカウントあたり 3.09 USD** |
# セキュリティ
AWS インフラストラクチャでシステムを構築する場合、セキュリティ上の責任はお客様と AWS の間で共有されます。この[共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)により、ホストオペレーティングシステムと仮想化レイヤーからサービスが運用されているシステムの物理的なセキュリティに至るまでのコンポーネントについて、AWS が運用、管理、および制御します。そのため、お客様の運用上の負担を軽減するのに役立ちます。AWS セキュリティの詳細については、[AWS クラウドセキュリティ](https://aws.amazon.com/security/)を参照してください。
## API Gateway セキュリティポリシー
ソリューションのウェブユーザーインターフェイスを有効にすることを選択した場合、ウェブ UI のすべてのオペレーションのバックエンドとして機能する CloudFormation の管理者スタックとともに API Gateway REST API がデプロイされます。ソリューションによってデプロイされる REST API は、API Gateway のデフォルトの TLS セキュリティポリシー (リージョン API の場合は `TLS-1-0`) を使用します。
ただし、CloudFormation の管理者スタックをデプロイした後、より制限の厳しい TLS セキュリティポリシーを追加して、ソリューションの REST API をカスタマイズすることもできます。例えば、TLSv1.2 または TLSv1.3 を使用するトラフィックを制限するために、`TLS_1_2 security policy` を選択できます。ソリューションの REST API は、API Gateway コンソールで **AutomatedSecurityResponseApi** という名前で見つけられます。
ソリューションの REST API のセキュリティポリシーを選択するには、まずカスタムドメイン名を設定する必要があります。詳細については、「[API Gateway でのパブリック REST API のカスタムドメイン名](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)」を参照してください。
REST API にセキュリティポリシーを追加する方法の詳細については、「API Gateway ガイド」の「[API Gateway で REST API カスタムドメインのセキュリティポリシーを選択する](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html)」を参照してください。
# IAM ロール
AWS Identity and Access Management (IAM) ロールにより、AWS クラウドのサービスとユーザーに対してアクセスポリシーとアクセス許可を詳細に割り当てることができます。このソリューションでは、各自動修復の機能ごとに、絞り込まれた範囲のアクセス許可を付与する IAM ロールを作成します。
管理者アカウントのステップ関数は、SO0111-ASR-Orchestrator-Admin ロールに割り当てられます。このロールのみが、各メンバーアカウントの SO0111-Orchestrator-Member を引き受けることが許可されています。メンバーロールは、各修復ロールが AWS Systems Manager サービスに渡して、特定の修復ランブックを実行することを許可されています。修復ロール名は SO0111 で始まり、その後に修復ランブックの名前と一致する説明が続きます。例えば、SO0111-RemoveVPCDefaultSecurityGroupRules は、ASR-RemoveVPCDefaultSecurityGroupRules 修復ランブックのロールになります。
## サポートしている AWS リージョン
**重要**
ソリューションでオプション機能を有効にすると、デプロイでサポートされるリージョンのリストが縮小されることがあります。つまり、以下のリストはソリューションのコアコンポーネントにのみ適用されます。例えば、ウェブ UI を有効にすることを選択した場合、[2025 年 11 月時点では CloudFront が GovCloud (米国) でサポートされていない](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-cloudfront.html)ため、GovCloud リージョンにソリューションをデプロイできません。
| リージョン名 | リージョンコード |
| --- | --- |
| 米国東部 (オハイオ) | us-east-2 |
| 米国東部 (バージニア北部) | us-east-1 |
| 米国西部 (北カリフォルニア) | us-west-1 |
| 米国西部 (オレゴン) | us-west-2 |
| アフリカ (ケープタウン) | af-south-1 |
| アジアパシフィック (香港) | ap-east-1 |
| アジアパシフィック (ハイデラバード) | ap-south-2 |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 |
| アジアパシフィック (メルボルン) | ap-southeast-4 |
| アジアパシフィック (ムンバイ) | ap-south-1 |
| アジアパシフィック (大阪) | ap-northeast-3 |
| アジアパシフィック (ソウル) | ap-northeast-2 |
| アジアパシフィック (シンガポール) | ap-southeast-1 |
| アジアパシフィック (シドニー) | ap-southeast-2 |
| アジアパシフィック (東京) | ap-northeast-1 |
| カナダ (中部) | ca-central-1 |
| 欧州 (フランクフルト) | eu-central-1 |
| 欧州 (アイルランド) | eu-west-1 |
| 欧州 (ロンドン) | eu-west-2 |
| ヨーロッパ (ミラノ) | eu-south-1 |
| 欧州 (パリ) | eu-west-3 |
| 欧州 (スペイン) | eu-south-2 |
| 欧州 (ストックホルム) | eu-north-1 |
| 欧州 (チューリッヒ) | eu-central-2 |
| 中東 (バーレーン) | me-south-1 |
| 中東 (UAE) | me-central-1 |
| 南米(サンパウロ) | sa-east-1 |
| AWS GovCloud (米国東部) | us-gov-east-1 |
| AWS GovCloud (米国西部) | us-gov-west-1 |
| 中国 (北京) | cn-north-1 |
| 中国 (寧夏) | cn-northwest-1 |
| イスラエル (テルアビブ) | il-central-1 |
| カナダ西部 (カルガリー) | ca-west-1 |
| メキシコ (メキシコシティ) | mx-central-1 |
| アジアパシフィック (タイ) | ap-southeast-7 |
| アジアパシフィック (マレーシア) | ap-southeast-5 |
**注記**
リストにない新しい AWS リージョンは、ローカルデプロイでサポートされる場合がありますが、ワンクリックデプロイではサポートされません。
# クォータ
サービスクォータ (制限とも呼ばれます) は、AWS アカウント用のサービスリソースまたはオペレーションの最大数です。
## このソリューション内の AWS サービスのクォータ
[このソリューションに実装されている各サービス](architecture-details.md#aws-services-in-this-solution)に十分なクォータがあることを確認してください。詳細については、「[AWS サービスクォータ](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)」を参照してください。
次のリンクを使用すると、各サービスのページに移動できます。ページを切り替えずにドキュメント内のすべての AWS サービスのサービスクォータを表示するには、こちらの PDF にある「[Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information)」ページの情報を確認してください。
## AWS CloudFormation のクォータ
ご使用の AWS アカウントには AWS CloudFormation のクォータがあり、このソリューションで[スタックを起動する](deployment.md#step-2)際に注意する必要があります。これらのクォータを理解することで、このソリューションを正常にデプロイできなくなるような制限エラーを回避できます。詳細については、「*AWS CloudFormation ユーザーガイド*」の「[AWS CloudFormation のクォータ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)」を参照してください。
## AWS CloudWatch クォータ
AWS アカウントには CloudWatch リソースポリシーに関連付けられた AWS CloudWatch クォータがあり、アカウントごとにリージョンあたり 10 のリソースポリシーのみが許可され、クォータの引き上げをリクエストすることはできません。「*AWS CloudWatch ユーザーガイド*」の「[AWS CloudWatch Logs クォータ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)」を参照してください。デプロイする前に、現在の使用状況を確認し、ソリューションをデプロイするときにこのしきい値を超えないようにしてください。
## AWS Organizations
ソリューションの Lambda 関数は、ソリューションの SNS トピックに公開されるメッセージに含める現在のアカウントのエイリアスを取得するために、[AWS Organizations API](https://docs.aws.amazon.com/organizations/latest/APIReference/Welcome.html) を呼び出します。これにより、デバッグや追跡の目的で、人間が読めるアカウント名をソリューションの通知に表示できるようになります。
AWS Organizations では、顧客が API エンドポイントを呼び出すことができる頻度に制限が設けられています。ソリューションがアカウントに設定されている制限を超えたことを確認した場合は、アカウントエイリアスを取得して表示する機能を無効にすることができます。
これを行うには、管理者スタックをデプロイしたリージョンとアカウントにある `SO0111-ASR-sendNotifications` という名前の **Lambda 関数**に移動します。次に、`DISABLE_ACCOUNT_ALIAS_LOOKUP` という名前の**環境変数を見つけ**、値を [False] から **[True]** に変更します。ソリューションの通知内のアカウントエイリアスフィールドは *[不明]* になりますが、ソリューションの機能には影響しません。
# AWS Security Hub のデプロイ
AWS Security Hub のデプロイと設定は、このソリューションの前提条件です。AWS Security Hub CSPM のセットアップの詳細については、「*AWS Security Hub ユーザーガイド*」の「[AWS Security Hub CSPM のセットアップ](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)」を参照してください。このソリューションは、[AWS Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub-v2.html) (CSPM 以外のバージョン) もサポートしています。AWS Security Hub のセットアップの詳細については、「[Security Hub の有効化](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html)」を参照してください。
少なくとも、プライマリアカウントで AWS Security Hub が動作するように設定されている必要があります。このソリューションは、AWS Security Hub のプライマリアカウントと同じ AWS アカウント (および AWS リージョン) にデプロイできます。各 Security Hub のプライマリアカウントとセカンダリアカウントで、アカウントで修復ランブックを実行するソリューションの AWS Step Functions に AssumeRole のアクセス許可を付与するメンバーテンプレートをデプロイする必要もあります。
# スタックと StackSets のデプロイメント
*スタックセット*では、1 つの AWS CloudFormation テンプレートを使用して、複数の AWS リージョンにわたって AWS アカウントにスタックを作成できます。バージョン 1.4 以降、このソリューションはデプロイされる場所と方法に基づいてリソースを分割することにより、StackSets を用いたデプロイをサポートします。マルチアカウントのユーザーは (特に AWS Organizations を利用している場合)、多数のアカウントにわたってデプロイにスタックセットを使用することでメリットを得られます。これにより、ソリューションのインストールと保守に必要な労力を削減できます。StackSets の詳細については、「[AWS CloudFormation StackSets の使用](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-stacksets.html)」を参照してください。