ENECHANGE Developer Blog

ENECHANGE開発者ブログ

Security HubにかかるAWS Configの料金を抑える

CTO室の岩本 (iwamot) と申します。AWSで運用している各種リソースを、なるべくベストプラクティスに沿うように最適化していくのが、ぼくのミッションのひとつです。

Security Hubを使うと、セキュリティのベストプラクティスに反しているAWS上のリソースが自動的に検出できます。ENECHANGEでも、先日から運用を始めました。

ただ、上記の検出には、AWS Configの料金が意外とかかります。これは、リソースの設定変更をAWS Configで記録する必要があるためです。

Security Hubは便利だけれど、AWS Configの料金は抑えたい、そんなときに使える小ワザをご紹介します。

記録するリソースタイプを絞る

その小ワザとは「AWS Configで記録するリソースタイプを、Security Hubでの検出に必要なものに絞る」です。

Security Hubで必要となるリソースタイプは、ドキュメントに書かれています。

たとえば「AWS 基礎セキュリティのベストプラクティス」に反したリソースの検出には、下記ドキュメントにあるリソースタイプの記録が必要です。

必要なリソースタイプが把握できたら、AWS Configのコンソールで「特定のリソースタイプを記録する」を選び、こつこつ指定しましょう。

これで料金が抑えられます。

ENECHANGEでは25%ほど抑えられた

ENECHANGEのとあるAWSアカウントでは、7月21日にこの小ワザを実施しました。

もともと選んでいた「このリージョンでサポートされているすべてのリソースを記録します」に比べると、料金が25%ほど抑えられています。

Security HubのSNSトピックをサブスクライブしている

この小ワザを使うと、ベストプラクティスの変化に応じて、AWS Configで記録するリソースを増減させなければなりません。たとえば、新しいAWSサービスの検証のために「AWS::NewService::NewResource」の記録が必要となったら、AWS Configの設定を変更しなければならないわけです。

手動で増減するには運用コストがかかるので、いずれは「Security Hubのドキュメント更新を検知し、AWS Configの設定を自動的に更新する」仕組みを作るのがよいかなと思っています。

現時点では、Security Hubの新機能を知らせるSNSトピックをサブスクライブし、ベストプラクティスの変化に気づけるようにしました。

最後に

自動化の課題はありつつも、料金が抑えられてよかったなと思っています。

この小ワザを使うべきかどうかは、AWSアカウントの構成・AWSリソース数・予算といった状況によりますが、覚えておいて損はないでしょう。