SOAR：セキュリティとIT運用を変革

Kassandra Murphy

「SOAR」と聞くとたいていは、「セキュリティのオーケストレーションと自動化によるレスポンス」の略として、セキュリティ運用を合理化するための強力なソリューションを思い浮かべるでしょう。しかし、SOARの能力はそれだけにとどまりません。SOARは、IT運用、インフラ管理、クラウドの最適化における効率向上と自動化を促進して、組織内のあらゆるチームがよりスマートに業務を遂行し、問題にすばやく対応できるように支援します。

SOARをセキュリティの枠を超えて活用

IT運用やワークフローを変革するためのSOARの活用方法をいくつかご紹介します。

パッチ適用とアップデートの自動化
- 監視アラートや脆弱性スキャンの結果に基づいてパッチを自動的に適用することで、システムを最新の状態に保ち、アップデートの成否を検証できます。
クラウドリソースのスケーリングとコストの最適化
- リソースの使用状況に関するメトリクスに基づいてリソースを自動的に増減できます。アマゾンウェブサービス(AWS)、Azure、Google Cloud Platform (GCP)からデータを取り込んで、パフォーマンスを最適化し、使用率の低いリソースを自動的に解放して、不要なコストを削減できます。
システムの停止と切り離し
- パフォーマンスと健全性の指標に基づいてホストを自動的に停止、再起動、または切り離すことで、手作業によるボトルネックを排除し、インフラの運用を円滑化できます。
サービスの再起動とネットワークの最適化
- 異常やパフォーマンスの低下が検出されたときに、ユーザーに影響が及ぶ前に重要なアプリケーションやサービスを自動的に再起動できます。さらに、インシデントの発生時に動的にネットワークトラフィックを再ルーティングしたり、監視データに基づいてパスを最適化したりすることで、稼働時間とパフォーマンスを向上させることもできます。
インシデントへのコンテキスト追加とチケット作成によるワークフローの自動化
- セキュリティ運用だけでなくIT運用でも、インシデントの発生時に、関連するログ、メトリクス、設定データを抽出して、インシデントにコンテキストを追加できます。これにより、調査時間を短縮し、対応の精度を高めることができます。さらに、ServiceNowでチケットを作成し、アラートに基づいてワークフローを開始することもできます。
Infrastructure as Code (IaC)
- インフラのデプロイや、アノマリ検出に基づくロールバックを自動化することで、運用ニーズに合わせてインフラを柔軟に変更できます。
プロアクティブな保守
- バックアップ、ログローテーション、ディスクのクリーンアップなどの定期的な保守作業を指定のスケジュールで自動実行することで、手動作業を最小限に抑えながら環境の健全性を維持できます。
サービスのプロビジョニングとコンテナの管理
- サービスやコンテナを需要に基づいて自動的にプロビジョニング、プロビジョニング解除、スケーリングすることで、無駄を排除し、リソースの割り当てを最適化できます。

オブザーバビリティ+自動化

SOARの真価は自動化だけではありません。オーケストレーションとインテリジェントな対応にも大きな価値を発揮します。SOARをオブザーバビリティデータと組み合わせれば、運用効率を次のレベルに引き上げることができます。

監視
- サービスの遅延、エラー率、ユーザーへの影響に基づいて異常を検出し、自動化プレイブックを実行できます。
エンリッチメント
- ログ、システムメトリクス、ユーザーへの影響を示すデータ、履歴トレンドを取り込んで、詳細なコンテキストを追加できます。
対応
- Slackでのチームへの通知、ServiceNowでのインシデント作成、直接的な対応の実行(再起動、ロールバック、スケーリング)が可能です。

たとえば、サービス遅延が600ミリ秒に達し、30%のユーザーに影響が及ぶ場合、SOARで以下の処理を実行できます。

Splunkからログを取得する
システムのメトリクス(CPUとメモリの使用率)を確認する
遅延の原因になっている依存関係を特定する
実用的なインサイトを付加したアラートをエンジニアに送信する
修復作業を自動的に実行する(サービスの再起動、変更のロールバック、リソースの追加など)

まとめ

SOARの新たな可能性を引き出しましょう。SOARの強力な自動化能力を活用すれば、セキュリティだけでなくIT運用のプロセスも合理化できます。セキュリティ以外のSOARのユースケースにご興味がある場合は、Splunkがご支援します。ぜひお問い合わせください。

このブログはこちらの英語ブログの翻訳、山村悟史によるレビューです。

Kassandra Murphy

Kassandra Murphy is an energetic cybersecurity professional and U.S. Navy veteran with over a decade of experience as a security practitioner. As a Senior Solutions Architect at Splunk, she combines technical expertise with strong communication skills to help customers navigate cybersecurity challenges. Passionate about empowering others in tech, she advocates for women’s rights and thrives at the intersection of strategy and execution. A dedicated dog lover and lifelong learner, she is committed to making security more effective and accessible.

セキュリティ 7 分程度

テレワークにおけるセキュリティ課題とその対策方法

テレワークにあたり、社員の方の在宅勤務状況の管理、テレワークの条件設定、ネットワークの整備などどのような対策を取っていますでしょうか。テレワークにおけるセキュリティ課題とその対策方法についていくつかご紹介したいと思います。

セキュリティ 3 分程度

2022年IDC MarketScapeのSIEM部門でSplunkがリーダーに選出

全世界を対象にした2022年IDC MarketScapeのSIEMソフトウェア部門で、Splunkがリーダーに選出された理由をご説明します。

セキュリティ 7 分程度

CrowdStrike製品によるWindows障害の影響を評価するためのSplunkセキュリティコンテンツ

このブログ記事では、SplunkとCrowdStrike製品をご利用のユーザー向けに、CrowdStrike製品による障害の影響範囲を詳しく調査する方法をご紹介します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら