【Part 2：後編】マイクロソフト（MSFT）の将来性：SentinelとEntraとは？また、Azure ADとの関係は？

※「【Part 2：前編】マイクロソフト（MSFT）クラウド事業の強み：Azure ADとは？同社のサイバーセキュリティ戦略と将来性に迫る！」の続き

Microsoft Sentinel: マイクロソフト（MSFT）のデータを活用した次世代SIEM

マイクロソフト（MSFT）は、アイデンティティ管理やデバイス管理、エンドポイントセキュリティを密接に統合したアプローチを採用し、2019年にMicrosoft Sentinelを導入しました。

これは、SIEM（Security Information and Event Management：セキュリティ情報およびイベント管理を指し、企業内のさまざまなシステムから収集したログやセキュリティイベントを一元的に管理、分析するツール）とSOAR（Security Orchestration, Automation, and Response：セキュリティのオーケストレーション、自動化、対応を指すソリューションで、セキュリティインシデントの対応プロセスを自動化するツール）を組み合わせたソリューションで、Azure ADをはじめとするマイクロソフト・エコシステム全体の膨大なデータを活用し、セキュリティオペレーション（SecOps）チームに強力なツールを提供します。

Microsoft SentinelはクラウドネイティブのSIEMであり、Azure AD、Intune、Defenderなどから生成される大量のセキュリティデータを活用して、これらのサービス間でテレメトリを関連付け、脅威検知においてより詳細な情報を提供します。

たとえば、Defenderが疑わしい活動を検出した場合、SentinelはAzure ADやIntuneからユーザーやデバイスのデータを統合し、SecOps（セキュリティ運用）チームが適切な判断を下せるよう、脅威の全体像を示します。

Microsoft Sentinelは、特に従来型のSIEMであるスプランク（SPLK）に対して、スケーラビリティやコストの面で明確な利点を持っています。

スプランクはストレージとコンピュートが密接に結びついているため、スケーラビリティに限界があり、運用が複雑化し、コストが上がる傾向があります。

一方、Microsoft Sentinelはクラウドネイティブのアーキテクチャにより、マルチテナンシー（1つのソフトウェアやシステムインフラを複数のユーザーである「テナント」が共有して利用する形態を指す）やストレージとコンピュートの分離、リソースの弾力的な活用が可能で、効率的にリソースを最適化できます。

また、スプランクはデータ量が増加すると、取り込み速度やクエリの処理速度が低下する問題があるのに対し、Microsoft Sentinelはこの問題を回避できます。

さらに、マイクロソフトやAzureのエコシステムと密接に統合されているため、Azureサービスからのログの取り込みが迅速かつ容易に行えるのもMicrosoft Sentinelの大きな利点です。

スプランクはカスタマイズ性に優れていますが、Microsoft Sentinelも多様なデータコネクタや高度にカスタマイズ可能なSOAR機能を提供しており、ユーザーはカスタム分析やレスポンスアクションを作成できます。

ただし、競合製品に比べるとカスタマイズの容易さでやや劣る場合もあります。

さらに、次世代のSIEMであるセンチネルワン（S）のDatasetやパロアルトネットワークス（PANW）のXSIAM、クラウドストライク（CRWD）のLogScaleと比較すると、Microsoft Sentinelの優位性は限られています。

Azureとの統合はマイクロソフトユーザーにとって効率的ですが、他のクラウドプロバイダーとの統合ではやや課題が生じることがあります。

一方、DatasetやLogScaleはクラウド非依存の設計で、マルチクラウド環境（例えば、Amazon Web Services、Microsoft Azure、Google Cloud等の複数のクラウドサービスプロバイダーのクラウドサービスを同時に利用するIT環境を指す）でもスムーズな統合を提供しています。

また、Microsoft SentinelのKQLクエリ言語（マイクロソフトのAzure Data ExplorerやAzure Sentinelで使用されるクエリ言語）は、S1SQL（センチネルワンが提供するクエリ言語）やLQL（クラウドストライクのFalcon LogScaleで使用されるクエリ言語）と比較して学習コストが高いという指摘もあります。

ただし、Microsoft Sentinelはコンプライアンスにおいては大きな強みを持っています。

マイクロソフトはエンタープライズ向けサービスや国際化、政府機関との契約において豊富な経験があり、コンプライアンス基準の遵守においては他に引けを取りません。

競合他社もコンプライアンスに力を入れていますが、マイクロソフトの実績はMicrosoft Sentinelをより強力な選択肢としています。

一方で、データのキュレーション（膨大な情報やデータの中から、価値のあるものや特定のテーマに沿ったコンテンツを選び、整理し、まとめて提供すること）に関しては、センチネルワンのDatasetやクラウドストライクのLogScaleと比較するとMicrosoft Sentinelはやや遅れを取っており、これらの競合製品が提供する高精度なアラートに比べ、Microsoft Sentinelのユーザーは分析ルールを調整する必要があることが多いです。

それでも、マイクロソフト・エコシステムに統合されている企業にとって、Microsoft Sentinelのコスト効率は大きな魅力です。

Microsoft Sentinelのコスト面での優位性は、マイクロソフトの他のセキュリティソリューションとのバンドル提供によるもので、スプランクやパロアルトネットワークスのXSIAMなどのサードパーティSIEMに比べ、データストレージやクエリ処理にかかるコストを大幅に削減できます。

スケーラビリティに関しては、Microsoft Sentinelは次世代の競合製品と同等の性能を誇りますが、DatasetやLogScaleは独自のアーキテクチャにより、クエリ処理速度で優れたパフォーマンスを発揮しています。

それでも、Microsoft Sentinelは全体として競争力を維持していると言えるでしょう。

まとめると、Microsoft Sentinelは、特にマイクロソフト製品を中心に使用している企業にとって非常に強力なSIEMソリューションです。

ただし、コスト、スケーラビリティ、コンプライアンスの面でバランスが取れているものの、他のクラウドとの統合に課題がある点や、データ処理機能で競合にやや劣る点が見受けられます。

しかし、Azureとの強力な統合やコストメリットにより、Microsoft SentinelはSIEM/SOAR市場で引き続き競争力を維持しています。

Microsoft Entra: マイクロソフト（MSFT）はアイデンティティ中心のビジョンを拡大

Microsoft Entraは、Azure ADを基盤として、マイクロソフト（MSFT）のアイデンティティサービスを統合ブランドへと進化させました。

マイクロソフトは市場を急激に変えるのではなく、アイデンティティソリューションの効率化を図っています。

これは、安定性と段階的な改善を重視する企業に向けた典型的な同社のアプローチで、大きな変革よりも着実な進化を好む企業に支持されています。

現在のアイデンティティ市場は成熟しており、マイクロソフトやオクタ（OKTA）のような主要プレーヤーは、SSO（シングルサインオン）やMFA（多要素認証）といった同様の機能を提供しています。

Microsoft Entraは、Azure ADやVerified ID（マイクロソフトが提供するデジタルアイデンティティソリューションの一部で、ユーザーや組織の身元情報を安全かつ信頼性のある形でデジタル化して証明する仕組み）といったサービスを統合し、アイデンティティ管理をシンプルにし、ユーザー体験を向上させています。

これは、マイクロソフトが推進する「アイデンティティを中心としたセキュリティと生産性の融合」という戦略を反映しています。

さらに、Microsoft EntraはSSE（セキュアサービスエッジ：クラウドベースのセキュリティソリューションを統合的に提供するアーキテクチャで、リモートや分散したユーザーがどこからでも安全にネットワークやアプリケーションにアクセスできるようにするもの）分野にも進出し、Entra Private AccessでZTNA（ゼロトラストネットワークアクセス：従来のVPNに代わるセキュリティモデルで、全てのアクセスリクエストを信頼せず、ユーザーやデバイスごとにアクセス権を厳密に管理する）を提供したり、Entra Internet AccessでSWG（セキュアウェブゲートウェイ：ユーザーがインターネットにアクセスする際に、悪意のあるサイトやコンテンツから保護するためのセキュリティフィルタリングを提供するソリューション）としての機能を果たしています。

これにより、企業はアイデンティティとネットワークセキュリティを統合したポリシーを実行でき、マイクロソフトの描く安全で効率的な企業環境を実現できます。

マイクロソフトのSSEソリューションは、ゼットスケーラー（ZS）やNetskopeといった競合他社ほど革新的ではないかもしれませんが、マイクロソフトの広範なエコシステムとの統合が大きな強みです。

この統合により、マイクロソフトのサービスをすでに利用している企業は、導入の手間が軽減され、管理が容易になり、コストも大幅に削減できます。

結論として、Microsoft Entraはマイクロソフトのアイデンティティ中心の戦略の要であり、アイデンティティが新たなセキュリティの境界線であり、生産性を支える重要な要素であることを強調しています。

また、SSEソリューションの拡充によって、ネットワークセキュリティにも対応し、安全なアクセスを簡略化し、現代の複雑な業務環境に対応する包括的なソリューションを提供しています。

以上より、マイクロソフトはユーザー体験の向上とシステム統合の強化に注力し、企業に対して、既存のアイデンティティ管理システムを着実かつ効果的に改善する手段を提供しています。

マイクロソフト（MSFT）のAzure ADに対する結論

Part 2では、マイクロソフト（MSFT）のサイバーセキュリティの堅牢さについて詳しく見てきました。

Azure ADはクラウド顧客を引き留める役割を果たし、IntuneやDefender、Microsoft Sentinelといったツールと連携することで、E5ライセンスを採用する企業にコストメリットを提供しています。

そして、Microsoft Entraは、同社が関連市場でも強さを発揮していることを示しています。

そのため、Azure ADは、同社の成長するサイバーセキュリティ事業において重要な柱となり、企業の規模拡大とともにその役割を強化しています。

次章であるPart 3では、同社がアイデンティティ、エンドポイント、クラウド、ネットワークセキュリティの各分野で競合他社とどう競り合っていくのかを探っていきます。

また、その他のマイクロソフト（MSFT）に関するレポートに関心がございましたら、是非、こちらのリンクより、マイクロソフトのページにアクセスしていただければと思います。

アナリスト紹介：コンヴェクィティ

📍テクノロジー担当

コンヴェクィティのその他のテクノロジー関連銘柄のレポートに関心がございましたら、是非、こちらのリンクより、コンヴェクィティのプロフィールページにアクセスしていただければと思います。