Amazon Security Lake の料金

標準の S3 料金が適用されます (「Amazon S3 の料金」を参照) 

例 1: 既存の CloudTrail の組織の証跡を使用して 1 つのリージョンで Security Lake を有効にする

米国東部 (バージニア北部) でのデプロイについて、新しい請求月に入ります。Security Lake は、256 GB の CloudTrail 管理イベント、256 GB の CloudTrail データイベント (S3 オブジェクトレベルの API オペレーションなど)、および 1,024 GB の他の AWS セキュリティイベントデータ (Amazon VPC Flow Logs、Amazon Route 53 Resolver クエリログ、または AWS Security Hub からのセキュリティ検出結果から) を取り込みました。
米国東部 (バージニア北部) での Security Lake の料金は、次のように計算されます。

0.75 USD/GB で取り込まれた 512 GB の CloudTrail ログ = 512 × 0.75 USD = 384.00 USD
0.25 USD/GB で取り込まれた 1,024 GB の他の AWS ログ = 1024 × 0.25 USD = 256.00 USD
0.035 USD/GB で取り込まれた 1,536 GB のデータ正規化の料金 = 1536 × 0.035 USD = 53.76 USD
Security Lake の 1 か月間の合計請求額は 693.76 USD となります。

例 2: 1 つのリージョンで Security Lake を有効にし、新しい CloudTrail の組織の証跡を作成する

AWS 組織用の既存の AWS CloudTrail の組織の証跡がない場合は、Security Lake で CloudTrail 管理イベントを取り込む前に作成する必要があります。組織の証跡をデプロイすることは推奨されるベストプラクティスであり、AWS は、個々のアカウントの証跡を組織の証跡に移行するために AWS Control Tower などのツールを提供しています。組織のために新しい組織の証跡をデプロイすることを選択し、既存の個別のアカウントの証跡がある場合、新しい組織の証跡から追加の管理イベントのコピーが配信されるため、CloudTrail の請求額は増加します。

米国東部 (バージニア北部) でのデプロイについて、新しい請求月に入ります。Security Lake は、256 GB の CloudTrail 管理イベント、256 GB の CloudTrail データイベント (S3 オブジェクトレベルの API オペレーションなど)、および 1,024 GB の他の AWS セキュリティイベントデータ (Amazon VPC Flow Logs、Amazon Route 53 Resolver クエリログ、または AWS Security Hub からのセキュリティ検出結果から) を取り込みました。

メンバーアカウントの証跡全体で、186,991,773 個のイベントの既存の CloudTrail 管理の使用があります (これは、平均管理イベントサイズ 1,470 バイトで Security Lake に取り込む管理イベントの 256GB ボリュームに相当します)CloudTrail でこれらのイベントのコピーを 1 つだけ受け取るため、追加料金は発生しません (「AWS 無料利用枠ページ」を参照してください)

Security Lake の 1 か月間の合計請求額は 693.76 USD となります (例 1 と同じ)

CloudTrail の請求に含まれる増分の CloudTrail 料金は、次のように計算されます。
管理イベントのコピーとして配信される 186,991,773 個のイベント (100,000 個のイベントあたり 2.00 USD) = 186,991,773 / 100,000 × 2.00 USD = 3,739.84 USD

メンバーアカウント全体での CloudTrail の合計追加料金は 3,739.84 USD となります。
詳細については、「AWS CloudTrail の料金」を参照してください。

注意: Amazon Security Lake の使用量はバイナリギガバイトで計算されます。1 GB は 2^30 バイトです。この測定単位は、国際電気標準会議 (IEC) で定義されているギビバイトとしても知られています。同様に、1 TB は 2^40 バイト、つまり 1,024 GB です。

Security Lake の無料トライアルはありますか?
はい。AWS 無料利用枠を利用して Security Lake に新しいアカウントを作成すると、Security Lake を 15 日間無料で試用できます。無料トライアル中はすべての機能セットにアクセスできます。

アカウントで Security Lake を有効にした場合に最初にかかる料金を見積もるにはどうすればよいですか?
A: サービスを有効にして、15 日間の無料トライアルをご利用いただけます。この期間中、Security Lake コンソールの使用量タブにアクセスして、使用量を見積もることができます。Security Lake の料金は、データインジェストおよびデータ正規化という 2 つの要素に基づいています。

1 か月あたりのコストは、GB あたりの、AWS サービスから取り込まれたログおよびイベントデータの量によって決まります。データは Amazon S3 に保存され、標準の Amazon S3 料金が適用されます。Security Lake は、お客様に代わって他の AWS サービスもオーケストレートします。利用される AWS サービスと、セキュリティデータレイクの一部として設定されるリソースについては、別途料金が発生します。AWS Glue、Amazon EventBridge、AWS Lambda、Amazon SQS、Amazon SNS の料金をご覧ください。Security Lake からデータをクエリしてクエリ結果を保存することで発生するコストはお客様の負担となります。

Security Lake はログ保持戦略の最適化にどのように役立ちますか?
多くのお客様は、ストレージコストとセキュリティ分析を最適化しながら、コンプライアンス要件を満たすために、セキュリティ関連のログを大量に保存する必要があります。Security Lake を利用すると、お客様はコスト効率よくセキュリティログを Amazon S3 アカウントに保存できます。Security Lake は、カスタマイズ可能な保持設定と自動ストレージ階層化を提供することで、データ管理を簡素化します。着信セキュリティデータを自動的にパーティショニングして、ストレージおよびクエリ効率の高い Apache Parquet 形式に変換します。Security Lake は、Apache Iceberg オープンテーブル形式を使用して、セキュリティ分析のためのクエリパフォーマンスを強化します。

お客様はログを柔軟に管理できるようになり、コンプライアンスを実現するためにどのログを保持するか、より詳細な分析のためにどのログを分析ソリューションに送信するか、およびインシデント調査の目的でどのログをクエリするかを選択できます。Security Lake は、お客様がセキュリティ情報およびイベント管理 (SIEM) 内の通常の保持ポリシーを超えて保存したり、ストレージを拡張したりすることが以前は不可能だったログを保持するのに役立ちます。

マルチアカウント設定で支出をモニタリングするにはどうすればよいですか?
A: マルチアカウント設定でデプロイされている場合、使用量は AWS Organization の管理アカウントにロールアップされ、すべてのアカウントの合計使用量と、個別のアカウントごとの使用量の内訳が提供されます。これは、組織全体における Security Lake での支出を確認およびモニタリングするのに役立ちます。Security Lake コンソールの [使用量] ページでは、現在の Security Lake の使用量だけでなく、将来の使用量とコストの見積もりを確認できます。現在 15 日間の無料トライアルに参加している場合、トライアル中の使用量は、無料トライアル終了後の Security Lake の使用コストを見積もるのに役立ちます。

Security Lake で一元化するためにサードパーティーまたは独自のデータを取り込むには料金がかかりますか?
A: いいえ。Security Lake では、Security Lake で一元化するためにサードパーティーまたは独自のデータを取り込むことについての料金は発生しません。データは Amazon S3 に保存され、標準の Amazon S3 料金が適用されます。

消費される AWS ログの料金は、Amazon Security Lake を通じて一元化する場合と比較してどのように異なりますか?
A: Security Lake では、元のサービスについて支払う金額に加えて、ネイティブにサポートされている AWS サービスからのログとイベントを OCSF スキーマに正規化し、Apache Parquet 形式に変換するための変換料金 (0.035 USD/GB) が課金されます。AWS CloudTrail ソースの場合、料金はデータイベントに基づいており、配信されるデータイベント 100,000 件あたり 0.10 USD が課金されます。Security Lake は同等の料金を提供しますが、代わりにデータ量 (GB) に基づきます。他のログは、Amazon CloudWatch 販売ログの料金に従います。

委任されたアカウントには、すべての統合ログについての料金が請求されますか? それとも、AWS Organization 内のすべてのアカウントについて、その使用量に基づいて個別に請求されますか?
いいえ。Security Lake が実行される委任されたアカウントには、すべてのアカウントについての料金が請求されるわけではありません。このアカウントでは、このアカウントのログ収集の料金と、このアカウントで Security Lake によってオーケストレートされる Amazon S3、AWS Lambda、Amazon SQS、AWS Glue、Amazon EventBridge などのデータレイクコンポーネントに関連するコストのみが発生します。各アカウントの請求書には独自の使用量が表示されますが、組織管理アカウントが一括請求金額を支払うため、メンバーアカウントの請求書は情報提供のみを目的としています。この請求構造は、AWS 組織の一括請求を利用するサービス全体で標準です。

Security Lake には追加費用がかかりますか?
いいえ。Security Lake は、既存のログ収集を効率化できます。AWS CloudTrail または個々の VPC フローログの重複コピーを非推奨にすることで、Security Lake によって発生するコストを相殺できます。