セキュリティを高めるなら「SIEM」か「SOAR」かどちらを選ぶべきか：攻撃の巧妙化に対抗

防御力を高めたり、セキュリティ運用を効率化させたりするツールとして「SIEM」と「SOAR」がある。企業はどちらを導入すべきか。両者の違いや、それぞれの役割を整理する。

[TechTargetジャパン]

　攻撃の巧妙化によって、企業のセキュリティ対策は脅威の「検知」だけではなく、「迅速な対処」と「運用の効率化」が求められている。これを実現するためのツールとして、「SIEM」（Security Information and Event Management）と「SOAR」（Security Orchestration, Automation and Response）がある。企業は、SIEMとSOARのどちらを導入すべきか。あるいは、両者を組み合わせればいいのか――。SIEMとSOARのそれぞれの特徴を整理しながら分析する。

SIEMの強みと弱点

併せて読みたいお薦め記事

セキュリティ「5大トレンド」

• AIの「危険性」と「可能性」　セキュリティ担当者はどう向き合うべきか
• 量子コンピューティングの「脅威」は現実になるのか　リスクと対策を解説

　まず、 SIEMの役割を把握しよう。SIEMは、ネットワーク機器やファイアウォール、不正侵入検知／防御システム（IDS／IPS）、エンドポイント保護ツールなど、さまざまなシステムから生成されるログやイベント情報を一元的に収集して分析する仕組みだ。それを踏まえ、不審な振る舞いを検知し、担当者に知らせる（出典：いまさら聞けない「SIEM」「SOAR」「XDR」の役割と活用シーン）。

　ログを相関分析してアラートを上げたり、過去の攻撃データベースとの照合で脅威を浮き彫りにしたりできる点が、SIEMの強みだ。こうした一元ログ管理は、インシデント対処の土台になるだけではなく、コンプライアンス（法令順守）や監査対応での証跡保持にも役立つ。

　しかし一方で、SIEMだけでは限界がある。近年の攻撃はスピードも複雑さも格段に上がっており、フィッシングメールのクリックからシステム侵入まで短時間で完了するようなケースもある。

　セキュリティ専門家からは、たとえSIEMによって異常が検知されても、その後の調査や対処を人手で実施していては、所定の「1-10-60ルール」（1分以内検出、10分以内状況把握、60分以内封じ込め）を達成するのは現実的ではない、との指摘がある。加えて、SIEMは不要なアラートもあり、セキュリティ担当者の“アラート疲れ”を招きやすいというデメリットもある（出典：「SIEM」と「SOAR」は何が違う？　“アラート疲れ”から抜け出す一手）。

SOARでSIEMを補う

　ここでSOARの登場だ。SOARは、検出されたインシデントのデータを基に、あらかじめ定義した「プレイブック」（対処手順書）に従って、対処を自動化する。例えば、不審なメールを受信した際の初動対応や、関連システムの隔離、社内通知などを自動で実行することを可能にする。

　企業はSOARを導入すれば、日々大量に上がるアラートの中から重要性の高いものを選別し、迅速に対処する流れを整えられる（出典：いまさら聞けない「SIEM」「SOAR」「XDR」の役割と活用シーン）。SOARは対処の標準化にも寄与する。

　こうして整理すると、SIEMとSOARは目的や役割が異なるが、補完関係にあると言える。SIEMが「何が起きているか」を検知し可視化する“目と脳”であるなら、SOARは「どう対処するか」を自動化する“手足”のような存在になる。企業にとっては、SIEMを導入した上で、運用の成熟度や人員、対応速度の必要性に応じてSOARを重ねるのが現実的だろう。

失敗を避けるための注意点

　ただし、SIEMとSOAR は「導入」で終わりではない。SIEM／SOARシステムは適切に構成・運用しなければ効果が出づらいと、セキュリティ専門家から指摘されている。導入後の継続的なチューニング、運用ルールの見直し、自動化の設定などに十分に取り組まないと、誤検知や過剰なアラートといった問題が起きる可能性がある。

　SOARに関して言えば、全ての環境でSOARが生きるわけではない。例えば、社内のシステム構成が複雑で、セキュリティツール群が断片化している場合、SOARの連携先を整備するコストが高くつきかねない。セキュリティ担当者のスキルも問われる。調査会社Gartnerは、SOAR導入の主な障壁が「セキュリティ運用チームにおけるプロセス自体の欠如や未熟さ」にあると指摘している（出典：「SOAR」導入はなぜ失敗する？　知っておくべき“成否の分け目”）。

SIEMかSOARかを導入すべきかの判断基準

　では、どのような企業がどちらを選ぶべきか。判断の指針として以下を挙げられる。

• ログ量が少なく、対処すべきアラートが少ない小規模〜中規模企業では、まずSIEMを導入し、監査やログの可視化、インシデントの痕跡管理に注力する。
• アラートが多く、対応工数が圧迫されている環境では、SOARを追加して自動化や対応の標準化を通じて運用負荷を軽減する。
• 攻撃対象が多様で、クラウドシステムとオンプレミスシステムなどが混在する大規模環境では、SIEMとSOARに加えて、「XDR」（Extended Detection and Response）のような統合ツールの採用を検討する価値がある（参照：「SIEM」「SOAR」「XDR」は何が違う？　自社に合うツールを選ぶ10ステップ）。

　結論として、SIEMとSOARのどちらを導入すべきかは企業の規模、セキュリティ運用の成熟度、対処に割ける人員とコスト、必要なスピードなどによって変わる。

導入手順：SIEM／SOARを実用に移すためのロードマップ

　企業が SIEMやSOARを導入する際には、ただ製品を導入すればよいというわけではない。システムを適切に設計し、運用体制や目的を明確にしなければ、期待する効果を得られない可能性がある。以下は、大半の企業で有効とみられるSIEM／SOAR導入プロセスになる。

• 現状分析と目的の明確化
  • まず自社のIT環境、セキュリティの脅威、既存ログ収集状況、対応リソースを棚卸する。
• ログ収集対象の選定と優先度付け
  • ログを全て集めればよいというわけではない。どのログを収集するか、優先度をつけることが重要だ。
• 初期設定の実施
  • 選んだログソースからログを収集し、分析可能な形式にする。これによって、異なるシステム間での相関分析が可能になる。
• 運用体制と運用ルールの整備
  • ログ管理、アラート監視、初動対応、報告といった運用プロセスを整備する。
• 試運転とチューニング
  • 最初のログ収集・検知設定の後、数週間〜数カ月かけて実際の運用を回し、誤検知やノイズ、抜けの有無を確認する。
• 定期的なレビューと改善
  • ログソース、検知ルール、プレイブック、運用体制、保存ポリシーなどを定期的に見直す。