用語比較
SIEMとSOARの違い
SIEMはログを集約・分析して検知を支える基盤、SOARはアラート後の調査・通知・封じ込めを自動化する基盤。
- 難易度
- 中級
- 想定読者
- SOC志望・情シス・運用設計者
- 所要時間
- 約8分
SIEMとは
Security Information and Event Management。複数システムのログを集約し、相関分析や検知に使う。
SOARとは
Security Orchestration, Automation and Response。対応手順を自動化・標準化し、調査や封じ込めを支援する。
違いの比較表
| 比較軸 | SIEM | SOAR |
|---|---|---|
| 主目的 | ログ集約、検索、相関分析、検知 | 対応フローの自動化、通知、チケット化、封じ込め |
| 入力 | ログ、イベント、アラート | SIEMやEDRなどからのアラート |
| 出力 | 検知ルール、ダッシュボード、アラート | Playbook実行、通知、チケット、隔離操作 |
| 導入前提 | ログ設計と検知ルールが必要 | 標準化された対応手順が必要 |
使い分け
- まずはSIEMで必要なログを集め、検索できる状態を作る
- 繰り返し発生するアラート対応をSOARで自動化する
- 自動封じ込めは業務影響が大きいため、承認ステップを設計する
よくある誤解
- SOARを入れればSOC運用が自動で成熟する、とは限らない
- SIEMはログを入れるだけでは価値が出ず、検知設計が必要
- すべてを自動隔離すればよいわけではなく、誤検知時の影響を考える必要がある