2019年11月15日 05時00分 公開
特集/連載

「SOAR」と「SIEM」の違いとは? セキュリティ業務を効率化する2大手段どちらが向いている?

セキュリティ運用に関する製品分野として、「SIEM」(Security Information and Event Management)と「SOAR」(Security Orchestration, Automation and Response)がある。これらの違いは何か。

[Andrew Froehlich,TechTarget]
画像

 「SIEM」(Security Information and Event Management)と「SOAR」(Security Orchestration, Automation and Response)は、共通の構成要素を持つセキュリティ製品分野の名称だ。両者の違いを理解して適切に選択することで、さまざまなデータをセキュリティ対策に生かしやすくなる。

SIEM

 SIEM製品は、他のセキュリティ製品やサーバ、ネットワーク機器、アプリケーション、データベースなどのデータソースから、ログやイベントに関するデータを一元的に収集する。収集可能なデータソースの一般的な例としては以下がある。

  • ファイアウォール
  • 侵入防止システム(IPS)
    • トラフィックを監視し、不正侵入を検出するシステム
  • マルウェア対策製品
  • データ損失防止(DLP)製品
    • データを解析し、機密情報が流出することを防止する
  • セキュアWebゲートウェイ(SWG)
    • URLフィルタリング、プロキシサーバなどの機能を備えた統合的なWebセキュリティ製品

 収集したデータをSIEM製品でリアルタイムに分析することにより、潜在的なセキュリティ問題の検出が可能だ。複数のソースから得たデータを相互に関連付けて脅威を特定し、各SIEM製品に備わるインテリジェンス(情報源)を参照し、その深刻度を基準にイベントをランク付けする。

 セキュリティ管理者は、さまざまなイベントをふるいに掛けて、そこに潜む脅威の原因を見つけ出し、それを修正しなければならない。あるいは脅威があることを認識した上で、そのイベントに害がないことを明らかにし、分析エンジンを調整することが必要だ。これにより、SIEM製品が「真の脅威」と「疑わしいだけのイベント」の違いを学習できるようになる。

SOAR

ITmedia マーケティング新着記事

news051.jpg

ミレニアル世代・Z世代の離職意向が低下、コロナ禍を機に精神的健康も改善――Deloitte調査
世界各国のミレニアル・Z世代約2万7500人を対象にした年次調査。今回は新型コロナウイル...

news078.jpg

新規事業の実態 最重要KPI「100%以上達成」は約2割――クニエ調査
新規事業の「最重要KPI」「スケジュール遅延」「開発規模」の結果に対して、その要因とな...

news056.jpg

福田康隆氏、NEC東海林直子氏らが語る営業のデジタルシフト まずどこから始めればいい?
お客さまに会って課題を与えてもらうスタイルから、営業自身が課題を先に探して提示する...