Flex Pricingの概要について
近年、日本国内においてサイバー攻撃が増加し続けています。そのため実際に被害を受けた際に過去に遡って分析できるように、ログを収集しておきたいという企業・組織が増えています。また監査対応のために、数年間の保管が義務付けられているケースもあって、保管するログの量は増加する一方です。
Sumo Logicは従来、取り込むログの量に対して課金が発生する仕組みでした。取り込む予定のログ量が毎月一定では無いような場合にはこのライセンス形態が評価されていました。ところが、ログを取り込めば取り込むほど費用が発生するこの仕組みでは、ログの取り込み量が当初の見積もり分を超えると、超過料金が発生していました。
実際にSumo Logicユーザーの取り込んだログ量の推移を見ると増加の一途をたどっていることがわかります。ログ量に対して課金が発生するライセンス形態は、大量のログを保管したいというニーズに対して最適なライセンス形態とは言えない状況になっていました。
そこでSumo Logicでは、2024年8月から、Flex Pricingというライセンス形態に変更しました。Flex Pricingは取り込むログの量に対して課金をするのではなく、取り込んだログを検索することに対して課金が発生する仕組みです。
課金対象は検索を行ったログ量になるため、10GB分のログを1回検索した場合は10GB、1GBのログを10回検索した場合も同様に、10GBが課金対象ということになります。
< 図1. 検索課金対象となるログデータ量の計算方法について>
また導入時には1日あたりに取り込まれるログ量と保管期間から、「クレジット」という単位を見積もってご購入いただきます。検索課金が発生するたび、クレジットが消費されていくという仕組みです。
< 図2. クレジットの見積もり方法と消費の仕組みついて>
なお、すでにSumo Logicをご利用中の方については、ライセンスを切り替えずにそのままご利用いただくことが可能です。クレジット超過が発生している場合などは、当社からFlex Pricingへの切り替えをご提案することもできますので、お気軽にご相談ください。
Flex Pricingが誕生した背景
従来のライセンス形態では、倍々に増加するログデータをすべて収集することが、困難でした。しかしそれでは、コストを抑制するために重要なログを見逃してしまうリスクがあります。セキュリティインシデントへの対応が遅れるなど、ビジネスに大きな影響をもたらすこともありました。
Sumo LogicのFlex Pricingは、このような課題を解決するために誕生しました。ログの取り込み量にかかわらず、検索回数に応じた料金体系とすることで、お客様は必要なログをすべて収集し、必要な時に安心して分析することができます。これにより、セキュリティの強化、パフォーマンスの最適化、新たなビジネス機会の創出など、さまざまな分野で価値を発揮できます。
Flex Pricingへの乗り換え事例
実際に当社のお客様において、運用を続けていく中で当初の見積もり以上にログの取り込み量が多くなり、超過請求が発生したケースがあります。実際にはログを取り込んだだけで、検索をかけていなかったとのことで、ご不満のお声をいただきました。
そこで、Flex Pricingへ切り替えを行いました。それにより、今まで通りのライセンス価格で運用できる目途が立ち、結果的にご満足いただけました。
この事例からも分かるとおり、Flex Pricingであれば従来のログ取込量課金よりも価格を抑えられるケースが多くあります。次に、その根拠を具体例で示します。
具体例を用いたFlex Pricingの仕組み解説
ここからは、ある製造業のグループ会社を例に解説します。2万人強のユーザー数で、Microsoft 365の監査ログデータを、1日およそ10GB程度収集しています。もし、この企業がFlex Pricingに乗り換えた場合、標準ライセンスでは、1日あたり500回の検索(500スキャン)が可能なので、10GB×500回で、1日あたり5TBの検索が可能という計算になります。
< 図3. ログ量とスキャン回数から検索課金対象をもとめる面積図 >
1日あたり5TBの検索といっても、なかなかイメージしづらいかもしれませんので、この企業におけるピーク時の運用として実際に落とし込んだ例で考えてみます。
この企業では、3人の情報システム部門メンバーが、Sumo Logicを運用しています。仮に、Aさん、Bさん、Cさんとします。
<表1. Sumo Logic運用メンバーの業務について>
Aさん、Bさん、Cさんの担当業務はこちらの表のとおりです。
スキャンの種類としては、手動で実行する「クエリスキャン」、ダッシュボード表示によって走る「ダッシュボードスキャン」、スケジュールサーチによって走る「スケジュールサーチ」の3種類です。次に、それぞれのスキャンが、どれだけのログ容量になるか見てみましょう。
●クエリスキャン
ある月初における、Sumo Logicのログスキャン結果は以下のとおりです。
< 表2. ある月初におけるSumo Logicのログスキャン結果>
ある日のログスキャン量の合計は、1,440GB・・・①
●ダッシュボード表示スキャン
さらに、Aさんは一日の業務の中で、以下4点の検知を、過去24時間分ダッシュボードで定期的に確認しています。
< 図4. 日々監視しているダッシュボード>
・予期しない場所(国)からのアクセスを検知
・Azureログイン失敗回数の異常を検知
・SharePoint Onlineの重要データ格納サイトからのダウンロード数の異常を検知
・クラウドストライクによって危険と判断されたアクセスを検知
この日、Aさんはこのダッシュボードを10回程表示してリロードしました。
ダッシュボード表示によるログスキャン量の合計は、10GB×4パネル×10回= 400GB・・・②
●スケジュールサーチスキャン
この企業では、セキュリティチェック等、問題があった場合に管理者へメールアラートが飛ぶように、バックグラウンドで、10個のスケジュールサーチが動いています。
スケジュールサーチによるログスキャン量の合計は、10GB×10個=100GB...③
まとめると、各スキャンによるログ量は以下のとおりです。
・クエリスキャン:1,440GB
・ダッシュボードスキャン:400GB
・スケジュールサーチスキャン:100GB
合計:1,940GB=1.94TB
ピーク時においても、1日で検索可能な5TBのクレジット消費に対して、半分も届いていません。土日祝日・盆暮れ正月などは、クエリスキャンとダッシュボードスキャンは行われないので、年間を通して均すと、さらに、少ないことが分かります。
仮に、重大なインシデントが発生し、調査のために集中的に検索を行ったとしても、これだけ余裕があれば、クレジット消費を超過することは稀であることがご理解いただけたかと思います。
まとめ
いかがだったでしょうか。
新しい課金方式「Flex Pricing」は、想定されるログ取り込み量に対して、かなり余裕のあるクレジットが付与されることをご理解いただけたかと思います。
当社では、ログの取込量の見積もり精度をあげて、Flex Pricingのメリットを最大限活かすために無償トライアルをおススメしています。トライアル期間に正確なログの取り込み量をご確認した上で、ご購入いただくことを強く推奨しております。
また無償トライアル環境は、そのまま本番環境へ移行することが可能です。そのため無償トライアル環境で設計、設定した内容で再構築する工数や時間は不要です。
さらに無償トライアルでは、当社のSumo Logic有資格者エンジニアを専任でアサインし、手厚くコンサルティングいたします。
実際のデモをご覧いただくことも可能ですので、ご興味があれば、お気軽にご相談ください。