メインコンテンツへ
セキュリティセキュリティ実践

SOAR(Security Orchestration, Automation and Response)に関する説明として、最も適切なものはどれか。

ア.SOARはセキュリティアラートへの対応手順(プレイブック)を自動化・オーケストレーションするプラットフォームで、アナリストの手動作業を削減し、インシデント対応を迅速化する。正解
イ.SOARはSOCアナリストが手動で行うログ分析を完全に置き換え、人間によるセキュリティ判断が一切不要になるAIシステムである。
ウ.SOARはネットワーク機器のファームウェアを自動更新するパッチ管理ツールで、脆弱性の自動修正を担う。
エ.SOARはクラウドのインフラをコードで管理するInfrastructure as Codeツールの一種で、Terraformと同様の機能を提供する。

解説

SOARは「セキュリティ作業の自動化シェフ」。「フィッシングメール来た→URLを評判チェック→悪意あると判断→メール隔離→チケット起票→担当者に通知」という一連の手順を、プレイブック(レシピ)に書いておけば自動実行してくれる。アナリストは本当に判断が必要な案件に集中できる。

なぜ ア が正解か

アが正解。Splunk SOAR・Palo Alto XSOAR等が代表例。SIEM・EDR・脅威インテリジェンス等からアラートを受け取り、プレイブックで定義したワークフロー(チェック→判断→対応)を自動実行する。MTTR(平均対応時間)の劇的短縮が最大の価値。SOCのアナリスト不足問題の解決策としても注目される。

なぜ イ は間違いか

SOARは人間のアナリストを「補助」するもので完全置き換えではない。最終判断や複雑な判断は引き続き人間が行う。

なぜ ウ は間違いか

パッチ管理・ファームウェア更新はSCM(パッチ管理ツール)の領域。SOARはセキュリティインシデント対応のオーケストレーション。

なぜ エ は間違いか

Terraformと同様のIaCツールはSOARとは別概念。SOARはセキュリティオペレーションの自動化基盤。

出典: AI生成問題(学習用)