セキュリティ
SOAR(Security Orchestration, Automation and Response)に関する説明として、最も適切なものはどれか。
ア.SOARはセキュリティアラートへの対応手順(プレイブック)を自動化・オーケストレーションするプラットフォームで、アナリストの手動作業を削減し、インシデント対応を迅速化する。正解
イ.SOARはSOCアナリストが手動で行うログ分析を完全に置き換え、人間によるセキュリティ判断が一切不要になるAIシステムである。
ウ.SOARはネットワーク機器のファームウェアを自動更新するパッチ管理ツールで、脆弱性の自動修正を担う。
エ.SOARはクラウドのインフラをコードで管理するInfrastructure as Codeツールの一種で、Terraformと同様の機能を提供する。
解説
SOARは「セキュリティ作業の自動化シェフ」。「フィッシングメール来た→URLを評判チェック→悪意あると判断→メール隔離→チケット起票→担当者に通知」という一連の手順を、プレイブック(レシピ)に書いておけば自動実行してくれる。アナリストは本当に判断が必要な案件に集中できる。
なぜ ア が正解か
アが正解。Splunk SOAR・Palo Alto XSOAR等が代表例。SIEM・EDR・脅威インテリジェンス等からアラートを受け取り、プレイブックで定義したワークフロー(チェック→判断→対応)を自動実行する。MTTR(平均対応時間)の劇的短縮が最大の価値。SOCのアナリスト不足問題の解決策としても注目される。
出典: AI生成問題(学習用)