情報処理安全確保支援士 2024年 秋期 午前2 問11
問題文
SOAR(Security Orchestration, Automation and Response)の説明はどれか。
選択肢
ア:脅威インテリジェンスの活用、セキュリティ運用の自動化及びインシデント対応の効率化を行う技術(正解)
イ:全ての利用者、デバイス、接続元を信頼できないものとして捉え重要な情報資産やシステムに対するアクセスの正当性や安全性の検証を自動化することによって脅威を防ぐ考え方
ウ:組織間でサイバー攻撃に関する情報を効率的に交換するために脅威情報構造化記述形式で記述された情報の交換を自動化するためのプロトコル仕様
エ:ファイアウォール、マルウェア対策製品、侵入検知製品など複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置
SOAR(Security Orchestration, Automation and Response)の説明はどれか【午前2 解説】
要点まとめ
- 結論:SOARは脅威インテリジェンスを活用し、セキュリティ運用の自動化とインシデント対応の効率化を実現する技術です。
- 根拠:SOARは複数のセキュリティツールを連携させ、脅威検知から対応までのプロセスを自動化し、迅速な対応を可能にします。
- 差がつくポイント:単なるログ集約やアクセス制御ではなく、運用の自動化とインシデント対応の効率化に焦点を当てている点を理解しましょう。
正解の理由
選択肢アはSOARの本質を正確に表現しています。SOARは脅威インテリジェンスを活用し、セキュリティ運用の自動化とインシデント対応の効率化を目的とした技術であり、複数のセキュリティ製品やプロセスを統合して運用負荷を軽減します。これにより、セキュリティチームは迅速かつ効果的に脅威に対応可能です。
よくある誤解
SOARは単なるログ集約装置やアクセス制御の考え方ではありません。自動化とオーケストレーションを通じて運用全体を効率化する技術である点を誤解しやすいです。
解法ステップ
- SOARのキーワード「Orchestration(調整)」「Automation(自動化)」「Response(対応)」を確認する。
- 選択肢の内容がこれらの要素を含むかを検証する。
- 脅威インテリジェンスの活用や運用自動化に言及している選択肢を探す。
- 他の選択肢が示す内容(アクセス制御、情報交換プロトコル、ログ集約装置)と比較し、SOARの定義に合致するものを選ぶ。
選択肢別の誤答解説
- ア: 脅威インテリジェンスの活用、セキュリティ運用の自動化及びインシデント対応の効率化を行う技術 → 正解。SOARの本質を正しく表現。
- イ: 全ての利用者やデバイスを信頼しない考え方はゼロトラストセキュリティの説明であり、SOARとは異なる。
- ウ: 脅威情報の交換を自動化するプロトコル仕様はSTIXやTAXIIなどの脅威インテリジェンス共有技術の説明であり、SOARの説明ではない。
- エ: 複数のセキュリティ製品のログ集約と相関分析の自動化はSIEM(Security Information and Event Management)の役割であり、SOARとは異なる。
補足コラム
SOARはSIEMと連携して使われることが多く、SIEMがログの収集・分析を担当し、SOARが分析結果を基に自動化された対応を実行します。これにより、セキュリティ運用の効率化と迅速なインシデント対応が可能になります。
FAQ
Q: SOARとSIEMの違いは何ですか?
A: SIEMはログの収集・分析に特化し、SOARはその分析結果を活用して対応を自動化・調整する技術です。
A: SIEMはログの収集・分析に特化し、SOARはその分析結果を活用して対応を自動化・調整する技術です。
Q: SOARはどのような場面で効果的ですか?
A: インシデント対応の迅速化や複数ツールの連携による運用効率化が求められるセキュリティ運用現場で効果を発揮します。
A: インシデント対応の迅速化や複数ツールの連携による運用効率化が求められるセキュリティ運用現場で効果を発揮します。
関連キーワード: SOAR, セキュリティ自動化、インシデント対応、脅威インテリジェンス、SIEM, ゼロトラスト、セキュリティ運用
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!