導入：監視は回る。でも「海外SOCが触るログ」を説明できないと、監査・取引先で詰む

SIEM（Microsoft Sentinel 等）運用をMSSP／MSPに委託すると、24/365監視・一次切り分け・インシデント初動が現実的になります。技術的にも「ログを集約して検知する」までは比較的スムーズに進みます。

しかし、全国の情シス・セキュリティ担当の方から相談を受けていると、次のような声を非常によく耳にします。

• 「監視は外注で回っているが、海外SOC（国外拠点）が関与しているのか把握しきれていない」

• 「監査・親会社・取引先から“ログが海外で見られるのは大丈夫？”と聞かれて、契約とデータの流れで説明できない」

• 「委託先から“体制上、海外SOCが見ることがあります”と言われたが、越境の前提が契約に落ちていない」

SIEMログには、ユーザーID、端末情報、IP、アクセス履歴、メールやファイル操作の痕跡などが含まれがちです。つまり「海外SOCが触る＝越境データ取扱い」になりやすく、ここが整理されていないと “統制不備”として信用事故化 しやすいのが現実です。

本記事では、**「SIEM運用委託 × 越境・海外SOC × 契約条項」**という視点から、よくある落とし穴と、実務で使える整理方法をご紹介します。

1. SIEM運用委託で実際に起きている構成（技術の“事実整理”）

まずは「技術として何が起きているか」を揃えます。越境問題は、法律論より先に データの流れ が整理されていないと判断できません。

1-1. よくある全体像（テキスト簡易アーキテクチャ）

• ログ発生源

  • Entra ID：Sign-in / Audit / PIM昇格・ロール変更

  • Azure：Activity Log / 各リソースの診断ログ（Key Vault / Storage / SQL / NSG / WAF 等）

  • M365：監査ログ（Purview）、SharePoint/OneDrive/Exchange/Teams 操作ログ

  • EDR / NW：DefenderやFW/WAF/Proxy/DNSログ

• 集約先（ここで越境リスクが分岐）

  • パターンA：自社テナント内の Sentinel / Log Analytics に集約→ 委託先（海外SOC含む）は、自社環境にリモートアクセスして監視

  • パターンB：委託先のSIEM基盤（委託先テナント/委託先SOC環境） に転送・集約→ ログ自体が委託先側へ“持ち出し”され、保管も委託先側

  • パターンC：ハイブリッド（重要ログは自社、相関分析は委託先側…など）

• 委託先の運用内容

  • 検知ルール調整、アラート一次判定、封じ込め提案、エスカレーション

  • インシデント記録（タイムライン、判断メモ、チケット）

1-2. “越境”は「海外保管」だけではない（重要）

多くの現場で誤解が起きますが、越境リスクは次の2種類があります。

• (A) データ保管が海外（ログが委託先の海外SIEMに保存される）

• (B) データ保管は国内でも、海外からアクセス（海外SOCが閲覧・分析する）

つまり、「SentinelはJapanリージョンだから大丈夫」では終わりません。海外SOCが自社テナントへアクセスして分析するなら、そこで越境論点が出ます。

ここまでは技術の話。ここからが法務です。

2. 全国の案件で見えてきた「越境・海外SOC」の落とし穴3選

① 「海外SOCは監視だけ」のつもりが、実態は“越境前提”になっている

• 技術的にはOK

  • 24/365でアラートが見られており、対応も早い

• 法務・監査的にはNGになりうる点

  • 海外SOCが関与すること自体が、RFP・見積・口頭説明にしか出てこない

  • どの国からアクセスするか、どのデータに触れるか、持ち出し有無が曖昧

  • 監査で「国外アクセスの統制は？」「承認は？」と聞かれて、契約根拠がない

② 再委託・海外拠点・下請けが多段化し、誰が触っているか追えない

• 技術的にはOK

  • 委託先は「海外SOCあり」と言うが、実態は別会社・別拠点・別チームが混ざることがある

• 契約・責任分界的にはNGになりうる点

  • 再委託の事前承諾、同等義務、監督責任が弱い

  • どの国の、どの法人の、どの担当者が触るかが固定されていない

  • インシデント後に「誰がログを見たか」「誰が判断したか」の証跡が出せず、説明不能

③ ログの“所有・提出・移管・削除”が曖昧で、監査・解約時に揉める

• 技術的にはOK

  • 日々の監視は回る。月次レポートも来る

• 法務・実務的にはNGになりうる点

  • 委託先SIEM側にログが溜まり、契約終了時に移管できない（ベンダーロックイン）

  • 「派生データ（相関結果・調査メモ）」が委託先のノウハウ扱いで提出されない

  • 削除証明が取れず、「海外に残っていないか？」が説明できない

3. SIEM運用委託（越境・海外SOC）を崩さないための「整理のフレーム」3つ

技術構成を変える前に、最低限これだけを紙に落とすと、条項設計・社内説明が一気に楽になります。

① データフローを1枚で可視化する（保管場所／アクセス元／持ち出し）

• どのログが（Entra / Azure / M365 / EDR / NW）

• どこに保存され（自社テナントか、委託先か、国はどこか）

• どこからアクセスされ（海外SOCの国・拠点）

• 委託先側への持ち出し（転送・複製）の有無

• 例外（インシデント時のみ持ち出し等）の条件

“越境はゼロ”を目指すより、実態に合わせて統制する方が通ります。

② 「越境・海外SOC条項セット」を作る（承諾・制限・証跡）

越境・海外SOCを許容するなら、条項は“1本”では足りません。最低限、次の束で考えると揉めにくいです。

• 国外アクセス・国外保管の 許容範囲（国・地域・拠点の限定）

• 目的限定（監視・分析・インシデント対応に限定／目的外利用禁止）

• アクセス制御（個人アカウント、MFA、端末制限、操作ログ、JIT/PAM）

• 再委託管理（事前承諾、同等義務、監督責任、国外再委託の追加条件）

• 提出義務（監査・取引先照会・インシデント時のログ提出期限と形式）

• 出口設計（契約終了時の移管・削除・削除証明）

③ “説明責任”の運用を決める（監査・取引先・インシデント）

• 監査・親会社・大口顧客に対して「海外SOCが関与しているが、こういう統制で担保している」と言える資料（運用証跡含む）を作る

• インシデント時は

  • 一次報告（何が起きたか）

  • 証跡提出（いつ誰が何を見たか）

  • 保全（ログの上書き停止）を契約と手順で固定する

3.5 すぐ使える「越境・海外SOC 条項」たたき台（骨子＋文例）

条項案1：国外アクセス／国外保管の明示と限定（国・拠点の特定）

• 文例

  • 「受託者は、本業務の遂行にあたり、別紙に定める国・地域・拠点（海外SOCを含む）からログ等にアクセスし、または当該国・地域にログ等を保管することがある。受託者は、別紙に記載のない国・地域へのアクセスまたは保管を行ってはならない。」

条項案2：目的限定・目的外利用の禁止（学習利用含む）

• 文例

  • 「受託者は、ログ等を監視・分析・インシデント対応の目的に限り利用し、目的外利用、第三者提供、統計化・学習利用等を行わない（発注者の書面同意がある場合を除く）。」

条項案3：アクセス制御（個人単位・MFA・最小権限・操作ログ）

• 文例

  • 「受託者は、ログ等へのアクセスを個人単位のアカウントに限定し、共有アカウントを用いない。受託者は、多要素認証、最小権限、アクセス端末・アクセス元制限、操作ログの記録等、発注者が指定するセキュリティ要件を遵守する。」

条項案4：再委託・海外下請けの制限（同等義務＋監督責任）

• 文例

  • 「受託者は、発注者の事前承諾なく再委託してはならない。再委託を行う場合、再委託先に本契約と同等の義務（国外アクセス制限、提出義務、保全義務を含む）を課し、受託者は監督責任を負う。」

条項案5：ログ提出義務（監査・取引先照会・インシデント時）

• 文例

  • 「受託者は、発注者からの要請（監査、親会社、取引先照会を含む）があった場合、指定された範囲のログ等（派生データおよび運用成果物を含む）を、指定形式および期限内に提出する。」

条項案6：保全（リーガルホールド相当）と改ざん防止

• 文例

  • 「発注者から保全要請があった場合、受託者は当該ログ等の消去・上書きを停止し、改ざん防止措置を講じたうえで保全する。」

条項案7：契約終了時の移管・削除・削除証明（出口設計）

• 文例

  • 「契約終了時、受託者は発注者の指示に従いログ等を返却または移管し、受託者環境に残存するログ等を消去し、完了を証明する資料を提出する。移管形式・期限・費用負担は別紙に定める。」

条項案8：国外アクセス時の緊急対応（当番・連絡・時差）

• 文例

  • 「国外拠点が関与する運用体制に起因して、報告・承認・提出が遅延しないよう、受託者は24/365の連絡体制、当番体制、エスカレーション手順を整備し、発注者に提示する。」

4. ケーススタディ：SaaS企業A社（売上150億、顧客に上場企業多数）の場合

実際に当事務所でご相談を受けた事例の一つをご紹介します（業種等は匿名化しています）。

• 業種：BtoB SaaS

• テーマ：Sentinel運用をMSSPに委託（海外SOC関与あり）

• 課題：大口顧客から「越境・海外SOCの統制」と「ログ提出」を求められた

起きていたこと

• MSSPが海外SOCを使う可能性があるが、契約は「協力」レベル

• どの国からアクセスするか、再委託はあるか、ログの移管や削除はどうするかが未整理

• 顧客監査で「海外SOCが見るログの範囲・権限・証跡」を聞かれて回答が詰まった

当事務所の支援（抜粋）

• データフローの可視化（ログの所在、国外アクセスの有無、持ち出し有無を1枚化）

• 越境・海外SOC条項セットの整備国・拠点の限定／目的限定／アクセス制御／再委託統制／提出義務／出口設計

• 監査回答用の説明資料（技術構成＋契約条項＋運用証跡のストーリー化）

結果として

• 「海外SOCが関与しても統制できる」前提で、監査・取引先への説明が安定

• 将来の委託先変更も、移管・削除・提出の出口が見えたことで検討しやすくなった

• 情シスだけが抱えていた不安が、契約と運用の合意に落ちた

5. SIEM運用委託（越境・海外SOC）を見直すチェックリスト

• □ 海外SOCが関与するか（するならどの国・拠点か）を把握し、契約で明示している

• □ 国外アクセス／国外保管の許容範囲が「別紙」で限定されている

• □ 目的外利用（サービス改善・学習利用等）の扱いが決まっている

• □ アクセス制御（個人アカウント、MFA、最小権限、操作ログ、端末制限）が契約要件になっている

• □ 再委託（海外下請け含む）の事前承諾・同等義務・監督責任がある

• □ ログ提出義務（監査・取引先照会・インシデント時）の期限・形式が定義されている

• □ 保持期間・保全（上書き停止）の取り決めがある

• □ 契約終了時のログ移管・削除・削除証明が定義されている

• □ 「海外SOCを使っても統制できる」という社内説明資料を持っている

「すべて自信を持ってYESと言える企業」は、全国的に見てもまだ多くありません。

6. 全国からのご相談について

山崎行政書士事務所では、Azure / Entra ID / M365 / SIEM（Sentinel等）の技術構成と、越境・再委託・ログ所有権・提出義務・監査対応をセットで整理する「クラウド法務支援」 を行っています。

• SIEM運用を外注しているが、海外SOC（越境）の前提が契約に落ちていない

• 監査・親会社・大口顧客からの質問に、技術と契約をセットで説明したい

• 委託先変更や内製化も見据え、移管・削除まで含めた出口設計を固めたい

といったお悩みがあれば、オンライン（全国対応）にて初回のご相談を承っております。👉 ご相談フォームはこちら

👉 お問い合わせの際に、「SIEM運用委託 越境・海外SOC 条項の記事を見た」 と書いていただけるとスムーズです。