第44回「EDR」や第45回「XDR」といった高度な検知システムを導入すると、管理者のもとには毎日膨大な数のアラートが届くようになります。しかし、それらを手作業で一つずつ確認し、対処していては、どれほど人員がいても足りません。
そこで重要になるのが、ログを集約・分析するSIEM(シーム)と、対応を自動化するSOAR(ソア)です。今回は、これら2つの役割の違いと、連携が生み出すメリットについて解説します。
SIEM(シーム)とは?:ログの「翻訳・分析」担当
SIEM(Security Information and Event Management)は、組織内のあらゆる機器(サーバー、ネットワーク、EDR、クラウドなど)から吐き出されるログをリアルタイムで収集・分析するシステムです。
豆知識:SIEMの読み方 一般的には「シーム」と読みます。
SIEMの主な役割
- ログの一元管理: バラバラの形式で出力されるログを、共通の形式に整えて集計します。
- 相関分析: 単体では無害に見える「深夜のログイン成功」と「大量のデータ転送」という2つのイベントを紐付け、「情報漏洩の疑い」として検知します。
- 可視化とレポート: セキュリティ状況をダッシュボードに表示し、監査に必要なレポートを自動生成します。
SOAR(ソア)とは?:対応の「自動化・連携」担当
SOAR(Security Orchestration, Automation and Response)は、SIEMなどが見つけた脅威に対し、「次に何をすべきか」を自動で判断し、実行に移すシステムです。
豆知識:SOARの読み方 一般的には「ソア」と読みます。
SOARの主な役割
- オーケストレーション: 異なるメーカーの製品(FW、EDR、ID管理など)を連携させ、一連の動きを指示します。
- オートメーション(自動化): 「怪しいIPをブラックリストに入れる」「感染したPCを隔離する」といった定型作業を自動で行います。
- インシデント管理: 発生した問題の対応状況を管理し、担当者間での情報共有を円滑にします。
SIEMとSOARの決定的な違い
よく混同されますが、役割を料理に例えると非常にわかりやすくなります。
- SIEMは「優れたレシピ本」: 冷蔵庫にある大量の食材(ログ)から、「これは中毒の危険がある組み合わせだ!」と気づき、警告を出してくれます。
- SOARは「自動調理ロボット」: レシピ本(SIEM)の指示に従って、実際に手を動かし、傷んだ食材を捨てたり(通信遮断)、コンロの火を止めたり(アカウントロック)してくれます。
つまり、「分析のSIEM」と「アクションのSOAR」という関係性です。
ゼロトラスト環境でなぜこれらが必要なのか?
第39回で解説した「ゼロトラスト」では、境界線がなくなるため、守るべき範囲が無限に広がります。
第41回で学んだ「IDaaS」の認証ログや、第43回で学んだ「TLS 1.3」の暗号化通信の統計情報などをすべて人間が監視するのは不可能です。 SIEMでこれら全ての「異常の兆し」を捉え、SOARによって秒単位で対処を行うことで初めて、現代のスピード感あるサイバー攻撃に対抗できるようになります。
まとめ
SIEMとSOARは、現代の高度なセキュリティ製品を使いこなすための「頭脳」と「手足」です。
- SIEM(シーム): 膨大なログを分析し、脅威の兆候を見つけ出す。
- SOAR(ソア): 脅威への対応を自動化し、管理者の負担を激減させる。
- セットでの運用: 検知から対処までをスピードアップさせ、被害を最小化する。
次回の第47回では、これまでの「守り」の技術が本当に機能するかを試す実践的なテスト、「ペネトレーションテスト(侵入テスト)の重要性」について解説します。
コメント