情報処理安全確保支援士試験 令和6年秋期午前Ⅱ SOAR
出典:令和6年秋期 午前Ⅱ 問11
分野:セキュリティ / 情報セキュリティ対策
SOAR(Security Orchestration,Automation and Response)の説明はどれか。
- ア:脅威インテリジェンスの活用,セキュリティ運用の自動化及びインシデント対応の効率化を行う技術
- イ:全ての利用者,デバイス,接続元を信頼できないものとして捉え,重要な情報資産やシステムに対するアクセスの正当性や安全性の検証を自動化することによって脅威を防ぐ考え方
- ウ:組織間でサイバー攻撃に関する情報を効率的に交換するために,脅威情報構造化記述形式で記述された情報の交換を自動化するためのプロトコル仕様
- エ:ファイアウォール,マルウェア対策製品,侵入検知製品など複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置
TSUNAGARU-ADVICE
まず押さえたいこと
SOARは、セキュリティ運用において、脅威情報の活用・対応手順の自動化・インシデント対応の効率化を行う仕組みです。
迷ったときの判断軸
SOARは、ログを集約して相関分析するSIEMとは異なり、検知後の対応を自動化・効率化する点に特徴があります。したがって、セキュリティ運用を連携・自動化し、対応までつなげる技術と整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、セキュリティ製品を名称で覚えるだけでなく、検知・分析・対応・自動化のどこを担う仕組みなのかを切り分ける力が問われます。SOARは、複数の情報や製品を連携させ、インシデント対応を標準化・自動化する仕組みとして理解しておきましょう。
SOARは、セキュリティ運用を自動化・効率化するための仕組みです。
インシデントの検知・分析・判断・対応といった作業を、複数のセキュリティツールやシステムと連携しながら自動で進めます。これにより、担当者の作業負荷を減らし、対応を速くし、人為的ミスを減らすことができます。
SOARには、主に次の3つの要素があります。
つまりSOARは、セキュリティ対応の流れを整理し、単純作業を自動化して、素早く正確に対応するための仕組みです。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:全ての利用者,デバイス,接続元を信頼できないものとして捉え,重要な情報資産やシステムに対するアクセスの正当性や安全性の検証を自動化することによって脅威を防ぐ考え方
⇒ゼロトラストの説明です。SOARはセキュリティ運用やインシデント対応を自動化・効率化する技術です。
ウ:組織間でサイバー攻撃に関する情報を効率的に交換するために,脅威情報構造化記述形式で記述された情報の交換を自動化するためのプロトコル仕様
⇒TAXIIの説明です。STIXで記述された脅威情報を交換するためのプロトコル仕様です。
エ:ファイアウォール,マルウェア対策製品,侵入検知製品など複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置
⇒SIEMの説明です。SOARは分析だけでなく、対応手順の自動化やオーケストレーションを行う点が特徴です。