LASSIC Media らしくメディア
SOCによるセキュリティ監視運用を外注する進め方|MDR・EDR運用を委託する範囲と費用の判断軸
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- SOCセキュリティ監視の外注では「委託できる範囲」と「社内に残すべき判断」を切り分けることが運用品質の前提になります
- MDR・MSSP・SOC as a Serviceはカバー範囲と価格モデルが異なり、自社の検知ツール(SIEM/EDR)の有無によって最適な委託形態が変わります
- ベンダー選定では応答時間・国内データ保管・エスカレーション手順の3点を契約前に確認することで、インシデント発生時の対応遅延リスクを抑えられます
目次
SOCセキュリティ監視の外注とは何か
SOC(Security Operations Center、セキュリティ運用センター)によるセキュリティ監視運用の外注とは、自社システムへのサイバー攻撃やセキュリティ脅威をリアルタイムで検知・分析・対応する業務を、専門のマネージドセキュリティサービス事業者(MSSP)や MDR(Managed Detection and Response)プロバイダーに委託する取り組みを指します。
単発の脆弱性診断や一般的な死活監視とは異なり、SOC外注の本質はセキュリティ特化の継続的な監視体制を外部に担わせる点にあります。ログ収集・脅威分析・アラートの優先度判断・インシデントのエスカレーションまでを一体で提供するのが特徴です。
SOC・MDR・SIEM・EDRの役割と関係
セキュリティ監視の文脈で登場する主要な用語の関係を整理しておきます。SOCとは、組織のネットワーク・システムを継続的に監視し、脅威を検知・対応する専門チームまたは機能を指します。
SIEM(Security Information and Event Management、セキュリティ情報イベント管理)は、複数のシステムからログを集約・相関分析するプラットフォームです。EDR(Endpoint Detection and Response、エンドポイント検知・対応)は、PCやサーバーなど端末側の不審な挙動をリアルタイムで検知するツールです。
MDR(Managed Detection and Response)は、EDRやSIEMの運用を含め、脅威の検知・調査・対応を一体で提供するマネージドサービスです。つまり「MDRを外注する」とは、ツール導入だけでなく、そのツールを動かすSOC機能ごと委託することを意味します。
セキュリティ監視の外注が選ばれる背景
IPA(独立行政法人情報処理推進機構)が公表した「情報セキュリティ10大脅威2025」*1では、ランサムウェア攻撃が10年連続1位、サプライチェーン・委託先を狙った攻撃が7年連続2位を記録しています。組織を標的にした攻撃の高度化・継続化が鮮明になっています。
こうした脅威に対応するには、24時間365日体制の監視と、最新の攻撃手法に精通したアナリストが必要です。しかし専門人材の確保・育成には時間とコストがかかります。外注によって監視体制を即時に整えることが、現実的な選択肢として注目されています。
外注できる監視・運用の範囲と限界
SOCの外注を検討するうえで、委託可能な業務と社内に残すべき判断を明確に区別することが重要です。範囲の設定を誤ると、インシデント発生時に「誰が何をするか」が曖昧になり、対応の遅延につながります。
委託可能な5つの領域
一般的に外注対象となる業務は次の5領域です。
- ログ収集・一元管理:ファイアウォール・サーバー・EDRなど複数ソースのログをSIEMで集約します
- アラートのトリアージ:大量の検知アラートを優先度別に分類し、誤検知(False Positive)を除去します
- 脅威ハンティング:既知シグネチャでは検知できない潜伏型の脅威を能動的に探索します
- インシデントの初動対応・エスカレーション:侵害が確認された際に隔離措置や社内担当者への通報を行います
- 定期レポーティング:月次・週次でのセキュリティ状況レポートを提出します
社内に残すべき判断・承認の範囲
一方、外部ベンダーに完全委任すべきでない領域もあります。システムの業務停止を伴う対処(感染端末のネットワーク切断・業務サービスの停止)は、業務影響の判断が必要なため、最終意思決定は社内の責任者が行うべきです。
また、個人情報を含むログデータの取り扱いや、監督官庁への報告義務(個人情報保護法に基づく報告など)は法的責任を伴うため、社内CISO・法務との連携が不可欠です。「検知・分析・初動提案はベンダー、承認・実行は社内」という役割分担を契約・SLAに明記することが求められます。
委託範囲の境界をどう引くか
実務上は「プレイブック」と呼ばれる対応手順書を事前に合意しておく方法が有効です。「このタイプのアラートが発生したらベンダーが自動的に隔離する」「このレベルのインシデントは社内担当者に電話で30分以内に連絡する」という形で権限と手順を文書化します。
プレイブックが未整備のまま委託を開始すると、実際のインシデント時にベンダーと社内で対応が二重になるか、どちらも動けずに時間を失うリスクがあります。委託範囲の境界設定は、SLA(サービスレベル合意)と合わせて契約前に確定させることが大切です。
MDR・EDR運用委託の違いと選び方
セキュリティ監視の外注形態は複数あり、自社の現状(検知ツールの有無・予算・求めるサービスレベル)によって最適な選択肢が変わります。主要な3形態の違いを整理します。
MDRとEDR運用委託の違い
EDR運用委託とは、すでに社内に導入済みのEDRツール(CrowdStrike・Microsoft Defender for Endpoint等)の監視・アラート対応を専門事業者が代行するサービスです。ツールは自社所有のまま、運用業務だけを外部に委ねる形になります。
MDRはそれより広いスコープをカバーします。EDRに加えてSIEM・ネットワーク監視・クラウド環境の監視を統合し、脅威の調査・封じ込め・復旧支援まで含めることが一般的です。既存ツールが未整備でも、MDRプロバイダーが監視基盤ごと提供するケースもあります。
MSSP・SOC as a Service・MDRの比較
| 形態 | カバー範囲 | ツール提供 | 主な用途 |
|---|---|---|---|
| MSSP (Managed Security Service Provider) |
ファイアウォール・IDS/IPS・ログ監視など幅広いネットワークセキュリティ管理 | 事業者が提供または既存活用 | セキュリティ機器の運用代行・ログ管理が主目的 |
| SOC as a Service | SIEM連携によるログ集約・アラート分析・インシデント対応 | SIEMプラットフォームをクラウド提供 | 自社でSIEMを持たない組織が監視機能ごと利用 |
| MDR (Managed Detection and Response) |
EDR・SIEM・ネットワーク・クラウドを統合した脅威検知・調査・対応 | EDR等のエンドポイント監視基盤を含む | 高度な標的型攻撃・ランサムウェアへの迅速な検知・封じ込め |
自社にすでにEDRやSIEMが導入済みであれば、そのツールに対応したMSSP・MDRを選ぶことで移行コストを抑えられます。ツールが未整備の状態からセキュリティ監視体制を構築したい場合は、基盤ごと提供するMDRまたはSOC as a Serviceが選択肢になります。
SOC外注の費用と契約モデル
SOC外注の費用は、監視対象の規模(ログ量・エンドポイント数)・カバー範囲・応答時間のSLAによって大きく異なります。以下は市場参考値であり、一次資料による公表価格ではありません。実際の費用は各ベンダーへの見積もりで確認することを推奨します。
費用の構成要素
SOC外注費用は主に3つの要素で構成されます。
- 初期費用:ログ収集エージェントの導入・SIEM設定・プレイブック作成など初期設計の費用
- 月額固定費:アナリスト人件費・監視基盤の維持費・レポーティング費用
- 変動費:インシデント対応工数(実際の調査・封じ込め支援)・ログ量超過費用
市場参考値として、エンドポイント規模が数十台程度の中小規模組織向けMDRは月額数十万円台から、大規模エンタープライズ向けのフルマネージドSOCサービスでは月額数百万円台の水準が一般的とされています(市場参考値・一次資料による確認はできていません)。
契約形態の選び方
契約形態は「固定費型」「従量型」「ハイブリッド型」の3種があります。固定費型は予算の見通しが立てやすい反面、監視量が少ない時期でもコストが発生します。従量型はログ量・インシデント件数に応じた課金で、監視対象が変動しやすい環境に向いています。
初期はハイブリッド型(基本監視は固定費+インシデント対応は従量)を選び、実績値が蓄積されたら契約を見直す方法が、予算管理と柔軟性の両立につながります。
ベンダー選定で確認すべき7つのポイント
SOC外注のベンダー選定は、費用だけで判断すると運用開始後にミスマッチが発生しやすい領域です。以下の7点を事前に確認することで、インシデント発生時のリスクを抑えられます。
体制・人員・応答時間
日本語での対応が可能か、24時間365日体制かどうかを確認します。アラート発生から応答完了までのSLAを数値で示してもらうことが大切です。「15分以内に一次応答」「30分以内にエスカレーション」といった具体的な合意がない場合は、インシデント発生時に対応の遅延が起こりやすくなります。
アナリストの資格・経験(CISSP・GIAC等)や、担当するアナリストが交代する際の引き継ぎ体制も確認項目です。チームの専門性が委託品質に直結します。
SIEM・EDR製品との互換性と移行サポート
自社がすでに利用しているEDRやSIEMとの連携が取れるかどうかを事前に確認します。ベンダー指定のツールに切り替えが必要な場合、追加の導入費用と並走期間が発生します。既存環境をそのまま活用できるベンダーを選ぶことで、移行コストと期間を圧縮できます。
国内法規制・データ保管場所・契約解除条件
ログデータや解析結果の保管先が国内サーバーかどうかを確認します。個人情報を含むログを海外に送信する場合は、個人情報保護法の第三者提供規制の観点から事前の整理が必要です。また、契約解除時のデータ返却・削除手順が明確に定められているかどうかも確認しておきます。
解約条件が不透明なベンダーは、ロックイン(乗り換えコストが高くなる状態)につながるリスクがあります。最低契約期間・中途解約時の違約金・データポータビリティの条件を契約前に確認することが大切です。
| 確認ポイント | なぜ重要か | 確認方法 |
|---|---|---|
| ①日本語対応・24h365d体制 | 国内企業のインシデントは深夜・早朝にも発生します | SLAにアナリスト応答時間を明記してもらう |
| ②初動応答SLA | ランサムウェアの拡散は数十分単位で進みます | 「15分以内一次応答」など数値化して合意 |
| ③自社EDR/SIEMとの互換性 | ツール切り替えで余分なコスト・期間が発生します | 現行ツール名とバージョンを提示してPoC確認 |
| ④脅威インテリジェンスの更新頻度 | 古いシグネチャは新型攻撃を検知できません | 脅威フィードの提供元・更新サイクルを確認 |
| ⑤アナリストの資格・経験 | 担当者の質が検知精度・対応速度を左右します | CISSP・GIAC等の資格者比率を開示依頼 |
| ⑥データ保管場所・法令適合 | 個人情報を含むログの海外移転は法的整理が必要です | データセンター所在地と個人情報処理方針を書面確認 |
| ⑦契約解除・データ返却条件 | 不透明な解約条件はベンダーロックインの原因になります | 解約予告期間・移行サポート・データ削除手順を契約書で確認 |
外注移行の進め方(4ステップ)
SOC外注への移行を円滑に進めるには、準備から定着まで段階的に進めることが大切です。以下の4ステップが実務上の標準的な進め方です。
ステップ1:現状のログ収集・監視範囲の棚卸し
委託を開始する前に、現在どこからどのようなログが出力されているかを整理します。対象となるシステム(ファイアウォール・サーバー・クラウド環境・エンドポイント)と、それぞれのログ形式・出力先を一覧化します。
この棚卸しが不十分なまま委託を開始すると、ベンダー側が監視できない「死角」が生まれ、侵害が検知されないリスクがあります。既存のログ管理ツールの有無・ログ保管期間の設定も合わせて確認しておきます。
ステップ2:委託範囲とSLAの定義
「外注できる監視・運用の範囲と限界」で整理した内容を踏まえ、委託範囲を文書化します。監視対象システム・アラート対応フロー・エスカレーション先・応答時間を明記したSLA草案を作成し、ベンダー候補との合意形成に使います。
このSLA草案は、複数ベンダーへのRFP(提案依頼書)を作成する際の基準にもなります。曖昧な要件書では価格の比較が難しくなるため、監視対象の規模(エンドポイント数・月間ログ量の目安)を数値で示すことが大切です。
ステップ3:RFP・PoC・ベンダー評価
複数ベンダーにRFPを送付し、提案内容を評価します。価格だけでなく、「前述の7点確認」をスコアリングシートに落として定量的に評価する方法が選定の一貫性を確保します。
最終候補に絞ったら、PoC(概念実証)として2〜4週間の試験運用を依頼することが推奨されます。実際の自社環境に接続して検知精度・レポートの質・対応スピードを確認することで、契約後のミスマッチを防げます。
ステップ4:移行・並走・定着
本番移行時は、旧来の監視体制(社内担当者の手動確認など)とベンダー監視を一定期間並走させることが大切です。並走期間中に検知の重複・漏れ・プレイブックの不備を洗い出し、本格的な委託体制に切り替えます。
定着後も月次レビューでアラート件数・対応時間・誤検知率を確認し、SLAの達成状況を定期的に評価することが運用品質の維持につながります。年1回の契約更新時には委託範囲の見直しも行います。
まとめ:SOC外注の3つの判断軸
本稿では、SOCによるセキュリティ監視運用の外注について、委託範囲・サービス形態の比較・費用・ベンダー選定・移行ステップを整理しました。要点を3つに集約すると次の通りです。
第一に、委託範囲の境界設定が運用品質を左右します。「検知・分析・初動提案はベンダー、承認・実行は社内」という役割分担をプレイブックとSLAで文書化することが出発点です。第二に、MSSP・MDR・SOC as a Serviceの違いは「自社ツールの有無」と「求めるカバー範囲」で選別できます。EDR/SIEMが整備済みなら運用委託から始め、未整備なら基盤ごと提供するMDRが選択肢になります。第三に、ベンダー選定では費用より「応答時間SLA」「データ保管場所」「契約解除条件」の3点を契約前に確認することが、後々の運用リスクを抑えるうえで大切です。
よくある質問
SOC外注後にインシデントが発生した場合、責任はどこが負いますか?
最終的な事業上の責任は委託元(自社)に残ります。ベンダーはSLAに定めた範囲での検知・通報・初動支援を行いますが、システム停止の判断・監督官庁への報告・被害者への説明責任は発注側が負います。委託契約に「ベンダーの過失による検知漏れ時の賠償範囲」を明記しておくことで、費用負担の帰属を事前に整理できます。
EDRをまだ導入していない状態でも、SOC外注を始められますか?
始められます。MDR(Managed Detection and Response)プロバイダーの中には、エンドポイント監視ツールをサービスに含めて提供する形態があります。EDRを自社で先行導入してから外注する必要はなく、監視基盤ごと委託するアプローチも選択肢の一つです。ただし、この場合はツールの所有権・解約後のデータ扱いをあらかじめ確認しておくことが大切です。
SOC外注の契約期間はどのくらいが一般的ですか?
多くの場合、初回は1年契約が標準です。その後は半年または1年ごとの更新という形が一般的です。解約予告期間は1〜3か月前が多く、短期間での契約解除には違約金が発生するケースもあります。初めて委託する場合は、3〜6か月程度のPoC期間付き契約から始め、実績を確認してから長期契約に移行する方法が契約後のリスクを抑えられます。
社内のIT担当者が少ない場合、SOC外注は機能しますか?
機能します。むしろ少人数体制の組織こそ、24時間対応・専門アナリストによる分析をベンダーに委ねることで、限られた社内リソースを本業支援に集中させられます。ただし、エスカレーション時の社内窓口(1〜2名)と、インシデント対応の最終判断者を明確にしておくことが最低限必要です。完全無人ではなく「少人数×外注SOC」の組み合わせが現実的な体制です。
SOC外注と脆弱性診断はどう使い分けますか?
脆弱性診断は「現時点の脆弱性を洗い出す」単発の評価作業です。SOC外注は「継続的に脅威を監視・検知・対応する」常時稼働の運用体制です。両者は目的が異なるため、組み合わせて使うことが推奨されます。脆弱性診断で発見した弱点を修正し、SOC外注でその後の攻撃試行を継続的に監視するという流れが、セキュリティ管理の基本的なサイクルになります。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威2025」(2025年1月公表)
