「SIEM」と「SOAR」は何が違う？　“アラート疲れ”から抜け出す一手：似て非なるSIEMとSOAR【前編】

ログ監視ツール「SIEM」はセキュリティ運用において重要な役割を果たす一方、増え続けるアラートで運用現場を疲弊させがちだ。自動化ツール「SOAR」は、こうした状況の救世主になり得る。両者は何が違うのか。

≫ 2025年08月06日 05時00分公開

SIEMだけでは対処が追い付かない場合とは？

併せて読みたいお薦め記事

セキュリティツールの選び方

　航空会社Airbusのサイバーセキュリティ部門でCTO（最高技術責任者）を務めるパディー・フランシス氏は、SIEMの成り立ちについて「ネットワーク内にあるさまざまな形式のログを集約する必要性から生まれた」と説明する。具体的には侵入検出システム（IDS）やファイアウォール、エンドポイント保護ツールといったシステムのセキュリティイベント情報が集約の対象だ。

　フランシス氏によると、SIEMはログファイルを収集するだけではなく、データを手動で検索、分析する手段も提供する。一般的にはデータ分析機能を用いてアラートを生成したり、セキュリティアナリストにさまざまな角度からデータを提示したり、レポートを提供したりするという。

　SIEMには脅威検出ルールを作成するための機能も備わっている。この機能は、進行中の攻撃を示唆する一連のイベントを特定する他、インシデント管理システムなど関連システムと連携することも可能だ。

　だがSIEMが扱うイベントは膨大で、攻撃も巧妙化しているとフランシス氏は警鐘を鳴らす。同氏は例として、エンドユーザーがフィッシングメールのリンクをクリックしてから20分未満でネットワークに侵入する攻撃グループを挙げる。同氏の見積もりでは、フィッシングメールでのリンクのクリックから攻撃グループの侵入までは、平均で2時間弱だという。

　こうした状況から「1-10-60ルール」という考え方が生まれたとフランシス氏は説明する。これは「攻撃を1分以内に検出し、10分以内に状況を把握し、60分以内に封じ込める」という目標だ。だが同氏は、「非常に優秀なSOCアナリストであっても、SIEMツールだけではこの目標を達成するのは困難だ」と指摘する。

　そこで役立つのがSOARだ。調査会社Gartnerは、SOARの最も一般的な活用例は、報告された不審メールへの対処のトリアージ（優先順位付け）の自動化だと説明する。メールが悪意のあるもので対処が必要かどうかを判断するというタスクは、日々大量に発生する定型作業であり、自動化にうってつけの領域だと言える。

　SOARは、インシデントの検出と対処を自動化して攻撃への反応速度を速めるための仕組みだ。SIEMやインシデント管理システム、ファイアウォール、プロキシ、脅威インテリジェンスツールといった多様な仕組みと連携し、検出から対処までの一連の流れを自動で実行する。

セキュリティの自動化にSOARはどう役立つのか

　フランシス氏によると、セキュリティ運用チームは通常、インシデントの検出から封じ込めに至るまでの判断や対処手順をまとめた「プレイブック」を持っている。SOARは、プレイブックに沿った一連の作業を自動化できる。自律的に判断して調査を進め、脅威インテリジェンスを参照した上で、次のアクションの推奨事項を添えて分析結果をSOCアナリストに提示する。

　SOCアナリストの判断を基にアクションを自動実行したり、プロセス全体を自動化したりすることも可能だ。「攻撃用サーバとの通信が疑われる不審な通信を検出した場合、プレイブックに基づいて関連情報を収集するといった対処が考えられる」とフランシス氏は述べる。この場合、SOCアナリストに通知が送られ、通信のブロックや該当デバイスの隔離といった選択肢が提示される。SOCアナリストがいずれかを選択すると、そのアクションが自動で実行されるという流れだ。その間、関係者に対してはインシデント管理ツールやコラボレーションツールを通じて状況を共有し、必要に応じてレポートも作成する。

　次回は、SOARの導入を検討すべきかどうかの判断基準と、導入を成功させるヒントを解説する。

TechTargetジャパントップセキュリティ