情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ 問11: SOAR(Security Orchestration, Automation and Response)の説明はどれか。
←情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ
R(Security Orchestration, Automation and Response)の説明はどれか。
問題本文
SOAR(Security Orchestration, Automation and Response)の説明はどれか。
選択肢
- ア.脅威インテリジェンスの活用,セキュリティ運用の自動化及びインシデント対応の効率化を行う技術
- イ.全ての利用者,デバイス,接続元を信頼できないものとして捉え,重要な情報資産やシステムに対するアクセスの正当性や安全性の検証を自動化することによって脅威を防ぐ考え方
- ウ.組織間でサイバー攻撃に関する情報を効率的に交換するために,脅威情報構造化記述形式で記述された情報の交換を自動化するためのプロトコル仕様
- エ.ファイアウォール,マルウェア対策製品,侵入検知製品など複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置
正解
ア. 脅威インテリジェンスの活用,セキュリティ運用の自動化及びインシデント対応の効率化を行う技術
解説
SOARは、脅威インテリジェンスの取り込み、定型的なセキュリティ運用の自動化(オーケストレーション)、インシデント対応のプレイブック実行を統合し、対応を迅速・効率化する技術・基盤。人手不足のSOC運用を支える点が問題文と一致し、アが正解。実務ではSIEMが検知したアラートを起点に、隔離やチケット起票などの初動を自動化して対応時間を短縮する。
選択肢ごとの解説
- ア.脅威情報活用・運用自動化・対応効率化を行う技術というSOARの定義に一致し、正しい。
- イ.全てを信頼しない検証の考え方はゼロトラストの説明で、SOARとは別概念なので誤り。
- ウ.構造化記述形式の情報交換を自動化するプロトコルはTAXIIの説明で、SOARではないので誤り。
- エ.複数製品のログ集約と相関分析を行うのはSIEMの説明で、SOARの定義としては不十分で誤り。
情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ の過去問一覧へ戻る・問11