「24時間のセキュリティ監視を外部に委託したい。ただ、SOC・MDR・SIEM の違いがわからず、ベンダーの提案も比較しづらい」。情報システム部門の責任者からよく聞く悩みだ。

結論を先に置く。SOC(Security Operation Center)は組織概念、SIEM(Security Information and Event Management)は基盤ツール、MDR(Managed Detection and Response)は外部サービス商品で、三者は階層が違う。SIEM だけ買って運用人員ゼロでは動かないし、MDR を契約しても SIEM のログ設計が雑だと検知精度は出ない。費用相場は基本監視で月額50万〜150万円、フル MDR で月額150万〜500万円、SIEM 単体ライセンスで年額300万〜2,000万円というレンジが2026年現在の市場感だ。

本記事では、まず SOC・MDR・SIEM の役割分担を整理したうえで、主要ベンダー比較、SOC 内製化 vs アウトソースの判断、24時間 SLA の比較軸、自社に合うサービスの選び方までを解説する。

目次

  1. SOC・MDR・SIEM の役割分担:三層構造で理解する
  2. SOC アウトソーシングの費用相場と内訳
  3. 主要 SIEM ベンダー比較(Splunk / Sentinel / Elastic / Sumo Logic / Chronicle)
  4. 主要 MDR ベンダー比較(CrowdStrike / Sophos / Arctic Wolf / Trellix / 国内 MSSP)
  5. SOC 内製化 vs 外注:判断フレーム
  6. 24時間 SLA の比較:「24/365」の中身を見抜く
  7. 自社 SOC 構築との費用比較(3 年 TCO)
  8. 選定 8 チェックポイントと導入ステップ
  9. FAQ
  10. まとめ

SOC・MDR・SIEM の役割分担:三層構造で理解する

最初に最大の混乱ポイントを解く。「SOC を導入する」「MDR を入れる」「SIEM を入れ替える」は、すべて違う意味を持つ。

概念階層実体提供形態
SOC組織・拠点アナリストが交代で詰めるセキュリティ監視部門。物理拠点でも論理組織でもよい自社運営/外部委託(MSSP)/ハイブリッド
SIEMツール・基盤ログを集約・正規化・相関分析するソフトウェア。Splunk / Sentinel / Elastic 等ライセンス購入(オンプレ)/SaaS
MDRサービス商品SIEM+EDR+アナリストをパッケージ化した検知対応の外部サービス月額サブスクリプション
MSSサービス商品旧来型の「検知通知のみ」のマネージドサービス。MDR の前身月額サブスクリプション
EDRエンドポイント基盤PC・サーバの挙動を監視する単体ツール。CrowdStrike / Defender / SentinelOne 等ライセンス購入
XDR統合基盤EDR・NDR・メール・クラウドを横断統合した拡張版 EDRライセンス+運用サービス

つまり、「SOC」という組織が「SIEM」という基盤の上で「EDR」のテレメトリを分析する。それを丸ごと外部に出した商品が「MDR」だ。

よくある誤解

  • 「SIEM を導入したからセキュリティ監視は完了した」 → 違う。SIEM は箱で、運用するアナリストがいないとアラートを誰も見ない
  • 「MDR を契約したから自社 SOC は不要」 → 半分正しい。経営判断・現場連携・最終意思決定は自社に残る
  • 「EDR があれば SIEM はいらない」 → ネットワーク機器・クラウド・SaaS のログは EDR では取れないため SIEM が必要

委託できる領域は主に 4 つ

領域内容自社に残る業務
SIEM 運用ログ収集・正規化・相関分析・ルール管理ログ送出元の設定変更、業務文脈の共有
EDR 監視エンドポイントの挙動監視・不審プロセスの検知エージェントの展開・更新、端末資産管理
インシデント対応アラートのトリアージ・一次対応・封じ込め・報告経営判断・最終意思決定・対外広報
脅威ハンティング未知の攻撃の能動的な探索・仮説検証自社ビジネス文脈の共有

IPA の調査によれば、セキュリティ人材は2026年時点で国内約20万人の不足が見込まれている。自社で SOC を24時間回すには最低でもアナリスト5〜6名のシフト体制が必要であり、人材確保だけで年間5,000万円以上のコストがかかる。この現実が、MDR の急速な普及を後押ししている。

SOC アウトソーシングの費用相場と内訳

費用レンジの早見表

プラン月額費用含まれる主な業務適している企業
基本監視(旧 MSS 型)50万〜150万円SIEM 運用、ネットワーク/エンドポイント監視、アラート通知、月次レポート従業員100〜300名、セキュリティ専任者1名以下
標準 MDR150万〜300万円上記+ EDR 監視、一次インシデント対応、四半期脅威レポート従業員300〜1,000名、複数拠点
フル MDR300万〜500万円上記+脅威ハンティング、フォレンジック支援、経営層向けブリーフィング規制業種、グローバル拠点あり
SIEM 単体運用委託月50万〜200万円SIEM のチューニング・ルール管理のみ。検知対応は自社自社 SOC を持つ企業

領域別の費用内訳

SIEM 運用:月額20万〜80万円

ログ量(EPS:Events Per Second)に強く比例する。EPS 500以下なら月額20万〜40万円、EPS 5,000を超えるとライセンスだけで月額50万円以上になる。

EDR 監視:月額15万〜60万円

端末単価で1台あたり月額500〜2,000円が2026年の相場。500台で月額25万〜100万円。EDR ライセンスを含むかどうかで金額が変わる。

インシデント対応:月額20万〜80万円(+従量課金あり)

基本監視プランではインシデント対応が別料金になるケースが多い。フォレンジック調査は1件50万〜300万円が相場。

脅威ハンティング:月額30万〜100万円

ランサムウェアの潜伏期間(平均5〜10日)を考えると実質的な被害防止策。ただし基本監視の体制が整わない段階で導入しても効果は薄い。

初期費用の目安

項目費用目安
SIEM 初期設定・ログソース接続30万〜200万円
EDR エージェント展開支援20万〜80万円
カスタム検知ルール作成20万〜100万円
初期費用合計の目安50万〜300万円

12ヶ月以上の契約であれば初期費用を50%以上割引するベンダーも多い。

主要 SIEM ベンダー比較(Splunk / Sentinel / Elastic / Sumo Logic / Chronicle)

SIEM は MDR の中で内部的に使われるケースもあるが、自社で選定して MDR ベンダーに運用委託することもできる。主要5製品の特徴を整理する。

ベンダー製品課金モデル強み弱み想定年額(中堅)
SplunkSplunk Enterprise Securityデータ取込量(GB/day)高度な相関分析、SPL 検索の表現力、エコシステムライセンスが高額、運用スキル要800万〜3,000万円
MicrosoftSentinelデータ取込量(GB)Azure / M365 ログ取込が無料、Defender XDR と統合Azure 中心の課金が読みづらい400万〜1,500万円
ElasticElastic Securityリソース(GB / vCPU)OSS ベース、コスト柔軟、検索高速相関ルールは自作前提、運用工数大200万〜800万円
Sumo LogicCloud SIEMデータ取込量クラウドネイティブ、構築不要国内サポート薄い500万〜1,500万円
Google CloudChronicle Security Operationsフラットレート(容量制限なし)ログ量に依存しない料金、Mandiant 脅威情報統合UI が独特、SPL 経験者は学習コスト800万〜2,500万円

公式価格は四半期ごとに変動するため、本記事の年額レンジは2026年初頭の市場感に基づく目安だ。正確な金額は各ベンダー公式サイトおよび代理店見積もりで必ず確認してほしい

選定の起点

  • Microsoft 365 / Azure 中心 → Sentinel が圧倒的に有利(M365 ログ取込が原則無料)
  • マルチクラウド・大量ログ → Splunk か Chronicle
  • コスト最優先・OSS 容認 → Elastic Security
  • クラウドネイティブで素早く立ち上げたい → Sumo Logic

主要 MDR ベンダー比較(CrowdStrike / Sophos / Arctic Wolf / Trellix / 国内 MSSP)

MDR は SIEM・EDR・アナリストをパッケージ化した商品。グローバル大手と国内 MSSP の両方を整理する。

ベンダーサービス名課金モデル24/365強み想定月額(500端末)
CrowdStrikeFalcon Complete端末数ありEDR 業界トップ、レスポンス保証(被害補償あり)250万〜400万円
SophosSophos MDR端末数ありハンティング込みでコスト抑制、SOC 内製併用しやすい150万〜300万円
Arctic WolfManaged Detection and Response数量別フラットありコンシェルジュ型、専任 CSM200万〜400万円
TrellixTrellix MDRライセンス+運用ありXDR との統合、グローバル脅威情報200万〜350万円
MicrosoftDefender Experts for XDRE5 ライセンス + 月額ありSentinel + Defender との完全統合150万〜300万円
Rapid7MDR端末数 + ログ量ありInsightIDR 基盤、コンプライアンス報告強い200万〜350万円
国内 MSSPNTT 系・NEC 系・ラック等個別見積プランによる日本語対応、業界知見、規制対応150万〜500万円

グローバル大手 vs 国内 MSSP の判断軸

観点グローバル大手国内 MSSP
検知技術最新 EDR・XDR との統合進む自社 EDR がないことが多い
日本語対応一部対応(CrowdStrike・Sophos は日本拠点強化中)完全対応
業界知見グローバル業界別日本の業界・規制に詳しい
規制対応グローバル基準FISC・PCI DSS・経産省ガイドライン詳しい
インシデント対応の現場対応リモート中心必要に応じて訪問可能
コスト中〜高中〜高(規模により逆転)

マイクロソフト中心の社内環境+日本本社のみであれば Defender Experts for XDR + 国内 MSSP のハイブリッドが現実的。グローバル拠点あり・先進的な検知技術重視であれば CrowdStrike Falcon Complete か Sophos MDR を主軸に。

公開価格は変動するため、上記月額は複数の公開ベンチマークおよび代理店ヒアリングをもとにした目安だ。本契約前に必ず最新の見積を取得してほしい。

SOC 内製化 vs 外注:判断フレーム

「セキュリティの中身を外に渡したくない。SOC は自社で持つべきか」という議論は経営会議でよく出る。判断軸を 5 つで整理する。

判断軸 1:人材確保の現実性

24/365 SOC を回すには最低 5〜6 名のアナリスト+マネージャー1〜2 名。年収700〜1,200万円のシニアアナリストを継続採用できるか。

状態推奨
採用ルートあり、3 名以上の現役 SOC アナリストがいる内製可能
採用ルートなし、SOC 経験者ゼロ外注
採用ルートあるが3年離職率が高い業界ハイブリッド(コアのみ内製)

判断軸 2:扱うデータの機密性

データ種別推奨
個人情報 + 金融取引 + 国家機密級内製 or 国内特定 MSSP
個人情報 + 業務データ外注で問題なし(NDA + データ管轄を確認)
主に業務システムログ外注で問題なし

判断軸 3:規模と拠点構成

規模推奨
従業員5,000名以上、海外拠点あり内製 SOC + 外注ハイブリッド
従業員1,000〜5,000名外注主軸+自社 IR チームのみ内製
従業員1,000名以下外注一択(内製の経済合理性なし)

判断軸 4:規制要件

PCI DSS、HIPAA、FISC、SOC2、ISMAP など、ログ保持・アクセス制御・監査要件が厳しい場合は内製または特定 MSSP(規制対応実績あり)に絞られる。

判断軸 5:時間軸

状況推奨
6ヶ月以内に 24/365 体制が必要外注(内製は1年以上かかる)
1〜2年かけて内製化したい段階的内製化(最初は外注、徐々に内製比率を上げる)

ハイブリッド型のパターン

パターン内製の責務外注の責務
内製 Tier 3 + 外注 Tier 1/2高度分析・脅威ハンティング24/365 監視・一次対応
内製日中 + 外注夜間平日日中の分析と現場連携夜間・休日の監視と一次対応
内製ガバナンス + 外注運用ポリシー策定、ベンダー管理、報告全運用

24時間 SLA の比較:「24/365」の中身を見抜く

「24/365 対応」と謳っていても、実態が大きく違う。比較すべき SLA 項目を整理する。

確認すべき SLA 項目

項目一流標準要警戒
検知から通知までの時間(Critical)15分以内30分以内60分以上
検知から通知までの時間(High)30分以内60分以内4時間
インシデント対応開始時間30分以内1時間以内4時間以内
夜間アナリスト常駐専任2名以上1名自動アラートのみ
夜間の言語対応日本語可能英語のみ翌営業日まで日本語対応待ち
端末隔離の自動実行自動 + 事前承認ルール都度承認後実行通知のみで自社操作
月次レポートエグゼクティブサマリー+改善提案アラート集計テンプレート機械出力
QBR(四半期ビジネスレビュー)あり(定例)あり(要請ベース)なし

「夜間アナリスト在籍」の確認方法

ベンダーに以下の 4 つを必ず聞く。

  1. 物理拠点はどこか(日本国内 SOC か、海外フォロー・ザ・サン体制か)
  2. 夜間(22:00〜翌6:00)の在籍人数
  3. 夜間アナリストのシニア比率
  4. 夜間に発生した直近6ヶ月のインシデント対応事例(一般化された形で開示可能か)

「フォロー・ザ・サン(地球を3拠点で繋ぐ)」体制は、夜間に確実にアナリストがいる利点がある一方、日本特有の業務文脈の理解が薄い場合がある。日本国内 SOC は文脈理解が深いが、夜間の人数は限られる。両者一長一短だ。

「SOC 内製化と MDR 外注、自社にはどちらが合うのかわからない」

GXO のセキュリティ無料相談では、貴社の人員・拠点・データ機密性・規制要件をヒアリングし、内製 / 外注 / ハイブリッドの判断と、外注の場合は SIEM ベンダー・MDR ベンダーの組み合わせ案、概算費用を提示します。180社以上のシステム構築実績をもとに中立的な選定支援を行います。

SOC・MDR・SIEM の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

自社 SOC 構築との費用比較(3 年 TCO)

項目自社 SOC 構築(24/365)SOC アウトソーシング(標準 MDR)
初期投資SIEM 1,000万〜3,000万円、設備500万〜1,000万円初期設定50万〜300万円
年間人件費アナリスト5名×年収700万円=3,500万円
年間ライセンス費SIEM+EDR+脅威インテリジェンス:500万〜1,500万円月額に含む
年間委託費月額150万〜300万円×12=1,800万〜3,600万円
教育・採用費年間300万〜500万円
3年間 TCO1.5億〜2.5億円5,500万〜1.2億円

従業員500名以下の企業であれば、SOC アウトソーシングのほうが3年 TCO で40〜60%安いのが一般的。さらに、自社 SOC では「セキュリティアナリストの離職リスク」「24時間シフトの維持コスト」「技術陳腐化への対応」といった隠れたコストも発生する。

一方、従業員1,000名超の大企業や機密性の極めて高いデータを扱う業種では、自社 SOC とアウトソーシングのハイブリッド型が最適解になることがある。

選定 8 チェックポイントと導入ステップ

選定 8 チェックポイント

  1. 24/365 の実態:夜間アナリスト人数、シニア比率、日本語対応
  2. アナリストの質と経験:CISSP / GIAC / CEH 保有率、平均対応年数
  3. SLA:検知15分以内通知、対応30分以内開始
  4. インシデント対応の深さ:通知のみか、端末隔離・通信遮断まで含むか
  5. 脅威インテリジェンス:自社業界に特化した脅威情報を持つか
  6. レポート品質:エグゼクティブサマリーと改善提案が含まれるか
  7. 既存ツール互換性:自社 EDR・FW・クラウドとの統合可否
  8. 契約期間と出口戦略:最低契約期間、中途解約金、データ返却方法

導入から安定運用までのステップ(3〜4ヶ月)

  1. 現状把握と要件定義(2〜3週間):IT 資産棚卸し、既存対策確認、監視対象と要件整理
  2. ベンダー選定(3〜4週間):3社以上から見積、上記8項目で評価、レポートサンプル確認
  3. 契約・設計(2〜3週間):SLA・費用・対応範囲を契約書に明記、エスカレーションフロー定義
  4. 導入・チューニング(4〜6週間):ログ疎通、ベースライン構築、フォルスポジティブ除去
  5. 本番運用開始・定期レビュー:月次レポート確認、QBR、年1回 SLA 見直し

FAQ

Q1. SOC・MDR・SIEM のどれから検討すべきですか?

ログを集める基盤(SIEM or EDR)→ 検知ルール → 監視運用(SOC or MDR)の順だ。基盤がないと運用しても見るものがなく、運用がないと基盤が遊ぶ。MDR を契約すると SIEM・EDR・運用が一括で提供されるため、ゼロから始める中堅企業は MDR 一択でよいケースが多い。

Q2. SIEM だけ入れて自社運用は可能ですか?

可能だが、最低 3 名の専任アナリスト(SIEM ルール作成・チューニング・アラート対応)が必要。365日24時間のシフトを組むなら 5〜6 名。年間人件費だけで3,000万円超になるため、規模が大きい企業以外は MDR 委託が現実的だ。

Q3. EDR があれば SIEM は不要ですか?

エンドポイントだけ守るなら EDR で足りるが、ファイアウォール・プロキシ・クラウド・SaaS・Active Directory のログは EDR では取れない。横断的な攻撃検知(横展開、認証情報窃取、データ持ち出し)には SIEM が必要。EDR + SIEM の組み合わせがフルスペックだ。

Q4. 既に導入している EDR 製品はそのまま使えますか?

主要な EDR(CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne、Trend Micro Apex One など)であれば多くの MDR ベンダーが対応している。ただし、ベンダー独自の EDR をバンドルしている MDR もあるため、見積もり時に「既存 EDR をそのまま利用できるか」「ライセンスは別契約か含まれるか」を必ず確認してほしい。

Q5. MDR の最低契約期間はどのくらいですか?

12ヶ月契約が一般的。MDR ベンダーが自社環境のベースラインを理解するまで1〜2ヶ月かかるため、短期間では効果が出にくい。3ヶ月のトライアル期間を提供するベンダーもあるので、まずトライアルで効果を検証してから本契約に移行するアプローチが現実的だ。

Q6. インシデントが発生しなくても月額費用はかかりますか?

かかる。MDR は「火災保険」に近く、インシデントがなくても24時間のログ監視・分析・ルール更新・脅威情報反映は継続して行われている。むしろ「インシデントが発生しない状態を維持するためのコスト」と捉えるべきだ。

Q7. 社内のセキュリティ知識が育たなくなりませんか?

ベンダー任せにすればその懸念は現実になる。対策は (1) 月次レポートを社内担当者が確認し質問する場を設ける、(2) 四半期 QBR で改善提案を一緒に検討、(3) ベンダーに社内向け勉強会の実施を依頼、の 3 点。MDR のゴールは「丸投げ」ではなく「自社のセキュリティ判断力を徐々に高めること」だ。

まとめ

  1. 三層構造:SOC(組織)/ SIEM(基盤)/ MDR(外部サービス)。混同せず階層で理解する
  2. 費用レンジ:基本監視 月50〜150万円、フル MDR 月150〜500万円。SIEM 単体ライセンスは年300万〜2,000万円
  3. 主要 SIEM:Splunk / Sentinel / Elastic / Sumo Logic / Chronicle。M365 中心なら Sentinel が有利
  4. 主要 MDR:CrowdStrike Falcon Complete / Sophos MDR / Arctic Wolf / Trellix / Defender Experts。日本語対応重視なら国内 MSSP も選択肢
  5. 内製 vs 外注:1,000名以下は外注一択、5,000名超は内製+外注ハイブリッドが現実解
  6. 24/365 SLA:「夜間アナリスト人数」「日本語対応」「検知通知時間」を具体的に確認する
  7. 3 年 TCO:500名以下なら外注のほうが40〜60%安い

「SIEM・MDR・国内 MSSP の見積を比較したいが、軸がわからない」

GXO では、自社 IT 環境・拠点構成・規制要件・既存セキュリティ製品をヒアリングし、SIEM 単体導入 / MDR 外注 / SOC 内製ハイブリッドの 3 案で概算費用と SLA 比較表を無料で作成します。代理店ではない中立的な立場で、最適なベンダー組み合わせをご提案します。

SOC・MDR・SIEM 無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

導入事例を見る会社情報

参考資料

  • IPA(情報処理推進機構)「情報セキュリティ10大脅威 2025」2025年1月
  • IPA(情報処理推進機構)「情報セキュリティ白書2024」2024年7月
  • 経済産業省「IT人材需給に関する調査」2019年3月
  • JNSA(日本ネットワークセキュリティ協会)「インシデント損害額調査レポート 第2版」2024年2月
  • 総務省「サイバーセキュリティタスクフォース報告書」2024年
  • Gartner「Market Guide for Managed Detection and Response Services」(最新版を参照)
  • 各ベンダー公式サイト(Splunk / Microsoft Sentinel / Elastic / Sumo Logic / Google Chronicle / CrowdStrike / Sophos / Arctic Wolf / Trellix)