Microsoft Sentinelを無料で試す!Entra ID連携による格安スモールスタート術
- Microsoft Sentinel
- SIEM 無料導入
- Entra ID ログ連携
- セキュリティ運用コスト削減
- SOC サービス
以前、弊社の西田がSentinelのコストが不安?Log Analyticsの料金を抑える3つのポイントという記事を書きましたが、今回はそもそもコストをほとんどかけずにSentinelを利用する方法を解説します。
「SIEMの利用を検討している。自社でMicrosoft365を利用しているので、同じMicrosoft製品であるSentinelが気になっているけど、料金体系があまりよく分かっていないので利用に踏み出せない」という方は是非参考にしてください。
結論
まず最初に結論だけ書きますと、Entra IDのログ(サインインログと監査ログ)のみを連携すればOKです。
ログ保管期間はデフォルトの90日間に設定しておきましょう。
ユーザー数100名程度であれば利用料は1,000円/月程度だと推測されます。
また、Microsoft E5ライセンスをご利用であればほぼ無料で使える可能性が高いです。
以下、詳細を解説します。
Sentinelの料金体系
上で紹介した記事にも記載がありますが、主に以下の2点で料金が発生します。
(詳細知りたい方は リンク:公式ドキュメントをご確認ください)
ログの取り込み(データ量で課金)
ログの保管(保管日数とデータ量で課金)
ただ、ログの保管は90日間であれば何GBであっても無料なので、ひとまず様子見たいという方はデフォルトの90日間にしておきましょう。
ログの取り込み
あとはログの取り込みを安く済ませる方法があればいいですが、ログ量で課金されるのであまりたくさんは取り込みたくありません。
しかし、ログを全然取り込まなかったせいでSentinelの機能を活用できなかったらそれは本末転倒です。
そこで私が取り込みを推奨するのがEntra IDのログです。
なぜEntra IDなのか?
理由は主に2つです。
ログ量が多くない
Sentinelに分析ルールが豊富に存在している
ログ量が多くない
弊社実績などを踏まえて、ユーザー数100名程度であればログ量は月に0.7~1GB程度と想定しています。
1GBあたりの取り込み料金は903.68円(2025年6月1日現在)であるため、以下のように想定されます。
| ユーザー数 | 想定利用料 |
|---|---|
| 100名 | 900円前後 |
| 500名 | 4,500円前後 |
| 1,000名 | 9,000円前後 |
月1万円かからず利用できるのであれば手を出しやすいのではないのでしょうか。
また、Microsoft 365 E5ライセンスを利用している場合、Sentinelへのログの取り込みに関して、一部のログは1ユーザー/日あたり最大5MB分が無料になります。
Entra IDのログはこの無料対象に含まれており、なおかつ1ユーザー/日あたり5MBはおそらく超えません。
したがって、Entra IDのログだけ取得するのであれば、どれだけユーザー数がいても無料で使える可能性が高いです。
(注意) ログ量はあくまでも弊社実績などを前提とした推測値となります。Entra IDに連携しているアプリケーション数などによってログ量は変化します。
Sentinelに分析ルールが豊富に存在している
SentinelはMicrosoft製品との連携が強く、その中でも特にEntra IDとの連携が強いため、分析のためのルールが豊富に用意されています。
皆さんがSIEMに期待する機能の一つに「SIEMがログを分析し、セキュリティ的に問題がありそうであればアラートを出してくれる」があると思いますが、それを手軽に実感できるのがEntra IDということです。
他の製品と連携してもいいのですが、その製品に対する分析ルールが存在していなければ、自分たちで分析ルールを作成しない限りSentinelはアラートを発報してくれません。
これはSentinelに限らずどのSIEMでも同じであるため、SIEMを導入検討されている場合はこの分析ルールがデフォルトで用意されているかどうかを確認するのが非常に重要になります。
最後に
Entra IDのログに連携対象を絞ることで、Microsoft Sentinelの特長を手軽に体感しつつ、コストを抑えて利用する方法について解説しました。
この記事が、貴社のセキュリティ強化の一助となれば幸いです。
ただし、Sentinelによってアラートが発報され、リスクの検知が可能になったとしても、そのアラートの内容を正しく理解し、適切に対応できる体制が整っているかどうかは別の課題です。
アラートが出ても内容が把握できず放置してしまえば、せっかく導入したSentinelも十分に活用できず、宝の持ち腐れとなってしまいます。
理想的には、セキュリティの専門家による24時間365日の運用体制(SOC)を構築することが望ましいですが、そのためだけに人材を確保するのは現実的に難しい企業も多いのではないでしょうか。
そこで当社では、Microsoft 365をご利用の企業様向けに、Entraを含むMicrosoft環境全体の監視・運用を支援するSOCサービスをご提供しております。Sentinelの構築も可能です。
さらに、Microsoft 365以外にも以下のセキュリティ製品に対応しており、複数の製品を統合的に監視・運用することで、貴社のセキュリティ体制をより強固なものにいたします。
・WAF(AWS WAF, Azure WAF等)
・EDR(Cybereason, CrowdStrike等)
・SaaS(Slack, Dropbox等)
・Firewall(Fortigate,Meraki等)
・PC操作ログ(SKYSEA Client View, LANSCOPE Endpoint Manager等)
セキュリティの運用負担を減らしながら、より強固な防御を実現したい企業様は、ぜひ「Colorkrew Security」の導入をご検討ください。
