中小企業でもSOCは構築できる?「SOCライト」の始め方と費用感
「SOC(Security Operations Center)を構築したいが、数千万円の投資は現実的ではない」——そんな声が中小企業のIT担当者から増えています。サプライチェーン攻撃の増加を背景に、取引先から「セキュリティ監視体制はあるか」と問われるケースが急増しているためです。
本記事では、中小企業がMicrosoft 365の標準機能とアウトソーシングを組み合わせて実現する「SOCライト」の始め方を解説します。
SOCとは何か
SOCは、組織のIT環境を24時間365日監視し、サイバー攻撃の検知・分析・対応を行う専門チームまたはその機能を指します。大企業では専用の施設にアナリストを配置し、SIEM(セキュリティ情報イベント管理)ツールでログを集約・分析するのが一般的です。
従来はSOCの構築に年間数千万円〜数億円が必要とされ、中小企業には無縁の存在でした。しかしクラウドサービスの普及により、状況は変わりつつあります。
中小企業にSOCが必要になっている理由
サプライチェーンセキュリティの要求。 大手取引先がサプライチェーン全体のセキュリティ基準を引き上げており、中小企業にも監視体制の整備が求められています。経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の議論も進んでおり、対応は急務です。
ランサムウェア被害の深刻化。 警察庁の報告によると、ランサムウェアの被害件数のうち約半数が中小企業です。「うちは狙われない」という認識はもはや通用しません。
サイバー保険の加入条件。 サイバー保険の引受条件として、ログ監視やインシデント対応体制が求められるケースが増えています。
SOCライトの3つの構成要素
フルスペックのSOCではなく、中小企業の現実に合わせた「SOCライト」を構築します。必要な構成要素は3つです。
1. ログ収集
何が起きたかを追跡するための基盤です。Microsoft 365の統合監査ログ、Entra IDのサインインログ、エンドポイントのDefenderログが最低限必要です。ログの保持期間はMicrosoft 365 E3で180日、E5で1年間です。Business Premiumの場合は90日のため、長期保存が必要な場合は別途対策が必要です。
2. アラート監視
異常を検知して通知する仕組みです。不審なサインイン、マルウェア検知、大量ファイルダウンロード、管理者権限の変更など、重要イベントに対してアラートを設定します。アラートの受信先はメールだけでなく、Microsoft TeamsのチャネルやチケットシステムへのWebhook連携も検討しましょう。
3. インシデント対応
アラートを受けて実際に対処するプロセスです。対応手順書(ランブック)を事前に整備し、「誰が」「何分以内に」「何をするか」を明確にしておきます。初動対応の遅れが被害を拡大させるため、対応体制の明確化が最も重要な要素です。
M365標準機能で実現するSOCライト
Microsoft 365のライセンスに含まれる機能だけでも、基本的なSOCライト環境を構築できます。
Microsoft 365の統合監査ログ。 Microsoft Purviewコンプライアンスポータルから有効化します。Exchange Online、SharePoint Online、OneDrive、Teamsの操作履歴が記録されます。
Microsoft Defender for Office 365。 フィッシングメールの検知・ブロック、安全な添付ファイル・リンクの検査を自動で実施します。Business Premium以上に含まれています。
アラートポリシー。 Microsoft 365 Defenderポータルでカスタムアラートポリシーを作成します。「異常な外部メール転送ルールの作成」「短時間での大量ファイルダウンロード」「海外からの不審なサインイン」などを検知対象に設定しましょう。
Defender for Endpoint。 エンドポイントの脅威検知と自動調査を提供します。Business Premiumに含まれるDefender for Businessでも基本的なEDR機能が利用可能です。
Microsoft Sentinel Freeティアの活用
より高度な分析を行いたい場合、Microsoft Sentinelの無料枠を活用できます。Sentinelはクラウドネイティブ型のSIEMで、Microsoft 365のログを取り込んで相関分析やKQLクエリによる脅威ハンティングが可能です。
Sentinel Freeティアでは、Microsoft 365のデータコネクタ経由で取り込むログに対して1日あたり約5GB(Microsoft 365 E5セキュリティの場合)の無料枠があります。中小企業の規模であればこの無料枠内で収まるケースが多く、まずは無料で試してみることをお勧めします。
SOC運用のアウトソーシング
ツールを導入しても、アラートを分析して対応できる人材がいなければ意味がありません。中小企業の場合、SOC運用をアウトソーシングするのが現実的です。
情シス365のSecurity365プランでは、Microsoft 365環境のログ監視、アラートのトリアージ、インシデント初動対応までを月額制で提供しています。専任のセキュリティアナリストを雇用するコスト(年収600万〜1,000万円)と比較して、大幅に低コストで専門的なセキュリティ監視体制を構築できます。
費用感の比較
自前構築の場合。 セキュリティ担当者の人件費(月15〜30万円の工数按分)に加え、Sentinelの有料利用やサードパーティSIEMのライセンス費用が必要です。ログ量によりますが、月額10〜30万円程度のツール費用を見込む必要があります。合計で月25〜60万円が目安です。
アウトソーシングの場合。 情シス365のセキュリティパックプラン(月額45万円〜)であれば、日常のIT運用代行に加えてセキュリティ監視・インシデント対応がセットで含まれます。セキュリティ専門人材の採用が不要で、即日体制を構築できる点がメリットです。
まとめ
SOCは大企業だけのものではありません。Microsoft 365の標準機能を活用し、不足部分をアウトソーシングで補完する「SOCライト」であれば、中小企業でも現実的なコストでセキュリティ監視体制を構築できます。まずはM365の監査ログ有効化とアラートポリシーの設定から始めましょう。
セキュリティ監視体制の構築について相談したい方は、情シス365の無料相談をご利用ください。