Amazon ECRの設定を見直しAmazon Inspectorのコストを削減

直面していた課題

当時Amazon Inspectorのコストが全体で5番目に高額な状態になっていました。

本来、利用頻度の低いサービスのはずが上位に位置していたため、「想定以上にInspectorの費用が発生しているのではないか」という課題認識を持ち、調査を行うことにしました。

コスト増加の原因

まず、「請求とコスト管理」から請求画面を開き、サービス別料金を確認しました。

「Inspector」を展開すると、リージョンごとの利用状況を把握でき、どの機能にコストが集中しているかを確認することができます。

そして、「Amazon Inspector APN1-container-image-re-scan」という機能が全体の約80%以上のコストを占めていることが判明しました。

この「container-image-re-scan」は、Amazon ECRのコンテナイメージを自動的に再スキャンする機能で、1回あたり$0.01（2025年11月時点）の費用が発生します。

スキャン頻度は変えていないため、コンテナイメージ数が想定以上に増え、それに伴ってスキャン回数も増えことでコスト増加に繋がったのではないかという仮説を立て調査を進めました。

結果として、ECR上にタグなしの古いイメージが多数残存しており、それらが定期的に再スキャンされていたことがコスト増加の要因となっていることがわかりました。

特に、1年以上前のイメージが自動スキャン対象として残っていたことが大きな無駄となっていました。

対策と改善内容

この問題に対して、ECRのライフサイクルポリシーを活用し、古いイメージを自動削除する仕組みを導入しました。

ECRのライフサイクルポリシーでは、以下のような条件を設定して不要なイメージを自動削除できます。

例：「タグが付与されていないイメージ」かつ「push後7日を経過した場合に削除」

弊社の運用では、利用中のイメージには必ずタグが付与されているため、タグなしイメージを削除対象とし、削除条件を「push後7日経過」に設定しました。

これにより、不要なイメージが自動的に削除されるようになり、継続的なコスト削減につながりました。

結果

本対応により、Amazon Inspectorの月次コストを約75%削減することに成功しました。

さらに、ECR自体のストレージコストも約84%削減し、全体として大幅なコスト削減効果を得られました。

まとめ

こちらは2024年6月頃に実施したものです。

今回の調査を通してInspectorのコスト構造や運用設計の重要性を再認識するよい機会となりました。

弊社テックブログにもまとめていますので、ぜひご覧ください。

🔗 https://techblog.leadingmark.jp/20250225

良い点にも記載していますが、AWS利用中であればすぐに導入することができるため、一先ず脆弱性診断を行ないたいという方には十分魅力的なサービスだと思います。