Sentinelコストが想定の3倍に膨らむ理由

Microsoft Sentinelを導入した中堅企業からよく聞く悩みは「使い始めて半年で月額コストが想定の3倍になっていた」というものです。Sentinel自体は強力なクラウドSIEMですが、Log Analytics Workspaceに流すデータ量で課金されるため、設計を間違えると料金が雪だるま式に増えます。

典型例:M365 E5+Defender XDR+Sentinelを導入した500名規模企業で、初月50万円→3か月後120万円→6か月後200万円——というケース。本記事では、月額100万円を50万円まで圧縮した実例の設計を9つのポイントに分解して解説します。Sentinel自体の概要はMicrosoft Sentinelガイドを参照。

💸 料金体系の基本(2026年5月時点)
  • Analytics Logs:Pay-As-You-Go約3.5ドル/GB(東日本)。検索・アラート・相関分析の標準階層
  • Basic Logs:約0.85ドル/GB。検索特化、8日間保持、KQL制限あり
  • Auxiliary Logs:約0.15ドル/GB(プレビュー)。低頻度クエリ向け、30日保持
  • Archive Logs:約0.026ドル/GB/月。長期保管、検索別料金
  • Commitment Tier:100GB/日〜の事前購入で15〜40%割引
  • Sentinel機能料金:上記取り込み単価に上乗せ(約2ドル/GB前後)

まず現状把握:どのテーブルが食っているか

削減の第一歩は「どのテーブルが何GB/日を消費しているか」を可視化することです。Log Analytics → 使用状況とコストの見積もりから確認できますが、KQLで詳細分析するほうが正確です。

📊 取り込み量分析KQL(過去30日)
Usage
| where TimeGenerated > ago(30d)
| where IsBillable == true
| summarize TotalGB = sum(Quantity) / 1024 by DataType, Solution
| order by TotalGB desc

典型的には上位5テーブルで全体の80%以上を占めます。多いのは SecurityEvent、CommonSecurityLog、SigninLogs、AuditLogs、Syslog、AzureDiagnostics、OfficeActivity。

9つのコスト削減設計

1. データコネクタの選別(最大効果)

もっとも効果が大きいのが「使わないコネクタを止める」こと。M365 Defenderコネクタは無料ですが、Office Activity・SigninLogs・AuditLogsを有効化するとそれ自体は無料でもAlert RuleやWorkbookで再取得が課金される設計があります。

  • 無料取り込み対象:Microsoft Defender XDRの主要テーブル(DeviceEvents、EmailEvents等)はM365 E5契約があれば無料
  • 有料化されやすい:SecurityEvent(Windows監査ログ)、Syslog(Linux/ネットワーク機器)、AzureDiagnostics、CommonSecurityLog
  • 判断基準:「過去90日に検出ルールで参照していないテーブル」は止めるか別階層へ

2. SecurityEventの取り込みフィルタ(DCRの活用)

WindowsイベントログのSecurityEventは全体の30〜50%を占めることが多く、最大の削減対象。Data Collection Rules(DCR)で「Common」「Minimal」「All」を選び、不要なイベントIDを除外します。

  • All:全イベント取り込み(コスト高)
  • Common:主要セキュリティイベント約30種(推奨)
  • Minimal:最低限のログオン関連(コスト最安)
  • カスタム:必要なイベントIDのみKQLフィルタで指定

例:イベントID 4624(成功ログオン)が大量に来るが、ローカルログオン(Type 2)だけに絞ると半減できます。

3. Basic Logsへの転送(80%削減可能なテーブル)

2026年現在、多くのテーブルがBasic Logsへの転送に対応しています。Analyticsの1/4のコストで済むため、検索でしか使わないログは積極的に転送。

  • Basic Logs向き:Syslog、AzureDiagnostics(ファイアウォール/プロキシ)、Custom Logs、CommonSecurityLog(一部)
  • 注意:8日保持、KQLは検索系のみ(summarize、join、agg等は制限あり)、アラートルール不可
  • 設計:「アラート対象は Analytics、調査用は Basic」と用途別に分離

4. Auxiliary Logsの活用(プレビュー〜段階的GA)

2025年に提供開始したAuxiliary Logsは、Basicよりさらに安く0.15ドル/GB前後。長期保管前提のログ(DNSログ、プロキシログ、ファイル監査)に有効です。

  • 30日保持+Archive移行で長期保管
  • クエリ性能はBasicより遅い
  • 低頻度クエリ専用(月数回程度の調査用途)
  • 2026年中に対応テーブルが順次拡張中

5. Commitment Tierの活用

取り込み量が安定して100GB/日以上あるなら、Pay-As-You-GoからCommitment Tierへ切り替えると即座に割引が効きます。

Tier必要GB/日割引率
100GB100GB約15%
200GB200GB約25%
500GB500GB約30%
1,000GB1,000GB約35%
2,000〜5,000GB2,000+約40%

注意:30日コミットなので、明らかに継続するボリュームでのみ契約。取り込み量が変動する初期3か月は様子見が安全。

6. Summary Rulesで集計テーブルを作る

2024年GAしたSummary Rules(Aggregation Rules)は、生ログを集計してから保管する仕組み。例:1日数億行のサインインログを「ユーザー×IP×成否」で集約すると数万行に圧縮できます。

  • 長期保管が必要だが、行単位の検索は不要なログに適用
  • 集計後はAnalyticsテーブルとして安価に保管
  • Archive併用で年単位の保管コストを大幅圧縮

7. 不要なAuditログの停止/フィルタ

AzureDiagnostics や AuditLogs の中にはノイズ的なログが大量に含まれます。DCR transformでフィルタ。

  • 正常終了の連続ログ(Healthcheck、ヘルスシグナル等)
  • サービスアカウントの大量の自動アクセスログ
  • テスト環境からのログ流入
  • 非業務時間帯の自動バックアップ系

注意:監査要件で必要なログ(J-SOX、ISMS)は削減対象から外す。M365ログ管理も参照。

8. Archive+Search Jobsの活用

長期保管が必要なログ(規制要件で5〜7年保管等)は、AnalyticsからArchive階層へ移行。Archive保管は約0.026ドル/GB/月。検索時のみSearch Jobs課金(GBあたり数ドル)。

  • 3か月以降のログをArchiveへ自動移行
  • 事件発生時のみSearch Jobsで掘り起こす
  • 規制保管期間に合わせて自動削除

9. Defender XDR連携の活用(M365 E5)

M365 E5契約があるなら、Defender XDR(旧Microsoft 365 Defender)のAdvanced HuntingでSentinelに取り込まずに直接調査できます。エンドポイント・メール・ID関連のテーブルはDefender側で30日無料保持

  • Sentinelに二重取り込みしない
  • 必要時のみDefender→Sentinelにマージ
  • クロスドメイン分析時のみSentinelで突合

詳細はDefender XDR運用ガイドを参照。

削減実例:月100万円→50万円のビフォーアフター

項目BeforeAfter削減
SecurityEvent(All)月60万円Common+DCRフィルタで月18万円-70%
Syslog/CommonSecurityLog月15万円Basic Logs転送で月4万円-73%
AzureDiagnostics月10万円不要列フィルタ+Basicで月3万円-70%
OfficeActivity月8万円Defender XDR連携で無料-100%
Custom Logs月5万円Auxiliary Logsへ移行で月1万円-80%
その他月2万円変更なし-
Commitment Tier適用なし500GB/日で-30%-30%
合計月100万円月50万円-50%

3か月の見直しで投資回収。チューニング作業の人月(外部支援2〜3人月、社内0.5人月)を加味しても、半年以内に投資回収できる。

よくある落とし穴

  • 「とりあえず全ログ取り込み」で開始:最初の設計で大半が決まる。導入時に取捨選択を必ず実施
  • Commitment Tierを早期契約:取り込み量が安定する前に契約すると無駄。3か月の実測後に検討
  • Basic Logsに変えてアラート機能が動かない:Basicはアラートルール対象外。検出に使うテーブルはAnalyticsのまま
  • Archive移行で監査要件違反:監査要件で「即時検索可能」が要求されている場合、Archiveは不可
  • DCR変更で過去ログとの整合性が崩れる:スキーマ変更時は過去データへの影響を確認
  • 削減のために検出ルールを止める:本末転倒。検出を維持しつつ階層分けで削減
  • Defender XDR連携を二重取り込みする:Defenderテーブルは原則Sentinelに重複取り込みしない

3か月削減プロジェクトの進め方

やること
1〜2週現状把握:テーブル別取り込み量分析、検出ルールで参照中のテーブル特定
3〜4週SecurityEvent DCR設計、Common+カスタムフィルタへ変更
5〜6週Syslog/CommonSecurityLogをBasicへ転送、AzureDiagnosticsフィルタ
7〜8週Summary Rules設定、Archive移行設定
9〜10週1か月の実測値確認、Commitment Tier契約判断
11〜12週運用ドキュメント整備、月次レビュー会議の設定

まとめ

Sentinelのコストは「取り込み設計の良し悪し」で2倍以上の差が出ます。M365 E5でDefender XDRを使っているなら、まずは無料テーブルを最大限活用し、Analytics/Basic/Auxiliary/Archiveの4階層を用途で使い分けるのが鉄則です。削減幅が大きい順に「SecurityEvent DCR → Basic Logs転送 → Defender XDR連携 → Commitment Tier」と進めると確実に効果が出ます。

BTNコンサルティングでは、情シス365のセキュリティパック/フルサポートで、Sentinelのコスト分析・削減設計・運用引継ぎまでを伴走支援しています。「想定の3倍に膨らんで困っている」「ライセンスをどう最適化するか」といった段階で60分の無料相談からお気軽にご相談ください。

関連記事・参考リンク
Microsoft SentinelガイドDefender XDR運用ガイドM365ログ管理無料で始めるSentinelEDR比較2026クラウドコスト最適化Microsoft Learn: Sentinel 価格 ↗Microsoft Learn: Logs Data Platform ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。