こんにちは、技術本部のtakaです。
Sumo Logic公式サイトにて、2024年3月20日のリリースノートで公開されたFlexライセンスについて、ご存じでしょうか。
https://help.sumologic.com/release-notes-service/2024/12/31/#november-13-2024-manage
長らくSIEMのマーケットでは、以下のような要素が求められてきたものの、該当する製品がありませんでした。
- 昨今のサイバーセキュリティ対策を講じる上でリアルタイムでの脅威分析はもちろんのこと、バラバラに管理されているログを必要な時に検索可能で過剰投資が必要ない製品
- セキュリティガイドライン対応のためのログ管理・保管だけでなく、分析もできればとSIEMを導入したものの、保管するだけで費用がとられ、分析に費用を回せないといったことがない製品
そこでSumo Logicでは、SIEMマーケットのパラダイムシフトを狙い、取り込んだログをどれだけ検索するかの検索量課金にプライシングを変更し、これをFlexライセンスと呼称しました。
そんなFlexライセンスは、これからSIEMを活用していくお客様にとって、SIEMを妥協無くお使いいただけるものとなっております。
本記事では、Flexライセンスの概要や特有のメリットをご紹介させていただきます。
Flexライセンスとは?
Flexライセンスでは、データ取り込み自体にはコストが発生せず、検索時のデータ量とSumo Logicに取り込まれたデータの量だけストレージ利用料金が発生します。
このコストが発生する検索データ量およびストレージ利用料金は、Sumo Logicではクレジットという単位で算出されます。
この検索データ量とは、年間毎日使う想定で1日あたり検索可能なログ量とし、「検索対象のデータ範囲✖Sumo Logicに保存したデータのスキャン回数」という形で算出されます。
この時、お見積もりを簡単にするため、検索対象のデータ範囲をある1日に取りこまれたログをすべて検索した場合のものとしています。
また、検索データ量を算出する時の因数としてスキャン回数という値を出しましたが、これはSumo Logicに保存されたデータが読み込まれた回数を指しています。
スキャンが実際に行われるのは、以下のような操作をした場合となります。
- Sumo Logicに保存したデータに対してクエリ検索(SQLのようなデータ検索に必要な構文)を実行したとき
- ダッシュボードの再読み込み、リロードボタンを押したとき
- ダッシュボード上のパラメータを変更したとき
ここでのダッシュボードとは、以下のスクリーンショットのようにSumo Logicに取り込んでいただいたログに対して、定期業務など都度確認したい複数のクエリ検索結果を一つの画面に集約・可視化できる機能となります。
このダッシュボード機能によって、逐次確認したいものを一度にご確認いただけます。
Flexライセンスの強み①:ピークを見越した契約・追加料金は不要
検索データ量の算出は年間毎日使う想定で1日あたり検索可能なログ量となっているため、以下のように特定の日時だけ大量に検索する必要がある場合でも、これを見越した契約や追加料金は掛からずにご利用いただけます。
例えば、ドメインが本当に使われているかの棚卸しや課金をしているサービスの利用実態調査など、毎日検索はしないものの定期的に大量に検索する場合のある業務にご活用いただけます。
Flexライセンスの強み②:妥協せずに取り込むことができる
SIEM製品を使って効果的なデータ分析を実施するためには、多くのデータソースからログデータを取り込み、突合させて可視化させる必要があります。
ただ、一般的なSIEM製品では取り込み自体に費用が掛かってしまうことから諦めるお客様が多くいらっしゃいます。
このジレンマに対して、Sumo LogicのFlexライセンスでは、データの取り込み自体にはクレジットの消費がされないという点で解消することができます。
2023年時点でガートナーが以下の分析をしている通り、企業でのデータソースやデータの種類は増加傾向にあり、ますますFlexプランでの価格的なメリットを感じていただけるかと思います。
https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20230405
Flexライセンスの強み③:インシデント発生時の対応を迅速化
以下URLの「2024年度中小企業等実態調査結果」速報版に記載のある通り、過去3期内で、サイバーインシデントが発生した企業における被害額の平均は73万円(うち9.4%は100万円以上)、復旧までに要した期間の平均は5.8日(うち2.1%は50日以上)とアンケート結果に出ています。
https://www.ipa.go.jp/pressrelease/2024/press20250214.html
インシデント発生時にどこにログがあるかを探すところから始めるといった状態では、アンケート結果よりも復旧までにかかる時間が長くなることは明白です。
普段使うログだけでなく、利用頻度が低いログであってもSumo Logicに取り込んでおくことにより、費用を抑えながら、サイバーインシデント対応調査をより短い時間で対応できるようになります。
最後に
今回、Flexライセンスの概要とメリットについて解説しました。
次回の記事では、Flexライセンスをご利用いただくうえでの節約方法や、関連する機能をご紹介させていただく記事を作成予定です。
例えば、以下のような機能についてご紹介予定です。
- パーティション機能
- Scan Budget機能
- Monitor機能
など
また、上記IPAの調査結果で約7割の企業が組織的なセキュリティ体制が整備されていないことがわかっており、そんなセキュリティ人材が少ない企業の方におすすめなのが、Sumo LogicのCloud SIEM Enterprise (通称:CSE)というサービスです。
こちらは、取り込んだ様々なログ(SASE、EDR、AD)をSumo Logicが提供する検知ルールを使ってアラートを検出、ログから抜き出したEntity(ユーザ名、IPアドレスなど)を利用した自動相関分析で、インシデントの特定・優先順位付けを行えます。
CSEについても別途記事にて紹介させていただければと思います。
今回の記事で紹介した機能は勿論、それ以外でも、何かSumo logicについてご不明点等ございましたらお気軽に弊社へお問い合わせください。
最後までお付き合いいただきありがとうございました。
