sg sg-security-measures incident_response monitoring log_management
まず結論
SOAR(Security Orchestration, Automation and Response)は、セキュリティ監視で検知したアラートに対して、調査や対応の手順を自動化・効率化する仕組みです。
SG試験では、SOARを 「インシデント対応を自動化・標準化する仕組み」 として押さえると分かりやすいです。
ポイントは、次の3つです。
- SIEMなどが検知したアラートを受け取る
- 決められた手順に沿って調査・対応を進める
- 対応の一部を自動化し、対応時間を短くする
特に、SIEMとの違いが重要です。
SIEMは異常を見つける仕組み、SOARは見つけた後の対応を効率化する仕組みです。
直感的な説明
SOARは、セキュリティ対応の「手順書を動かす自動実行係」のようなものです。
たとえば、SIEMが「不審なログイン」を検知したとします。
その後、人が毎回、次のような確認をするのは大変です。
- どの利用者のアカウントか
- どの端末からログインしたか
- 過去にも同じ動きがあったか
- アカウントを一時停止するべきか
- 担当者へ連絡するべきか
SOARを使うと、こうした確認や対応の流れを、あらかじめ決めた手順に沿って自動化できます。
つまりSOARは、アラートが出た後の対応を、早く・漏れなく・同じ手順で進めるための仕組みです。
定義・仕組み
SOARは、Security Orchestration, Automation and Response の略です。
大きく分けると、次の3つの考え方で構成されます。
| 要素 | 内容 |
|---|---|
| Orchestration | 複数のセキュリティ製品やシステムを連携させる |
| Automation | 調査や通知などの作業を自動化する |
| Response | インシデント対応を手順に沿って実行する |
SOARの主な流れは、次のように整理できます。
| 流れ | 内容 |
|---|---|
| アラート受信 | SIEM、EDR、IDSなどからアラートを受け取る |
| 情報収集 | 端末情報、利用者情報、過去ログなどを集める |
| 判断支援 | 危険度や対応優先度を整理する |
| 自動対応 | アカウント停止、端末隔離、通知などを実行する |
| 記録 | 対応履歴を残し、後から確認できるようにする |
ここで大切なのは、SOARは単独で異常を見つけるというより、検知後の対応を支援する仕組みだという点です。
どんな場面で使う?
SOARは、セキュリティアラートが多く、対応を効率化したい場面で使われます。
アラートが多すぎる場面
SOCでは、SIEMやEDRなどから大量のアラートが出ることがあります。
すべてを人が手作業で確認すると、重要なアラートを見落とすおそれがあります。
SOARを使うと、アラートの内容に応じて情報収集や分類を自動化し、対応の優先順位をつけやすくなります。
対応手順を標準化したい場面
インシデント対応では、人によって判断や作業の流れがばらつくと、対応漏れが起きやすくなります。
SOARでは、あらかじめ決めた対応手順に沿って処理を進めます。
そのため、誰が対応しても一定の品質を保ちやすくなります。
初動対応を早くしたい場面
不正アクセスやマルウェア感染では、初動対応の速さが重要です。
SOARを使うと、条件に応じて次のような対応を自動化できます。
- 担当者へ通知する
- 関連ログを収集する
- 不審なアカウントを一時停止する
- 感染が疑われる端末を隔離する
- チケットを作成する
SOARは、被害を小さくするための初動対応を助けます。
よくある誤解・混同
誤解1:SOARとSIEMは同じである
SOARとSIEMは、どちらもセキュリティ運用に関係しますが、役割が違います。
| 用語 | 見分け方 |
|---|---|
| SIEM | ログを集約・分析し、異常を検知する |
| SOAR | 検知後の調査・対応を自動化する |
SIEMは、主に「見つける」仕組みです。
SOARは、主に「見つけた後に動く」仕組みです。
SG試験では、検知ならSIEM、対応自動化ならSOARと切り分けると判断しやすくなります。
誤解2:SOARがあれば人は不要である
SOARは対応を自動化しますが、人の判断が不要になるわけではありません。
特に、影響が大きい対応では、人による確認や承認が必要になることがあります。
たとえば、アカウント停止や端末隔離は、業務への影響が出る可能性があります。
そのためSOARは、すべてを勝手に判断する仕組みではなく、決められた範囲の作業を自動化し、人の判断を支援する仕組みとして理解します。
誤解3:SOARは攻撃を検知するための仕組みである
SOARは、主に検知後の対応を扱います。
攻撃や異常の検知は、SIEM、IDS、IPS、EDRなどが担当することが多いです。
| 用語 | 主な役割 |
|---|---|
| IDS | 不正通信を検知する |
| IPS | 不正通信を検知して遮断する |
| SIEM | ログを集約・分析して異常を検知する |
| EDR | 端末上の不審な動きを検知・対応する |
| SOAR | 検知後の調査・対応を自動化する |
SOARは、検知した後の流れを効率化する点が特徴です。
誤解4:SOARとCSIRTは同じである
SOARは仕組み・ツールであり、CSIRTはインシデント対応を行う組織です。
| 用語 | 見分け方 |
|---|---|
| SOAR | 対応手順を自動化・効率化する仕組み |
| CSIRT | インシデント対応を調整する組織・チーム |
CSIRTが対応を進めるときに、SOARを使って作業を効率化することがあります。
試験では、SOAR=仕組み、CSIRT=組織と切り分けると迷いにくくなります。
SG試験での判断ポイント
SOARが出てきたら、次の言葉に注目します。
- インシデント対応の自動化
- 対応手順の標準化
- 複数ツールの連携
- アラート後の調査支援
- 初動対応の効率化
- チケット作成や通知の自動化
これらがあれば、SOARの説明として判断しやすいです。
一方で、次のような説明は別の用語の可能性があります。
| 説明 | 関係しやすい用語 |
|---|---|
| ログを集約・分析して異常を検知する | SIEM |
| セキュリティ監視を行う組織 | SOC |
| インシデント対応を調整する組織 | CSIRT |
| 不正通信を検知して遮断する | IPS |
| 端末上の不審な動きを検知・対応する | EDR |
SOARは、検知後の対応を自動化するという軸で判断します。
関連用語との切り分け
SOARは、SIEM、SOC、CSIRTとセットで整理すると分かりやすくなります。
| 用語 | 見分け方 |
|---|---|
| SIEM | ログを集約・分析して異常を検知する仕組み |
| SOC | SIEMなどを使って監視する組織 |
| SOAR | アラート後の調査・対応を自動化する仕組み |
| CSIRT | インシデント対応を調整する組織 |
流れで見ると、次のようになります。
- SIEMがログを分析して異常を検知する
- SOCがアラートを監視・分析する
- SOARが調査や初動対応を自動化する
- CSIRTが対応方針や関係者調整を行う
この流れで覚えると、試験で用語を切り分けやすくなります。
まとめ(試験直前用)
試験直前は、次の3点だけ押さえておきましょう。
- SOARは、インシデント対応の調査・通知・初動対応を自動化する仕組み
- SIEMは、ログを分析して異常を検知する仕組み
- 判断に迷ったら、検知ならSIEM、対応自動化ならSOAR
SOARは「見つける」よりも、見つけた後に動く仕組みです。
この違いを押さえると、SIEMやSOC、CSIRTとの混同を避けやすくなります。