Security Command Center の料金

このドキュメントでは、Security Command Center の料金について詳しく説明します。

米ドル以外の通貨でお支払いの場合は、Cloud Platform SKU に記載されている該当通貨の料金が適用されます。

料金の概要

Security Command Center のプレミアムまたはスタンダード ティアを使用すると、以下に対して課金される可能性があります。

  • 選択した Security Command Center のティアに関連する費用(このページで後で説明します)。
  • Security Data Center にデータを追加するための Cloud Data Loss Prevention(Cloud DLP)やサードパーティのパートナー スキャナなど、追加の有料スキャナに関連する費用。スキャナ プロバイダから使用料に基づいて請求されます。
  • Web Security Scanner の使用に関連する App Engine の費用(このページで後で説明します)。

Security Command Center のティアの料金

Security Command Center の料金は、ユーザーが選択した Security Command Center のティアに基づいて計算されます。

ティアの詳細

スタンダード ティアの機能

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • DATAPROC_IMAGE_OUTDATED
    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_GROUP_IAM_MEMBER
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner のカスタム スキャン: スタンダード ティアでは、Web Security Scanner による、ファイアウォールの背後にない公開 URL と IP アドレスでデプロイされたアプリケーションのカスタム スキャンがサポートされています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
  • Security Command Center のエラー: Security Command Center には、Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。
  • 組織レベルでの Identity and Access Management(IAM)ロールの付与をサポートします。
  • 統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。

    • Cloud Data Loss Prevention。機密データを検出、分類、保護します。
    • Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
    • 異常検出。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報やコイン マイニングなど)を特定します。
  • BigQuery との統合。分析のために検出結果を BigQuery にエクスポートします。
  • Forseti Security、Google Cloud のオープンソース セキュリティ ツールキット、サードパーティのセキュリティ情報およびイベント管理(SIEM)アプリケーションと統合します。

プレミアム ティアの機能

プレミアム ティアには、スタンダード ティアの機能がすべて含まれ、さらに以下の機能が追加されています。

  • Event Threat Detection。脅威インテリジェンス、機械学習などの高度な方法を使用して、組織の Cloud Logging や Google Workspace をモニタリングし、次の脅威を検出します。
    • マルウェア
    • クリプトマイニング
    • ブルート フォース SSH
    • 送信 DoS
    • IAM 異常付与
    • データの引き出し

    Event Threat Detection では、次の Google Workspace の脅威も特定されます。

    • 漏洩したパスワード
    • アカウントへの不正アクセスの試み
    • 2 段階認証プロセスの設定の変更
    • シングル サインオン(SSO)設定の変更
    • 政府が支援する攻撃
  • Container Threat Detection では、次のコンテナ ランタイム攻撃を検出します。
    • 追加されたバイナリの実行
    • 追加されたライブラリの読み込み
    • 悪意のあるスクリプトの実行
    • リバースシェル
  • Virtual Machine Threat Detection は、VM インスタンス内で実行されている暗号通貨マイニング アプリケーションを検出します。
  • Security Health Analytics: プレミアム ティアには、Security Health Analytics 検出機能(140 以上)すべてを対象としたマネージド脆弱性スキャンが含まれます。また、多くの業界のベスト プラクティスのモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングが提供されます。これらの結果は、コンプライアンス ダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

    プレミアム ティアの Security Health Analytics には、次の基準に対応したモニタリングとレポートが含まれています。

    • CIS 1.2
    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • プレミアム ティアの Web Security Scanner には、スタンダード ティアのすべての機能と、OWASP トップ 10 のカテゴリに対応する追加の検出項目が含まれます。Web Security Scanner では、自動的に構成されるマネージド スキャンも行われます。このスキャンでは、Google Cloud アプリ内の次のセキュリティの脆弱性が特定されます。
    • クロスサイト スクリプティング(XSS)
    • Flash インジェクション
    • 混合コンテンツ
    • クリアテキストのパスワード
    • 安全でない JavaScript ライブラリの使用
  • プレミアム ティアは、組織レベル、フォルダレベル、プロジェクト レベルで、ユーザーへの IAM ロールの付与をサポートしています。
  • プレミアム ティアには、Pub/Sub への新しい検出結果のエクスポートを自動的に管理する継続的エクスポート機能が含まれています。
  • 拡張アセット モニタリングが必要になった場合は、追加の Cloud Asset Inventory 割り当てをリクエストできます。
  • Secure Landing Zone のサービスは、Security Command Center のプレミアム ティアでのみ有効にできます。このサービスを有効にすると、デプロイされているブループリントのリソースにポリシー違反がある場合に検出結果が表示され、対応するアラートが生成されて、自動修復アクションが選択的に実行されます。
  • VM Manager の脆弱性レポート

    • VM Manager を有効にすると、このサービスでは、脆弱性レポート(プレビュー版)からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティング システムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

    スタンダード ティアの料金

    Security Command Center のスタンダード ティアは無料でご利用いただけます。

    プレミアム ティアの料金

    Security Command Center のプレミアム ティアは、1 年間または複数年の固定料金サブスクリプションでご利用いただけます。

    Google Cloud の年間費用またはコミット契約の合計が 1,500 万ドルを超える場合は、利用可能な料金オプションについて営業担当者にお問い合わせください。

    Google Cloud の年間費用またはコミット契約の合計額が 1,500 万ドル未満の場合、Security Command Center Premium の年間コストは、次のうちの金額が大きい方の 5% になります。

    最小年間費用は $25,000 です。Security Command Center のプレミアム ティアのサブスクリプションは、新規のコミット契約に組み込むことも、既存のコミット契約に追加することもできます。どちらの場合も、Security Command Center のプレミアム ティアのサブスクリプションの期間の長さはコミット契約と同じです。このサブスクリプション料金は、契約期間中に月単位で請求されます。

    詳細については、営業担当者までお問い合わせください。

    プレミアム ティアの料金の例

    Security Command Center のプレミアム ティアのサブスクリプション料金の例を以下に示します。

    コミット契約に基づく

    複数年のコミット契約が以下の料金体系の場合:

    • 1 年目: $1,000,000
    • 2 年目: $2,000,000
    • 3 年目: $4,000,000

    Security Command Center のプレミアム ティアの固定料金は次のとおりです。

    • 1 年目: $50,000
    • 2 年目: $100,000
    • 3 年目: $200,000

    上記のシナリオでは、1 年目における Google Cloud の年間費用が実際には $1,200,000 であっても、その年の Security Command Center のプレミアム ティアは 1 か月あたり $4,167(年間合計 $50,000)の固定料金になります。

    上記の複数年契約の合計費用は $350,000 です。3 年間の契約期間中に使用量が契約を上回ったとしても、3 年契約期間の Security Command Center のプレミアム ティアの費用は $350,000 になります。

    現在の年間支出レートが、既存のコミット契約を上回る場合

    Security Command Center プレミアムは、年間支出レートに基づいて一度に 1 年分まで購入できます。年間支出レートがコミット額を上回る場合、購入には年間支出レートを使用していただく必要があります。Security Command Center を複数年単位で購入できるのは、現在の費用がコミットの 2 年分未満の場合に限られます。

    たとえば、複数年のコミット契約が以下の場合:

    • 1 年目: $1,000,000
    • 2 年目: $2,000,000
    • 3 年目: $4,000,000

    1 年目の年間支出レートは $1,500,000 であれば、Security Command Center のプレミアム ティアの固定料金は次のとおりです。

    • 1 年目: $75,000($1,500,000 の年間支出レートが契約の $1,000,000 を上回っているため)
    • 2 年目: $100,000
    • 3 年目: $200,000

    上記のシナリオでは、Security Command Center Premium のサブスクリプションに登録し、1 年目における Google Cloud の実際の費用が $1,900,000 に増えた場合でも、その年のプレミアム ティアの料金は 1 か月あたり $6,250(年間合計 $75,000)に固定されます。

    ログの消費や使用量に基づかない Security Command Center のプレミアム ティアの料金

    Security Command Center のプレミアム ティアのサブスクリプションには、お客様の組織の Event Threat Detection に必要なすべてのログデータの処理が含まれます。消費したログデータの量に基づいて課金されることはありません。

    Security Command Center のプレミアム ティアには Web Security Scanner マネージド スキャンの設定が含まれますが、スキャンのオペレーションが次のように影響を受ける可能性があります。

    • App Engine、Compute Engine、GKE インスタンスの割り当て上限、および帯域幅(トラフィック)に対する課金。
    • メールや検索などの App Engine サービスに対する API 呼び出しの割り当て、および Compute Engine サービスと GKE サービス。

    スキャンによって生成されるトラフィック量は、アプリケーションによって異なります。また、URL、イベント ハンドラ、フォーム、パラメータの数によっても変わります。

    Web Security Scanner は、トラフィック量を最小限に抑えるように最適化されています。デフォルトでは、1 秒あたりのクエリ数(QPS)が約 15 件になるようスキャン速度が抑制されます。多くのウェブ アプリケーションは非同期のため、スキャン速度には若干の変動が生じます。現時点では、スキャンの規模が大きい場合、テスト リクエスト(サイトのクロールに関連するリクエストを除く)を 10 万件処理すると、スキャンが停止します。サイトのクロールに関連するリクエストには上限がありません。

    Web Security Scanner の料金

    Web Security Scanner のマネージド機能は、Security Command Center のプレミアム ティアの一部として含まれているにすぎません。Web Security Scanner の使用自体に直接料金が発生することはありませんが、サービスを使用するにあたって間接的な料金が発生することがあります。

    Web Security Scanner を使用すると、App Engine インスタンスの割り当ての上限、帯域幅(トラフィック)に対する課金、メールや検索などの App Engine サービスに対する API 呼び出しの割り当てに影響します。スキャンによって生成されるトラフィック量は、アプリケーションによって異なります。また、URL、イベント ハンドラ、フォーム、パラメータの数によっても変わります。

    Web Security Scanner は、トラフィック量を最小限に抑えるように最適化されています。デフォルトでは、1 秒あたりのクエリ数(QPS)が約 15 件になるようスキャン速度が抑制されます。多くのウェブ アプリケーションは非同期のため、スキャン速度には若干の変動が生じます。現時点では、スキャンの規模が大きい場合、テスト リクエスト(サイトのクロールに関連するリクエストを除く)を 10 万件処理すると、スキャンが停止します。サイトのクロールに関連するリクエストには上限がありません。

    Secured Landing Zone のサービス サービス料金

    Secured Landing Zone サービス サービスのマネージド機能は、Security Command Center Premium の一部としてのみ含まれます。Secured Landing Zone サービス サービスの使用に直接料金はかかりませんが、サービスを使用する際に間接請求が発生する可能性があります。

    次のステップ

    カスタム見積もりのリクエスト

    Google Cloud の従量課金制では、使用したサービスに対してのみ料金が発生します。カスタム見積もりをご希望の場合は、Google のセールスチームまでお問い合わせください。
    お問い合わせ