SIEMとは

SIEM(Security Information and Event Management)は、各種システムのログを一元的に収集・分析し、セキュリティ上の異常を検知するプラットフォームです。ファイアウォール、メール、認証、クラウドサービスのログを横断的に分析し、単独では見えない攻撃パターンを検知します。

中小企業にSIEMが必要な理由

  • SCS評価制度★4ではログの相関分析が求められる
  • Microsoft 365の監査ログを日常的にチェックしている情シスは少ない
  • 不審なサインイン(海外IP、深夜アクセス、大量ファイルダウンロード)を早期に検知できる

Microsoft Sentinelの無料枠

Microsoft SentinelにはM365 E5/A5/G5ライセンスまたはM365 E5 Securityアドオンを持つテナント向けに、データ取り込みの無料枠が提供されています。

  • 無料取り込み対象:Entra IDサインインログ、Office 365監査ログ、Microsoft Defenderアラート等
  • 無料枠の容量:対象データコネクタからの取り込みは5MB/ユーザー/日まで無料
  • 注意:無料枠を超えた場合やその他のデータソースは従量課金

Business Premiumの場合はSentinelの無料枠はありませんが、Log Analyticsワークスペースに従量課金でログを送ることは可能です。

セットアップ手順

Step内容
1Azure PortalでLog Analyticsワークスペースを作成
2Microsoft Sentinelを有効化
3データコネクタからM365のログ取り込みを設定
4分析ルール(アラート)を設定
5インシデント通知の設定(メール通知等)

おすすめアラートルール

  • 海外IPからのサインイン成功:通常業務では発生しない国からのログインを検知
  • 短時間での大量ファイルダウンロード:情報持ち出しの兆候
  • グローバル管理者の追加:特権アカウントの不正な追加を検知
  • メール転送ルールの作成:外部へのメール自動転送は不正アクセスの典型パターン
  • MFA設定の変更:MFAの無効化を検知

まとめ

SIEMは大企業だけのものではなく、Microsoft Sentinelの無料枠を活用すれば中小企業でもセキュリティ監視を始められます。まずはM365のログ取り込みと5つの基本アラートルールから始めましょう。

参考リンク
IPA 情報セキュリティ ↗経産省 サイバーセキュリティ ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。