ホーム > 情報処理安全確保支援士試験 > 2024年秋期

情報処理安全確保支援士試験 2024年秋期午前2 問11

SOAR(Security Orchestration, Automation and Response)の説明はどれか。

ア：脅威インテリジェンスの活用、セキュリティ運用の自動化及びインシデント対応の効率化を行う技術（正解）

イ：全ての利用者、デバイス、接続元を信頼できないものとして捉え重要な情報資産やシステムに対するアクセスの正当性や安全性の検証を自動化することによって脅威を防ぐ考え方

ウ：組織間でサイバー攻撃に関する情報を効率的に交換するために脅威情報構造化記述形式で記述された情報の交換を自動化するためのプロトコル仕様

エ：ファイアウォール、マルウェア対策製品、侵入検知製品など複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置

解説

SOAR（Security Orchestration, Automation and Response）は、サイバーセキュリティの分野で重要な技術の一つです。以下に、SOARについてわかりやすく解説します。

SOARは、セキュリティオーケストレーション（Orchestration）、自動化（Automation）、そして**インシデント対応（Response）**の3つを組み合わせて、セキュリティ運用を効率化・高度化する技術や仕組みのことを指します。

これらを組み合わせることで、セキュリティチームの負担を軽減し、インシデント対応の速度と精度を高めることができます。

現代のサイバーセキュリティ環境では、さまざまな攻撃が多様かつ複雑化しており、手作業だけで迅速に対応するのが難しくなっています。膨大なログやアラートを人手で分析するのは時間がかかり、対応が遅れると被害が拡大します。

SOARを活用すると、

という流れを実現できるため、攻撃への対応力が飛躍的に向上します。

ア: 「脅威インテリジェンスの活用、セキュリティ運用の自動化及びインシデント対応の効率化を行う技術」
→ これはSOARの役割を端的に表しています。正解です。
イ: 「全ての利用者、デバイス、接続元を信頼できないものとして捉え...」
→ これは「ゼロトラストセキュリティ」の考え方です。SOARではありません。
ウ: 「組織間でサイバー攻撃情報を交換するためのプロトコル仕様」
→ 例えばSTIX/TAXIIのような脅威情報共有のための標準規格です。SOARとは異なります。
エ: 「複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置」
→ これはSIEM（Security Information and Event Management）に該当します。SOARとは役割がやや異なります。

SOARは、以下の3つの機能を組み合わせてセキュリティ運用を効率化し、迅速なインシデント対応を支援する技術です。

これにより、セキュリティ担当者の負荷軽減と、攻撃を受けた際のダメージ最小化が期待できます。

以上の理由から、問題の正解は「ア」となります。