「ログは取っているが、誰も見ていない」「ランサムウェア被害の報告書で"ログが存在しない"と書かれる企業が後を絶たない」――警察庁「令和7年版サイバー空間をめぐる脅威の情勢」によれば、2025年にランサムウェア被害を受けた中小企業のうち、ログ管理体制が不十分だった割合は67%に達した。ログを集めていない企業はもちろん、「集めてはいるが活用できていない」企業も含めた数字だ。
SIEM(Security Information and Event Management)は、サーバー・ファイアウォール・クラウドサービスなど散在するログを一元収集し、相関分析によって不正アクセスや情報漏えいの兆候をリアルタイムに検知するための基盤である。かつては大企業の専用ツールだったが、クラウドSIEMの普及により中小企業にも手の届く価格帯に降りてきた。
結論から言えば、SIEM/ログ監視システムの導入費用はSaaS型で月額10〜100万円、オンプレミス型で初期500〜2,000万円が2026年時点の相場だ。本記事では、この費用レンジの根拠、Splunk・Elastic Security・Microsoft Sentinelの3製品比較、中小企業が最小コストで始めるステップ、そしてマネージドSOCとの組み合わせ方まで網羅する。
目次
- SIEM/ログ監視が中小企業に必要な3つの理由
- 費用相場の全体像――SaaS型 vs オンプレミス型
- 3大製品の徹底比較:Splunk・Elastic Security・Microsoft Sentinel
- 企業規模別の導入シミュレーション
- 費用を左右する5つの変動要因
- 中小企業が最小コストで始める導入ステップ
- マネージドSOCとの組み合わせ——自社運用か外部委託か
- よくある質問(FAQ)
- まとめ
- 付録
1. SIEM/ログ監視が中小企業に必要な3つの理由
理由1:法令・ガイドラインの要求水準が上がった
2026年10月施行のサイバー対処能力強化法は、インシデント発生時の「原因特定に必要なログの保存」を努力義務から実質的な義務へ格上げした。個人情報保護法の改正により漏えい時の72時間以内報告が厳格化されたこととあわせ、「ログが残っていない」は企業にとって致命的なリスクとなっている。
理由2:サイバー保険の引受条件が厳格化
サイバー保険の引受審査では、ログ管理体制の有無が保険料に直結する。ログの一元管理と90日以上の保存が確認できない場合、保険料が1.5〜2倍に跳ね上がるケースもある。「保険料の差額だけでSIEMの月額費用を回収できた」という事例も少なくない。
理由3:インシデント対応コストの圧縮
ログが整備されていない状態でランサムウェアに被害を受けると、外部フォレンジック調査だけで300〜800万円、事業停止による逸失利益を含めれば数千万円規模の損失になる。SIEMによるログの一元管理は、インシデント発生時の原因特定を数週間から数時間に短縮し、被害額を桁違いに抑える。
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
2. 費用相場の全体像――SaaS型 vs オンプレミス型
SaaS型(クラウドSIEM)
| 項目 | 費用目安 |
|---|---|
| 初期構築費(設計・ログソース接続・ルール設定) | 50〜300万円 |
| 月額利用料 | 10〜100万円 |
| 年間ランニングコスト | 120〜1,200万円 |
SaaS型はインフラ管理が不要で、ブラウザからアクセスできる。月額費用はログの取り込み量(GB/日)に比例するため、ログソースの選定がコスト管理の鍵となる。1日あたり1〜5GBの取り込みであれば月額10〜30万円、10〜50GBであれば月額30〜100万円がレンジだ。
オンプレミス型
| 項目 | 費用目安 |
|---|---|
| ハードウェア(サーバー・ストレージ) | 200〜800万円 |
| ソフトウェアライセンス | 200〜1,000万円 |
| 初期構築・チューニング | 100〜200万円 |
| 初期導入費合計 | 500〜2,000万円 |
| 年間保守・運用費 | 初期費用の15〜20% |
オンプレミス型は自社のデータセンターやサーバールームにSIEM基盤を構築する方式だ。データの外部流出リスクが許容できない業種(金融・医療・防衛関連)や、ログ量が膨大で従量課金では割高になるケースで選択される。ただし、ハードウェアの更新サイクル(3〜5年)ごとに追加投資が必要となる。
どちらを選ぶべきか
中小企業の8割にはSaaS型を推奨する。 初期投資を抑えられ、運用の技術的ハードルが低い。オンプレミス型は、ログ量が1日50GBを超える場合、または業界規制でデータの国外持ち出しが禁止されている場合に検討すればよい。
3. 3大製品の徹底比較:Splunk・Elastic Security・Microsoft Sentinel
製品概要の比較表
| 項目 | Splunk Cloud | Elastic Security | Microsoft Sentinel |
|---|---|---|---|
| 提供形態 | SaaS / オンプレ | SaaS / オンプレ / OSS | SaaS(Azure) |
| 課金モデル | データ取り込み量(GB/日) | ノード数 or データ取り込み量 | データ取り込み量(GB/日) |
| 月額目安(1日5GB) | 約25〜40万円 | 約10〜20万円 | 約8〜15万円 |
| 月額目安(1日20GB) | 約60〜100万円 | 約25〜50万円 | 約25〜45万円 |
| 無料枠 | Splunk Free(500MB/日) | Basic License(無料・自己管理) | Microsoft 365 E5利用時に一定量無料 |
| 強み | 検索言語SPLの柔軟性、App Store | OSS基盤、カスタマイズ自由度 | Microsoft 365/Azure AD統合 |
| 弱み | コストが最も高い | 運用に技術力が必要 | Azure依存 |
| 適合環境 | マルチクラウド・大規模環境 | 技術力のある組織・ハイブリッド | Microsoft中心の環境 |
Splunk Cloud——業界標準の検索力と拡張性
Splunkは世界シェアトップのSIEM製品だ。独自の検索言語「SPL(Search Processing Language)」により、あらゆるログデータに対して高度な分析クエリを実行できる。Splunk Appストアには5,000以上のアドオンが公開されており、ほぼすべてのIT製品・クラウドサービスとの連携が可能だ。
中小企業にとっての現実的な選択肢: 1日5GB以下の小規模環境でも月額25万円前後からとなり、3製品中もっとも高額だ。ただし、検索の柔軟性とエコシステムの豊富さは随一であり、複数ベンダーの製品が混在する複雑な環境では投資対効果が高い。まずはSplunk Free(1日500MBまで無料)で評価し、本格導入を判断するアプローチが有効だ。
Elastic Security——OSSの柔軟性とコストパフォーマンス
Elastic SecurityはオープンソースのElasticsearchをベースとしたセキュリティソリューションだ。ログ収集にはBeats(Filebeat、Winlogbeat等)やLogstashを使い、Kibanaでダッシュボードを構築する。SIEMの検知ルールも数百件がプリセットされており、コミュニティによる継続的な更新が行われている。
中小企業にとっての現実的な選択肢: 自己管理型(Basic License)は無料だが、高度なSIEM機能にはPlatinumライセンス以上が必要だ。Elastic Cloudを利用する場合は月額10万円前後から開始できる。社内にElasticsearchの運用経験があるエンジニアがいれば、3製品中もっともコストパフォーマンスに優れる。逆に、技術力がない場合は運用負荷が高くなり、結果的に外部委託費用が嵩む点に注意が必要だ。
Microsoft Sentinel——Microsoft環境なら最安の選択肢
Microsoft SentinelはAzure上で動くクラウドネイティブSIEMだ。最大の強みはMicrosoft 365やAzure AD(Entra ID)との統合で、サインインログや監査ログを数クリックで取り込める。SOAR(自動対応)機能も標準搭載されており、追加ツールなしでアラート対応の自動化が可能だ。
中小企業にとっての現実的な選択肢: Microsoft 365 E5ライセンスを利用していれば一定量の無料データ取り込み枠が付与され、月額数万円から運用を開始できる。E3以下のプランでも1GBあたり約400円の従量課金で利用可能だ。社内のIT環境がMicrosoft中心であれば、3製品中もっとも導入ハードルが低く費用も抑えられる。AWS中心の環境には不向き。
製品選定フローチャート
- 社内のIT環境がMicrosoft 365中心 → Microsoft Sentinelを第一候補にする
- 社内にElasticsearch運用経験者がいる → Elastic Securityでコストを最小化する
- マルチクラウドで製品構成が複雑 → Splunk Cloudの検索力と連携性を活かす
- 判断に迷う場合 → Microsoft SentinelかElastic Cloudで小規模に開始し、3ヶ月の評価期間で判断する
4. 企業規模別の導入シミュレーション
パターンA:従業員30名・Microsoft 365利用企業
| 項目 | 内容 | 費用 |
|---|---|---|
| 製品 | Microsoft Sentinel | — |
| ログ取り込み量 | 1日約2GB(認証ログ + FWログ) | — |
| 月額利用料 | Sentinel + Log Analytics | 約8万円 |
| 初期構築費 | ログソース接続・基本ルール設定 | 約80万円 |
| マネージドSOC | 月額アラート監視・一次対応 | 月額15万円 |
| 月額ランニング合計 | — | 約23万円 |
| 初年度総費用 | 初期80万円 + 月額23万円 x 12 | 約356万円 |
パターンB:従業員100名・ハイブリッド環境
| 項目 | 内容 | 費用 |
|---|---|---|
| 製品 | Elastic Cloud(Platinum) | — |
| ログ取り込み量 | 1日約10GB | — |
| 月額利用料 | Elastic Cloud | 約20万円 |
| 初期構築費 | 設計・接続・カスタムルール | 約150万円 |
| マネージドSOC | 24/365監視・インシデント対応 | 月額30万円 |
| 月額ランニング合計 | — | 約50万円 |
| 初年度総費用 | 初期150万円 + 月額50万円 x 12 | 約750万円 |
パターンC:従業員300名・マルチクラウド環境
| 項目 | 内容 | 費用 |
|---|---|---|
| 製品 | Splunk Cloud | — |
| ログ取り込み量 | 1日約30GB | — |
| 月額利用料 | Splunk Cloud | 約70万円 |
| 初期構築費 | 設計・接続・ルール・ダッシュボード | 約250万円 |
| マネージドSOC | 24/365監視・SOAR連携 | 月額50万円 |
| 月額ランニング合計 | — | 約120万円 |
| 初年度総費用 | 初期250万円 + 月額120万円 x 12 | 約1,690万円 |
5. 費用を左右する5つの変動要因
変動要因1:ログ取り込み量
費用に最も大きく影響する。「とりあえず全部取り込む」は最悪の戦略だ。認証ログ、ファイアウォールログ、EDRログなど、セキュリティ上の優先度が高いログソースから段階的に取り込む。不要なデバッグログや正常系のアクセスログを除外するだけで、取り込み量を30〜50%削減できるケースもある。
変動要因2:ログの保存期間
多くのSaaS型SIEMは、ホットストレージ(即座に検索可能)とコールドストレージ(検索に時間がかかるが安価)を使い分けられる。直近90日分をホットストレージに、それ以降をコールドストレージに保存するだけで月額費用を20〜40%削減できる。コンプライアンス上の保存期間要件(業種により1〜7年)を確認したうえで設計する。
変動要因3:検知ルールのカスタマイズ度
プリセットの検知ルールだけで運用するか、自社の業務パターンに合わせたカスタムルールを構築するかで初期構築費が変わる。カスタムルールの設計・チューニングには1ルールあたり5〜15万円の工数がかかるが、誤検知の削減と検知精度の向上により運用コストは長期的に下がる。
変動要因4:マネージドSOCの範囲
アラート通知のみのベーシックプラン(月額10〜20万円)から、24/365の有人監視とインシデント初動対応を含むフルマネージドプラン(月額30〜100万円)まで幅がある。自社にセキュリティ担当者がいれば通知プランで十分な場合もある。
変動要因5:既存環境との統合コスト
Active DirectoryやVPN装置のログ連携は比較的容易だが、レガシーシステムや独自開発のアプリケーションのログ連携にはカスタム開発が必要になる。事前にログソースの棚卸しを行い、接続の難易度を見積もることが重要だ。
6. 中小企業が最小コストで始める導入ステップ
ステップ1:ログソースの棚卸しと優先順位付け(1〜2週間)
社内のIT環境からセキュリティ上重要なログソースを洗い出す。優先度の高い順に以下のとおりだ。
| 優先度 | ログソース | 理由 |
|---|---|---|
| 最優先 | 認証ログ(Active Directory、Azure AD、VPN) | 不正アクセスの最初の兆候が現れる |
| 高 | ファイアウォール/UTMログ | 外部からの攻撃を検知する |
| 高 | EDR(エンドポイント)ログ | マルウェア感染の検知 |
| 中 | メールセキュリティログ | フィッシング攻撃の検知 |
| 中 | クラウドサービスの監査ログ | 不正な設定変更やデータ持ち出し |
| 低 | Webサーバーアクセスログ | Web攻撃の検知(WAFと併用) |
ステップ2:製品のPoC(2〜4週間)
候補となる1〜2製品で無料トライアルまたはPoC(概念実証)を実施する。Splunk Freeは1日500MBまで無料、Elastic Securityは自己管理型が無料、Microsoft Sentinelは31日間の無料トライアルが利用可能だ。PoCでは以下を確認する。
- ログソースとの接続が問題なくできるか
- プリセットの検知ルールでアラートが発報されるか
- ダッシュボードの視認性と操作性
- 1日のログ取り込み量の実測値
ステップ3:初期構築と検知ルールの設定(2〜4週間)
PoC結果を踏まえて本番環境を構築する。自社で構築する場合は、ベンダーのドキュメントとコミュニティの知見を活用する。外部パートナーに委託する場合は、初期構築費50〜300万円の範囲で見積もりを取得する。検知ルールはまずプリセットを有効化し、1〜2ヶ月の運用で誤検知を洗い出してからチューニングする。
ステップ4:運用体制の確立(並行して実施)
SIEMは導入して終わりではなく、アラートを監視し対応する体制がなければ意味がない。社内にセキュリティ担当者がいない場合は、マネージドSOCの活用を強く推奨する。月次でアラートの発生状況をレビューし、検知ルールの精度を継続的に改善する。
ステップ5:段階的なログソース拡大(3ヶ月目以降)
最初のログソースでの運用が安定したら、段階的にログソースを追加する。追加のたびにログ取り込み量と費用のバランスを確認し、不要なログの除外設定を適宜見直す。
7. マネージドSOCとの組み合わせ——自社運用か外部委託か
SIEMはツールであり、それを監視・運用する体制がSOC(Security Operations Center)だ。24時間365日の自社SOC構築には最低5名のセキュリティエンジニアが必要で、人件費だけで年間4,000万円以上かかる。中小企業にとって現実的なのはマネージドSOC(SOC as a Service)との組み合わせだ。
マネージドSOCの費用レンジ
| プラン | 内容 | 月額目安 |
|---|---|---|
| ベーシック | アラート通知・月次レポート | 10〜20万円 |
| スタンダード | アラート一次分析・エスカレーション | 20〜40万円 |
| フルマネージド | 24/365有人監視・インシデント初動対応 | 40〜100万円 |
SIEM + マネージドSOCの総費用目安
中小企業がクラウドSIEMとマネージドSOCを組み合わせる場合、**月額20〜80万円(年間240〜960万円)**が現実的なレンジだ。これを「高い」と感じるかもしれないが、インシデント発生時のフォレンジック費用(300〜800万円/件)、事業停止損失、取引先からの信頼喪失と比較すれば、合理的な投資水準だ。
GXOが支援してきたセキュリティ体制構築の実績については導入事例で紹介している。会社概要はこちら。
8. よくある質問(FAQ)
Q1. SIEMとEDRの違いは何ですか?
EDR(Endpoint Detection and Response)はPCやサーバーなどのエンドポイント上の脅威を検知・対応するツールだ。SIEMはEDRを含む複数のログソースを統合して相関分析を行う。EDRが「個別の端末の異常を検知する」のに対し、SIEMは「組織全体で何が起きているかを可視化する」ための基盤だ。両者は競合ではなく補完関係にあり、EDRのログをSIEMに取り込むのが一般的な構成だ。
Q2. ログ量が少ない小規模企業でもSIEMは必要ですか?
従業員10名未満の企業であれば、まずはEDRとファイアウォールのログ保存を確実にし、インシデント発生時に過去のログを追跡できる状態を整えることが優先だ。SIEM導入はログ量と予算が一定規模になってから検討しても遅くない。ただし、機密情報を大量に扱う企業やサイバー保険の加入要件を満たす必要がある場合は、規模を問わず導入を検討すべきだ。
Q3. SIEM導入に使える補助金はありますか?
2026年度の「デジタル化・AI導入補助金(セキュリティ枠)」では、SIEM導入費用の1/2(上限350万円)が補助対象となる。また、IPA「サイバーセキュリティお助け隊サービス」の認定サービスを利用する場合、補助金との併用が可能なケースもある。申請の詳細はデジタル化・AI導入補助金の解説記事を参照してほしい。
Q4. SIEMの導入期間はどのくらいですか?
クラウドSIEMの場合、ログソースが3〜5種類程度であれば1〜2ヶ月で本番稼働できる。オンプレミス型はハードウェアの調達を含めて3〜6ヶ月が一般的だ。検知ルールのチューニングは本番稼働後も継続的に実施するため、「完成」までを含めると3〜6ヶ月が現実的な目安だ。
Q5. XDRがあればSIEMは不要になりますか?
XDR(Extended Detection and Response)はエンドポイント・ネットワーク・クラウドのログを統合して検知・対応を自動化するが、コンプライアンス要件に基づくログの長期保存や、異なるベンダーのログを横断的に分析する用途ではSIEMの価値は依然として高い。「XDRかSIEMか」ではなく、自社の要件(法令対応、ログ保存期間、分析の深さ)に応じて選択・併用するのが正しいアプローチだ。
9. まとめ
| 項目 | ポイント |
|---|---|
| SaaS型の費用相場 | 月額10〜100万円(ログ量に比例) |
| オンプレミス型の費用相場 | 初期500〜2,000万円 |
| Microsoft環境の中小企業 | Microsoft Sentinelが最安(月額8万円〜) |
| 技術力がある組織 | Elastic Securityがコスパ最良(月額10万円〜) |
| マルチクラウド・大規模 | Splunk Cloudの検索力と拡張性 |
| 中小企業の推奨構成 | クラウドSIEM + マネージドSOC(月額20〜80万円) |
| 最初にやるべきこと | ログソースの棚卸しと優先順位付け |
SIEM/ログ監視は「入れれば安心」のツールではなく、運用体制と組み合わせて初めて効果を発揮する。まずは重要なログソース2〜3種類に絞って小規模に導入し、運用の知見を蓄積しながら段階的に拡大するアプローチが成功の鍵だ。
<div style="background: linear-gradient(135deg, #f0fdf4 0%, #dcfce7 100%); border: 2px solid #22c55e; border-radius: 12px; padding: 32px; margin: 40px 0; text-align: center;">
SIEM/ログ監視の導入、何から始めるべきか迷っていませんか?
GXOでは、ログソースの棚卸し・製品選定・マネージドSOCの比較検討まで、中小企業のSIEM導入を一気通貫でサポートしています。「まずは月額10万円以下で始めたい」「既存のMicrosoft 365環境に最適な構成を知りたい」「マネージドSOCの選び方がわからない」――こうした段階からのご相談を歓迎しています。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
GXOのセキュリティ支援実績については導入事例をご覧ください。会社概要はこちら。
</div>付録
パンチライン7本
- SIEM/ログ監視の相場はSaaS型で月額10〜100万円、オンプレミス型で初期500〜2,000万円。「高い」と感じたら、ランサムウェア被害時のフォレンジック費用(300〜800万円/件)と比較してほしい
- ログは「集める」だけでは意味がない。「誰が見て、どう対応するか」の運用設計がなければ、高額な日記帳と同じだ
- 中小企業の8割にはクラウドSIEMを推奨する。オンプレミスを選ぶべきは、1日50GB超のログ量がある企業か、業界規制でデータの国外持ち出しが禁止されている企業だけだ
- Microsoft 365を使っているならMicrosoft Sentinelが最安の選択肢。E5ライセンスの無料枠を活かせば月額数万円から始められる
- 「全ログを取り込む」は最悪の戦略。認証ログ・FWログ・EDRログの3つから始めて、不要なデバッグログを除外するだけで取り込み量を30〜50%削減できる
- SIEMを導入してもアラートを見る人がいなければ意味がない。社内にセキュリティ専任者がいなければ、マネージドSOC(月額10万円〜)との併用が必須だ
- サイバー保険の引受条件にログ管理体制が含まれるケースが急増。保険料の差額だけでSIEMの月額費用を回収できる企業もある
X(Twitter)投稿素材3本
投稿1 SIEM/ログ監視の導入費用(2026年版):
SaaS型:月額10〜100万円 オンプレ:初期500〜2,000万円
中小企業の最小構成なら月額20万円台から。 Microsoft 365ユーザーならSentinelで月額8万円〜。
まずは認証ログ・FWログ・EDRログの3つだけ取り込む。
投稿2 「ログは取ってるけど誰も見てない」
→ ランサムウェア被害企業の67%がこの状態(警察庁2025年データ)
SIEM導入で「集める」は解決するが、「見る体制」がないと高額な日記帳になる。 マネージドSOC(月10万〜)との組み合わせが中小企業の現実解。
投稿3 Splunk vs Elastic vs Sentinel、中小企業はどれを選ぶべき?
Microsoft中心 → Sentinel(最安) 技術力あり → Elastic(コスパ最良) マルチクラウド → Splunk(検索力最強)
迷ったらSentinelかElasticで小さく始めて3ヶ月評価。
稟議書に使える費用サマリ表
| 項目 | 小規模(30名) | 中規模(100名) | 大規模(300名) |
|---|---|---|---|
| 推奨製品 | Microsoft Sentinel | Elastic Cloud | Splunk Cloud |
| ログ取り込み量 | 2GB/日 | 10GB/日 | 30GB/日 |
| SIEM月額 | 約8万円 | 約20万円 | 約70万円 |
| マネージドSOC月額 | 約15万円 | 約30万円 | 約50万円 |
| 月額合計 | 約23万円 | 約50万円 | 約120万円 |
| 初期構築費 | 約80万円 | 約150万円 | 約250万円 |
| 初年度総費用 | 約356万円 | 約750万円 | 約1,690万円 |
| 補助金適用後(1/2) | 約178万円〜 | 約375万円〜 | — |
SIEM導入チェックリスト
- 社内のIT環境(Microsoft中心 / AWS中心 / マルチクラウド)を整理した
- セキュリティ上重要なログソースを洗い出し、優先順位を付けた
- 各ログソースの1日あたりのログ量を概算した
- コンプライアンス要件(ログ保存期間・データ保存場所)を確認した
- 候補製品のPoCまたは無料トライアルを実施した
- マネージドSOCの要否と範囲を決定した
- 初期構築費と月額ランニングの予算承認を得た
- アラート発報時の対応フロー(誰が・何を・いつまでに)を策定した
- 検知ルールのチューニング計画(運用開始後1〜2ヶ月)を立てた
- 月次レビューの実施体制を決定した
参考資料
- 警察庁「令和7年版 サイバー空間をめぐる脅威の情勢」
- IPA「情報セキュリティ10大脅威 2026」
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
- 総務省「サイバー対処能力強化法の概要」(2026年10月施行)
- Gartner「Magic Quadrant for Security Information and Event Management 2025」
- NIST「SP 800-92 Guide to Computer Security Log Management」
本記事は2026年4月時点の情報に基づいています。製品の価格体系や機能は変更される可能性がありますので、最新の公式情報をご確認ください。費用相場は要件・環境によって変動します。正確な見積もりは無料相談をご利用ください。