Microsoft Sentinel（旧Azure Sentinel）とは？SIEMとSOARの概要も解説

Microsoft Sentinelとは、セキュリティ情報イベント管理（SIEM）と、セキュリティ運用業務の自動化（SOAR）機能を備えたクラウド型セキュリティサービスです。サイバー攻撃の検出、可視化、脅威への対応までを一気通貫で行えるソリューションである点が特長です。

これは、Microsoft社のクラウドプラットフォームであるAzureのセキュリティサービスの1つで、2019年にリリースされました。以前は「Azure Sentinel」という名称でしたが、2021年に「Microsoft Sentinel」に変更されたという経緯があります。

Microsoft Sentinelを利用することで、広範なセキュリティログやツールを統合し、企業のデジタル資産全体を保護することが可能になります。AIの利用によって脅威を効率的に調査・検出して可視化し、企業のセキュリティ対策を強化できる点がメリットです。

SIEM（Security Information and Event Management）とは、ネットワーク監視や、サイバー攻撃・マルウェア感染などのインシデント検知を目的とした仕組みのことです。日本語では「セキュリティ情報イベント管理」と訳されます。

複数のITデバイスログを集約して一元管理し、すべてのログの相関分析を実施することで、インシデントを詳細に把握できるようになり、迅速な対応につながります。

SOAR（Security Orchestration, Automation and Response）とは、セキュリティ運用業務の自動化を実現する技術やソリューションを指します。

複数のプラットフォームや外部情報などを集約・分析し、事前に定義されたプロセスに沿った業務を自動化します。さらに、発生したインシデントを管理して関係者へ通知を行うことも可能です。

セキュリティ運用業務の自動化により、セキュリティ担当者の負担が軽減される点がメリットです。

ここからは、Microsoft Sentinelでできることについて詳しく見ていきましょう。

Microsoft Sentinelでは、ログの収集と一元管理が可能になります。

企業によっては、複数のデバイスやクラウドサービスごとにセキュリティログが点在し、別々に保管されているケースもあるでしょう。

この場合、システム全体の状況をリアルタイムで把握することが困難です。また、ログを横断的に分析できず、セキュリティ担当者の負担も増大してしまうでしょう。その結果、効率性が低下し、脅威を見逃すなど被害拡大のリスクも想定されます。

そこで、Microsoft Sentinelを使ってセキュリティログを集約することで、効率性の向上が期待できます。Microsoft Sentinelにおけるデータ取り込みの標準的な方法として、「データ コネクト」という機能が挙げられます。豊富なデータ コネクターを利用でき、Microsoft社が提供する製品以外にも接続可能です。さまざまなデバイスやクラウドサービスで保管しているデータを、Microsoft Sentinelで一元管理できるようになる点がメリットです。

さらに、NTTドコモビジネスのソリューションを利用することで、拠点や国、製品別のMSSをまたいですべてのログを分析できる環境が整うため、業務効率化や運用コストの最適化に貢献できる点がポイントです。

各データソースをMicrosoft Sentinelに接続した後は、環境全体のアクティビティを監視できるようになります。Microsoft Sentinelでは、定期的に実行される脅威検出ルールを利用して、セキュリティログを監視できる体制を構築できるためです。

脅威が検出された場合には、アラートが生成されます。アラートはインシデントとして関連づけられ、調査を可能にします。

また、脅威の検出（分析）ルールにはいくつかのテンプレートが用意されているため、自社に適したルールを作成しやすいでしょう。以下の表で、具体的なテンプレートの例をご紹介します。

テンプレートの例	概要
スケジュールされたルール	一定の間隔で脅威の検出を実行し、必要に応じてアラートを出す。
ニアーリアルタイム（NRT）ルール	可能な限り最新の情報を提供するよう、1分間隔で脅威の検出を実行し、必要に応じてアラートを出す。
異常ルール	機械学習を用いて普段の動きを覚えておき、いつもと違う動きがあった場合にアラートを出す。
Microsoftのセキュリティ規則	Microsoftの他のセキュリティ製品が出したアラートを、自動でまとめてMicrosoft Sentinelでアラートを出す。

Microsoft Sentinelで脅威を検出した後にはアラートが生成され、インシデントとして関連づけが行われる流れです。

ここでいうインシデントとは、個々の証拠（アラート）、インシデントに関連する要素 （エンティティ）、セキュリティ専門家やAIなどによって収集された分析情報、調査の過程で実行されたすべてのアクションのコメントやログなど、脅威に関するMicrosoft Sentinelのファイルの名称を指します。

Microsoft Sentinelでは、調査に必要な機能が1箇所に集約されていて、攻撃経路や影響範囲などを調査できます。

加えて、UEBA（User and Entity Behavior Analytics） と呼ばれるセキュリティツールも利用可能です。ユーザーとエンティティ（ホスト、IPアドレス、アプリケーションなど）の行動分析を通じて異常なアクティビティを特定でき、調査の優先順位付けなども可能にします。

冒頭で紹介したSOARの仕組みによって、インシデント対応の自動化が可能です。

通常、セキュリティ担当者は大量のセキュリティアラートへの対応に追われる状況が多いでしょう。しかし、そのなかには誤検知や過検知も多数含まれるため、真に注意すべき脅威が埋もれて見逃すリスクが高まってしまいます。

そこで、Microsoft Sentinelを利用することで、オートメーションルールとプレイブックにもとづいて、アラートやインシデント発生時の対応を自動化できます。それぞれの概要は以下の通りです。

インシデントへの自動対応	概要
オートメーションルール	インシデント発生時、トリアージ（対応の優先順位決め）や、セキュリティ担当者向けのタスクリスト作成など、必要な処理を自動で進めるルール
プレイブック	脅威に対して迅速に対応するのに役立つワークフロー

なお、NTTドコモビジネスで環境構築する場合には、誤検知を自動で排除することも可能です。たとえば、セキュアWebゲートウェイで「新しいドメインへのアクセス」を検知した場合、レピュテーションサイトでそのドメインの評価を確認し、悪性サイトを示すスコアで合った場合にはセキュアWebゲートウェイのブラックリストへドメインを登録します。誤検知の場合はインシデントは自動的にクローズされます。

ここからは、Microsoft Sentinelを導入するメリット3点をご紹介します。

Microsoft Sentinelの導入によって、セキュリティ運用の効率化が期待できる点が大きなメリットです。Microsoft Sentinelを用いることで、以下のような運用の自動化・効率化が可能になります。

• ログの一元管理
• 脅威の検出
• ログの自動分析
• インシデントへの自動対応

Microsoft SentinelではAI(機械学習)を活用でき、脅威を高精度で検出できる点もメリットです。

従来、セキュリティ担当者の経験に依存していた部分を、Microsoft SentinelのAIを使用することで調査・検出を強化できます。

学習済みのデータとアクティビティを比較することで、人間が見つけるのは難しい「偽陰性」のインシデントも検知できるため、検知漏れの防止が期待できます。

Microsoft Sentinelの導入により、セキュリティ担当者の業務負担が軽減すると考えられます。

サイバー攻撃は年々手口が巧妙化し、「侵入成功から侵害開始までの平均時間は62分、初期侵入後、被害が顕在化するまでの平均日数は6日」というデータもあります。攻撃の被害を最小化するには「いかに攻撃を迅速にとらえ、早期に攻撃を封じ込められるか」が大切です。

しかし、「インシデント対応の速度に不安がある」「セキュリティ担当者の負担が大きい」「人も予算も限られている」といった課題を抱える企業も少なくありません。

そこでMicrosoft Sentinelの自動対応の仕組みを活用することで、インシデント対応への負荷を軽減できるでしょう。

ここからは、Microsoft Sentinelを導入するメリット3点をご紹介します。

NTTドコモビジネスは、セキュリティ運用効率化ソリューション「マネージドSIEM/SOAR」を活用した「統合SOC」の運用体制構築を支援しています。

統合SOC体制を構築することで、従来のように拠点・国・製品別・MSSにログや運用体制が分散していた状況から脱却でき、セキュリティ運用の一元化が実現します。Microsoft Sentinelを基盤としてSIEMにセキュリティログを集約し、SOARとの連携により自動対応を実施できるよう、支援が可能です。

さらに、NTTドコモビジネスのAIアナリストやSOCアナリストがログを横断的に相関分析。SOARの自動対応では対処できない場合には運用者がリモートから手動で対応し、サービスデスクと連携してお客さま対応を行うため、窓口が1つになります。24時間365日体制で迅速なインシデント検知・対処を行うのも特長です。

グループ会社・海外拠点を含めたセキュリティログの集約によって、企業全体のセキュリティ強化に貢献します。無駄を省き、最適な投資で最大の効果を実現できるのが、統合SOC体制を利用するメリットだといえます。

NTTドコモビジネスは、グローバル統合SOCの導入・運用実績が豊富で、全世界で合計40,000IDを運用した事例も。また、一部製品における自動化率は95％の実績で、お客さまの業務負担軽減を実現しています。

一般的に、Microsoft Sentinelは導入や維持管理が懸念されがちなソリューションですが、NTTドコモビジネスではこれまで蓄積した運用ノウハウを活用し、分析ルール・プレイブックの作成・開発・不具合改修などマネージド型で柔軟に取り組んでいます。また、Microsoft社と強固なパートナーシップにより、AIを含めたセキュリティの専門知識を磨き続けている点も特長です。

「セキュリティ担当者の運用負担が大きい」「リソースが限られている」「これからグローバル統合SOC体制をめざしたい」という課題を抱えている企業のご担当者さまは、ぜひ一度NTTドコモビジネスへお問い合わせください。

Microsoft Sentinelに関するよくある質問をまとめました。

Microsoft Sentinelの価格体系として、「従量課金制」または「コミットメントレベル（固定料金）」が採用されています。

従量課金制はデータ量に対してギガバイト(GB)ごとに課金される方式です。

一方、コミットメントレベル（固定料金）では選択したレベルにもとづいて固定料金が請求される方式です。割引が適用され、従量課金制よりも価格を抑えられる場合があります。

なお、Microsoft Sentinelには無料試用版があり、31日間は無料で使用できます。最大10GB/日のログを取り込んで試すことが可能です。

Microsoft Defender XDRもまた、Microsoftのセキュリティソリューションの1つです。エンドポイントのデバイス、ID、メール、データ、アプリケーションを保護する目的でサイバー攻撃を可視化し、調査・対応によりセキュリティを強化するソリューションです。

Microsoft Defender XDRは、エンドポイントやアプリケーションなどMicrosoft 365環境全体について、脅威と脆弱性を継続的にスキャンする役割を持ちます。一方、Microsoft Sentinelは、収集したインシデントに関するデータと行動の傾向を分析して、疑わしいアクティビティ、異常、脅威を検出する点が違いだといえるでしょう。

2つのセキュリティソリューションを組み合わせて利用するケースも考えられます。まず、Microsoft Defender XDRでMicrosoft 365環境全体の監視体制を築き、そこへMicrosoft Sentinelを連携させることで、他拠点の環境も含めてアラート、調査、対応の自動化を可能にするといった使い方です。

なお、両者の共通点として、調査・デバイスの分離・データ検疫などの自動修復タスクが実装されている点が挙げられます。

本記事ではMicrosoft Sentinelの概要や、導入によって実現すること、利用メリットなどについて解説しました。

サイバー攻撃の手口は、年々巧妙化しています。企業がひとたび攻撃の被害に遭えば、自社の業務停止や取引先・顧客への影響など広範な損害が想定されるため、未知の脅威にも迅速に対応できる体制構築が求められています。

Microsoft Sentinelを導入することで、「いつもと違う動き」を自動でとらえて脅威を検出し、アラート生成や隔離など一気通貫で自動化が可能になります。これにより、セキュリティ担当者の業務負荷を大きく低減できるでしょう。

Microsoft Sentinelの導入支援は、NTTドコモビジネスにぜひご相談ください。特にグローバルに多拠点を展開する企業様に対しての支援実績が豊富です。まずは以下のお問い合わせフォームよりお気軽にご連絡ください。