どちらが向いている？「SOAR」と「SIEM」の違いとは？　セキュリティ業務を効率化する2大手段

セキュリティ運用に関する製品分野として、「SIEM」（Security Information and Event Management）と「SOAR」（Security Orchestration, Automation and Response）がある。これらの違いは何か。

[Andrew Froehlich，TechTarget]

併せて読みたいお薦め記事

セキュリティ対策製品／サービスの選び方

企業に必要なセキュリティ対策の進め方

SIEM

　SIEM製品は、他のセキュリティ製品やサーバ、ネットワーク機器、アプリケーション、データベースなどのデータソースから、ログやイベントに関するデータを一元的に収集する。収集可能なデータソースの一般的な例としては以下がある。

ファイアウォール
侵入防止システム（IPS）
- トラフィックを監視し、不正侵入を検出するシステム
マルウェア対策製品
データ損失防止（DLP）製品
- データを解析し、機密情報が流出することを防止する
セキュアWebゲートウェイ（SWG)
- URLフィルタリング、プロキシサーバなどの機能を備えた統合的なWebセキュリティ製品

　収集したデータをSIEM製品でリアルタイムに分析することにより、潜在的なセキュリティ問題の検出が可能だ。複数のソースから得たデータを相互に関連付けて脅威を特定し、各SIEM製品に備わるインテリジェンス（情報源）を参照し、その深刻度を基準にイベントをランク付けする。

　セキュリティ管理者は、さまざまなイベントをふるいに掛けて、そこに潜む脅威の原因を見つけ出し、それを修正しなければならない。あるいは脅威があることを認識した上で、そのイベントに害がないことを明らかにし、分析エンジンを調整することが必要だ。これにより、SIEM製品が「真の脅威」と「疑わしいだけのイベント」の違いを学習できるようになる。

SOAR

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(//image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

TechTargetジャパントップセキュリティ