Microsoft Copilot for Securityのコスト対策に有効な4つのポイント

2024年4月に、セキュリティ運用サポートを行うマイクロソフト社の生成AIサービス「Microsoft Copilot for Security（以下、Copilot for Security）」が発表されました。皆さんは早速使っていますか？

Copilot for Securityはとても便利ですが、使い方によってはコストが思いがけず高くなることもあります。必要以上のリソースを割り当てていたり、管理が不十分だったりすると、予算オーバーになることも少なくありません。しかし、設定を適切に行うことでコストの最適化は可能です。

今回は、新時代のセキュリティ対応で夢が広がるCopilot for Securityを活用するにあたり、ラックで行っているコスト対策のポイントを4つお伝えします。

Copilot for Securityを使うにあたって気をつけるべきこと

Copilot for Securityは、マイクロソフト社のセキュリティ関連製品に組み込まれ、セキュリティの運用サポートを行う生成AIサービスです。ChatGPTのように対話形式でセキュリティに関するログ調査を行えるため、セキュリティ人材不足の解決策の1つとして注目を集めています。

ラックでもこのCopilot for Securityにいち早く着目し、早期アクセスプログラム（Early Access Program：EAP）を通じて正式リリース前から活用を進めてきました。その知見をもとに、お客様に向けた検証・導入支援や、運用サポートを提供しています。

Copilot for Securityはとても便利ですが、クラウドサービスであるため利用コストが発生します。これを軽視すると、想定外の高額請求に悩むことにもなりかねません。特に、Copilot for Securityは新しいサービスであることから、効果的なコスト管理の方法がまだ広く知られていないのが現状です。クラウドサービス利用においては、コストの節約・制御・管理の仕組みを整えることが成功の鍵を握ります。

実際、ラックでも過去にクラウドサービスを利用していた際、気づかないうちに高額請求が発生していたという経験^※もあります。今回は、ラックが実際の運用で実践している、Copilot for Security利用時のコストをコントロールするポイントを紹介します。

※ AWS Lambdaで300万円以上課金されてしまった怖い話

Copilot for Securityの利用料体系を理解する

コスト対策を効果的に進めるには、まず利用料金の体系を理解することが大切です。Copilot for Securityの価格体系は公式ページに記載があります。

※ Microsoft Copilot for Security - Pricing | Microsoft Azure

ただ、公式ページの説明だけでは少し難しいと思うので、コスト構造についてかみ砕いて説明します。Copilot for Securityを使う際には、1時間あたりに処理できるプロンプト（命令）の上限値を、Security Compute Unit（以下、SCU）という値で設定します。

このSCUは、プロンプトで問い合わせをするなどの方法で、Copilot for Securityを利用するたびに消費されていきます。消費量は利用する内容によって異なります。例えば、1SCUだとプロンプトを多用するとすぐに上限に達するため、マイクロソフト社は公式には3SCU程度を推奨しています。

もし、1時間以内にこの上限値を超えたプロンプト処理の要求をしたら、その時間内で一度だけは例外的に処理が行われる（バースト対応）ことが期待できますが、以降はエラーとなってしまうので次の1時間まで待たなくてはなりません。なお、バースト対応は例外的な対応であり、確実ではありません。そのため、安定した運用を目指すためには消費量を予測し、その予測した量をカバーできる分のSCUを割り当てる必要があります。

Copilot for Securityの利用料は、「SCUの割り当て数×利用時間（1時間単位）」で算出されます。SCUの消費量に関わらずに割り当てた時間分が課金されるため、より少ない割り当て数で必要な処理を行えるようにすることが、Copilot for Securityのコストをうまく節約するコツです。

Copilot for Securityの利用料を節約する4つのポイント

Copilot for Securityの利用料を節約するには、以下のポイントが有効です。

• Copilot for Securityを利用するシーンを整理する
• 利用する量を予測し、割り当てるSCU数のベースラインを決める
• 時間帯や状況に応じて、割り当てSCU数を自動で切り替える仕組みを設定する
• 万が一に備えて、利用料のしきい値を定めて異常値を検知するアラートを設定する

Copilot for Securityを利用するシーンを整理する

まず、Copilot for Securityをどのように利用するのかを整理します。Copilot for Securityの利用方法は主に3つあり、使い方によってコストや効率に大きな影響を与えます。

1つ目は、Microsoft Defender XDRやMicrosoft Sentinelなど、既存のセキュリティサービスのポータル上に埋め込む方法（Embedded）です。この場合、あらかじめ用意された内容にそってCopilot for Securityの結果が表示されます。カスタマイズはできませんが、その分高速でSCUの消費も優しく、マイクロソフト社によるチューニングで精度の高い回答が返ってきます。

2つ目は、専用ポータル（Standalone）を利用する方法です。この場合、自由にプロンプトを作成して利用できます。また、プロンプトブックやカスタムプラグイン、ナレッジベースといった機能を利用することで、埋め込み方式では得られない独自の情報を外部サービスと連携して得ることもできます。ただし、念入りなチューニングをしたプロンプトでない限り、どうしてもSCUの消費が多くなります。

そして3つ目は、Azure Logic Appsを利用して、システム間での自動化を行う方法です。基本的には専用ポータルの場合と同じようになります。ただし、何度も繰り返し実行するため、プロンプトをチューニングしたり、実行時のオプションを工夫したりすることでSCU消費を抑えることはできます。

これらのどの方法がメインとなるか、またはどのような割合で使うのかにより、SCUの消費量が変わってきます。ラックでは、インシデント発生時の調査の他に、インシデント通知の内容をCopilot for Securityを使って詳細化する自動化などを実施しています。そのため、日常的にある程度のSCU数が必要で、深夜も一定の利用が見込まれる場合を想定して割り当てるSCU数を調整しています。

利用する量を予測し、割り当てるSCU数のベースラインを決める

先述のとおり、Copilot for Securityの利用料は割り当てるSCU数に依存します。そのため、SCUの割り当ては過不足のない絶妙な値を設定することが理想ですが、利用開始直後から最適な値を定めることは難しいものです。

ラックでは、SCUを1に設定した場合、大規模なプロンプトブックの実行でエラーが発生したため、マイクロソフト社の推奨値である3を仮のベースラインとして設定しました。この値を基に運用を開始し、Copilot for Securityのポータルで確認できる使用量（Usage）グラフを定期的に確認して、SCUの割り当てが過大ではないかをチェックしています。

時間帯や状況に応じて、割り当てSCU数を自動で切り替える仕組みを設定する

割り当てるSCUのベースラインを3に設定して運用を開始しましたが、利用傾向を見ているとSCU数を常に同じにしなくてもよいのではないかという気づきが出てくることがあります。

ラックでは、能動的に利用する必要がある日中の時間帯（平日9:00～18:00）はSCUをベースラインの3に設定し、活動が少ない夜間や休日にはSCUを1に下げています。この値の切り替えは、GitHubで公開されているSCU調整のテンプレート^※をもとに実行しています。これにより、人手を介すことなくコストの最適化を図っています。

※ CopilotforSecurityControlSCUs/READMEJP.md at main · hisashin0728/CopilotforSecurityControlSCUs · GitHub

なお、AzureやAWSなどのクラウドサービスを利用している方は、開発環境で休日や夜間にサーバーインスタンスを停止するなど、コストを抑えるテクニックをよく活用しているかもしれません。しかし、Copilot for Securityには「停止」という概念がないため、この手法は使えません。仮にSCUを削除・再作成してしまうと、Copilot for Securityの一部情報が削除状態となるため、ラックではこの方法を採用していません。

万が一に備えて、利用料のしきい値を定めて異常値を検知するアラートを設定する

Copilot for Securityの利用料金は、SCU数×稼働時間で決まります。このため、「使い過ぎでコストが高騰した」といったクラウドサービスによくある問題にはならないのですが、SCUの管理が不十分だと意外なところでコストが膨らむリスクがあります。

例えば、Copilot for Securityで利用しないSCUを放置していたり、設定したSCUの値を変更し忘れたりすると、思わぬ高額な利用料が発生する可能性があります。これを防ぐためには、Azure環境とCopilot for Security環境のロール管理を徹底するとともに、万が一に備えてコストに対するしきい値を定めておくことが重要です。具体的には、Azureの「コストのアラート」を用いて、しきい値を超過したら自動的にアラートがあがるよう設定することを推奨します。

さいごに

Copilot for Securityは、クラウド環境におけるセキュリティ対策を強化するための強力なツールです。しかし、その効果を最大限に引き出すためには、コスト管理が重要な課題となります。ぜひ、この記事で紹介したポイントを活用して、便利なCopilot for Securityを効果的に活用しましょう。

ラックでは、Copilot for Securityを含むマイクロソフト社のソリューションを、「セキュリティ要件を満たしつつ、運用担当者の負荷を下げるSuite型ソリューション」と位置づけ、日々調査・研究を行いながら、お客様にとって有益となるサービスの提供に注力しています。

今後もお客様のセキュリティ対策を支援し、安心してクラウドサービスを利用できる環境を提供しますので、セキュリティ対策全般やマイクロソフト社のソリューションの活用に関する課題がありましたら、気軽にラックへお問い合わせください。