SOARとは、Security Orchestration, Automation and Response(セキュリティのオーケストレーションと自動化によるレスポンス)の意味の略称で、セキュリティインシデントの監視、理解、意思決定、アクションを1つのインターフェイスで効率的に行えるようにするテクノロジーです。
SOARは、Gartner社が提唱した言葉であり、セキュリティのオーケストレーションと自動化、セキュリティインシデント対応プラットフォーム(SIRP)、脅威インテリジェンスプラットフォーム(TIP)を集約したものを表します。SOARという略語は混同されがちで、SA&Oと呼ばれていることもあります。しかし本当のSOARプラットフォームには、セキュリティの自動化(SA)や、セキュリティの自動化とオーケストレーション(SA&O)だけにとどまらず、本格的なインシデント対応機能も統合されています。
セキュリティ運用、つまりセキュリティチームがアラートや脅威の管理、分析、対応を行う方法は、SOARによって大きく変わろうとしています。何らかの形でセキュリティを自動化しなければ、サイバー攻撃が増加して不正行為者も巧妙化する中で、セキュリティアナリストたちが手動で対処する事態になります。
セキュリティアナリストが処理しなければならないアラートは数千件(場合によっては数百万件)に及ぶため、重要視して対策を講じるべきアラートと、無視できるアラートを見極める必要があります。適切な人員が揃っていなければ、インシデントの対応と復旧に数日もしくはそれ以上かかることもあるでしょう。業界では世界的にサイバーセキュリティに対応できる人材が大幅に不足しているのです。ASO
このような状況下で、貴社のセキュリティチームもアラート疲れを起こしているかもしれません。そうなれば、問題に手早く場当たり的に対処して、本当の脅威を見逃したり、膨大なミスを犯したりする恐れが生じます。
このような状況を解消するのがSOARです。端的にいうと、SOARプラットフォームはセキュリティ管理者を忙殺している定型的なタスクを自動処理するとともに、セキュリティインフラ全体のオーケストレーションを可能にして生産性を向上させるためのものです。その結果、処理できるインシデント数が増え、重要性の高い問題をより深く調査できるようになり、組織全体のセキュリティ体制を広く強化できます。
この記事では、セキュリティの自動化とオーケストレーションなどのSOARのコンポーネントとSIEMの違いなどについて説明します。また、企業にとってSOARが重要である理由や、SOARソリューションの価値を最大限に引き出す方法についても述べます。
SOARとSIEMの違い
ほとんどのSOARソリューションはSIEM(セキュリティ情報/イベント管理)とともに導入されますが、これらは同じものではありません。
SIEMは環境内のアクティビティを完全に可視化し、脅威をリアルタイムに特定できるセキュリティ管理システムです。幅広いソースからのセキュリティ関連データの収集、解析、分類がわずか数秒で行われ、そのデータを分析して、通常と異なる挙動などについてインサイトが提供されるため、それに基づいてアクションをとることができます。
SOARとの共通点は、手動では不可能な作業を行う点です。また、社内からエンドユーザーに至るネットワークインフラに分散したサーバー、システム、デバイス、アプリケーションなどのソースからイベントデータを集約するという点も共通しています。SOARプラットフォームと異なるのは、SIEMソリューションがセキュリティデータのリポジトリとして機能し、利用可能なすべてのデータを効率よく検索、相関付け、分析できるという点です。
なお、SIEMとSOARは互いに補完する関係であるため、多くのベンダーはこの2つを両方とも提供しており、ゆくゆくは1つのプラットフォームに統合される可能性もあります。
SOARはなぜ重要か?
貴社のセキュリティチームは大量のアラートに忙殺されていませんか。そのアラートの多くは、誤検出と以前にもあったアラートの繰り返しです。平均的なセキュリティチームは週に175,000件以上のアラートに対処しています。こうした膨大なノイズの中に本物の脅威が隠れており、セキュリティアナリストが手動で処理していては、多くの脅威が野放しになってしまいます。
ここで効果を発揮するのがSOARです。定型的なアクションを繰り返し行う負担が軽減され、セキュリティチームはより重要な作業に注力できます。
SOARを導入すれば、以下のことが可能になります。
- セキュリティ、IT運用、脅威インテリジェンスツールを統合する。各種のセキュリティソリューションをすべて、ベンダーが違っていても連携させ、包括的なレベルでデータ収集と分析を実行できます。ばらばらなコンソールやツールを次々と切り替える必要がなくなります。
- すべてを1カ所に表示する。セキュリティチームは、インシデントの調査と修復に必要なすべての情報が得られるコンソールを利用できます。この1カ所にアクセスするだけで、必要な情報にアクセスできます。
- インシデント対応を迅速化する。SOARには、平均検出時間(MTTD)と平均対応時間(MTTR)を短縮する効果があることも実証されています。多くのアクションが自動化されるので、インシデントの大部分は速やかに自動で処理できます。
- 時間を浪費するアクションを回避する。セキュリティアナリストの時間を消費していた誤検出、反復的タスク、手動プロセスは、SOARによって大幅に削減されます。
- より優れたインテリジェンスを利用できる。SOARソリューションは、脅威インテリジェンスプラットフォーム、ファイアウォール、侵入検知システム、SIEMなどのテクノロジーからデータを集約して検証し、セキュリティチームにより適切なインサイトとコンテキストを提供します。そのため、問題解決が容易になり、手順も改善できます。問題が発生しても、アナリストはより深く広い調査ができるようになります。
- レポートとコミュニケーションを改善する。すべてのセキュリティ運用アクティビティが1カ所に集約され、直感的なダッシュボードに表示されるので、関係者は必要なあらゆる情報を取得できます。ここで得られる明確なメトリクスを活用して、ワークフローを改善する方法や対応時間を短縮する方法を見つけられます。
- 意思決定力を強化する。経験の浅いセキュリティアナリストでも簡単に使えるよう、SOARプラットフォームには既製のプレイブック、ドラッグアンドドロップでプレイブックをゼロから構築する機能、アラートの自動優先順位付けなどの機能が搭載されています。また、SOARツールはデータを収集してインサイトを提供することができるため、アナリストは容易にインシデントを評価し、それを修復する適切なアクションを実行できます。
SOARの価値を最大限に引き出すには?
すべてのセキュリティツールと同様に、SOARの本当の価値を引き出せるかどうかは、使い方にかかっています。しかし同じくらい重要なのが、ツール導入前のステップです。以下のベストプラクティスに従うことで、SOARプラットフォームへの投資から最大限の価値を得られます。
- 優先順位を確立する。自分たちの組織で自動化が有効な箇所をまず評価し、それから各ニーズに優先順位を付けることをおすすめします。全体を考慮して、最も頻発しているインシデントと、調査と解決に最も時間がかかっているインシデントを明らかにしましょう。そして、業界と組織の目標に応じてユースケースを決め、SOARをどのように使うかをリストアップします。なお、ユースケースを決めるときには、たとえすぐには導入しない予定であっても、セキュリティ運用チーム全体の関係者を巻き込みましょう。ベンダーを調査するときにこのような優先順位に留意すると、長期的に使えるSOARプラットフォームが見つかりやすくなります。
- プレイブックを作成する。セキュリティチームが常に一貫した反復可能なプロセスを実施できるよう、インシデントを効果的に解決するための手順、指示、ベストプラクティスを文書化しておくことが重要です。策定するプレイブックの優先順位を決めるときには、チームが最も時間を割いている反復的なタスクを排除できるプレイブックを優先しましょう。
- 今あるツール、アプリ、APIをリストアップする。現在使っているすべてのツールに対応できるベンダーを選択しなければなりません。同時に、各ツールがどれだけ効果をあげているか評価しましょう。入力する情報の質によってSOAR製品の効果が左右されます。そのため、SOARを導入する前にセキュリティインフラをアップグレードする必要がないか検討しましょう。
- スタッフを教育する。SOARプラットフォームはもちろんのこと、セキュリティの自動化ソフトウェアを効果的に使えるよう教育するだけでなく、ソフトウェアでは解決できない複雑なインシデントに対処できるよう教育する必要があります。アラートに人間の介入を求めるフラグが立った場合に備えて、スタッフは問題に対処できるノウハウと自信を持っていなければなりません。
- >新しくできた時間を有効利用する。自動化によってセキュリティチームの生産性が向上し、組織のためになる仕事をしてもらえるようになります。アナリストたちに組織にメリットをもたらす付加価値のあるタスクに取り組んでもらう計画を立てましょう。たとえば、常にフィッシング攻撃への対応に追われている理由を詳細に調査してもらうのもいいでしょう。また、自動化は組織内に新しい役割を生み出します。新しくできた時間を使って継続的な改善モデルを構築し、自動化ロジックを設計、実装、改善するための教育を行いましょう。
- 一気に導入しようとしないこと。はじめからSOARの機能をすべて使おうとせず、徐々に慣れていくのが得策です。特に重要な領域に絞ってシンプルにスタートし、時間をかけて洗練することで、成長に伴う苦労を最小限に抑えながら、SOARプラットフォームの潜在能力をうまくフル活用できます。
セキュリティの自動化とは?
セキュリティの自動化とは、セキュリティに関連するアクションを機械によって実行することです。人手を介することなくプログラムによってサイバー脅威の検出、調査、修復を行います。
セキュリティの自動化によってほとんどの作業を実行できるため、セキュリティスタッフはアラートが発生するたびに選別して対応する必要がなくなります。また、セキュリティの自動化は以下のことを実現します。
- 環境内の脅威を検出します。
- セキュリティアナストが行っていた手順、指示、意思決定のワークフローに従って脅威を選別し、イベントを調査して、本当のインシデントかどうかを見極めます。
- そのインシデントに対してアクションをとるべきかどうかを見極めます。
- その問題を封じ込め、解決します。
このすべてをわずか数秒で、人手を介することなく行います。セキュリティアナリストは時間を浪費する反復的なアクションから解放されるので、付加価値を生み出せる重要性の高い仕事に注力できます。
セキュリティオーケストレーションとは?
セキュリティオーケストレーションとは、複雑なインフラストラクチャ全体で相互に依存する一連のセキュリティアクションを機械的に調整することです。セキュリティツールはもちろん、セキュリティ以外のツールも含めて、すべてを相互に連携させ、複数の製品やワークフローにおよぶタスクを自動化します。
セキュリティオーケストレーションによって、インシデントの調査、対応、そして解決が相互に調整されます。また、すべてが1カ所に集約されてダッシュボードにまとめて表示されるため、セキュリティアナリストは複数の画面やシステムを操作する必要がなくなります。
セキュリティオーケストレーションを使用すると、以下のことが可能になります。
- セキュリティインシデントに関するコンテキストを提供する。セキュリティオーケストレーションツールはさまざまなソースからデータを集め、より詳細なインサイトを提供します。そのため、環境全体を包括的に把握できます。
- 深く掘り下げた有意義な調査を実行できる。セキュリティアナリストはアラート管理から脱却し、インシデントの発生原因を調査できるようになります。また、一般的にセキュリティオーケストレーションにはインタラクティブで直感的なダッシュボード、グラフ、タイムラインなどの視覚的コンポーネントがあり、調査プロセスを効率的に行うことができます。
- コラボレーションを改善する。特定のセキュリティインシデントにおいては、たとえば別の階層のアナリスト、マネージャー、CTOをはじめとするCレベルの経営幹部、法務、人事など、チーム外の関与が必要になることがあります。セキュリティオーケストレーションにより、全員が必要なデータを簡単に取得できるため、コラボレーション、問題究明、解決を効率的に行えます。
オーケストレーションによって防御体制の統合が進むと、セキュリティチームが複雑なプロセスを自動化できるようになり、セキュリティスタッフ、プロセス、ツールの価値が最大限に引き出されます。
セキュリティオーケストレーションのユースケース
SOARプラットフォームの相談をベンダーに持ちかける前に、組織としてそのソリューションをどう使うか検討しておくことをお勧めします。貴社の最大の悩みに対応でき、しかもその製品のメリットを最大限に引き出せる使い方をすべきです。
代表的なセキュリティオーケストレーションのユースケースは業界によって大きく異なります。貴社でSOARをどう活かせるかを考える材料になりそうな例をいくつかご紹介します。
- インシデント対応の自動化でサイバー攻撃に対抗:セキュリティインシデントのタイプや程度はさまざまで、重大な被害を受けている業界もあります。たとえばフィッシング攻撃は全体的に増えていますが、特にヘルスケア業界では爆発的な増加をみせており、その多くは病院のデータベース利用者の資格情報を盗もうとするものです。
小売業界はかつてないほどのランサムウェア攻撃に見舞われていますし、製造業界では工場の脆弱な制御ネットワークがハッカーに狙われることが増えています。
SOARプラットフォームは、このような攻撃の発生源を自動的に検出して調査できます。たとえば、フィッシングと疑われるメールの検出と調査、ネットワーク内に存在するコピーの検索、その検疫または削除、IPやURLのブロックを自動的に行うことで、このような悪意あるメールがほかの人のメールボックスに届かないようにします。
さらにSOARプラットフォームでは、機密データが攻撃者の手に渡る前に脅威を封じ込めることもできるため、対応が数時間ではなく数分で済むようになります。 - 脅威ハンティング:セキュリティチームは1日に何時間もかけて膨大なアラートを処理しているため、通常は脅威ハンティングや調査をしたり、長期的な改善戦略を立てたりする時間がありません。自動化すれば、これまで遭遇した悪意ある脅威のほとんどは瞬時に対処できるようになり、ネットワーク全体のセキュリティを向上させるプロジェクトに取り組む時間ができます。
たとえば金融サービス業界では企業が1分間に約2,000件の攻撃を受けていると言われており、侵害や機密データの盗難はここ5年で3倍に増えています。こうした攻撃の多くは自動化によって速やかに対処できるようになるため、セキュリティアナリストに余裕ができて脆弱性の修正が可能になり、ハッカーによる機密情報へのアクセスを困難にすることができます。 - 侵入テスト:eSecurity Planet社の「2019 State of IT Security」調査によると、4割近くの企業が侵入テストを計画的に実施していないか、まったく実施していません。SOARプラットフォームは、資産の検出、分類作業、対象の優先順位付けを自動化して、侵入テストの実施を可能にします。
- 脆弱性管理の全体を改善:SOARソリューションを使用すると、環境内で新しい脆弱性が発見されたときに、生じるリスクを選別して適切に管理することができます。そのため、弱点について詳細な情報を自動収集して精査したり、侵害やその他の攻撃を防ぐ予防措置を講じるなど、プロアクティブな対策が可能になります。
自動化とオーケストレーションの違い
セキュリティの自動化とは、セキュリティ運用の簡素化と効率化を図るものです。一方でセキュリティオーケストレーションとは、さまざまなセキュリティツールを連携させ、相互にデータを供給できるようにすることです。
セキュリティの自動化とセキュリティオーケストレーションは同じ意味で使われることも多い言葉ですが、この2つのプラットフォームの役割は大きく異なります。セキュリティの自動化の主要な役割は、頻発するインシデントの検出や誤検出の対応にかける時間を減らして、アラートがいつまでも放置される事態を防ぐことです。また、セキュリティアナリストが研究などの戦略的タスクに時間を割けるようにします。ただし、セキュリティの自動化には、とるべきアクションが決まっている既知のシナリオにしか対応できないという限界があります。
これに対してセキュリティオーケストレーションでは、複数のツール間で簡単に情報を共有できるため、広いネットワーク上で複数のシステムやデバイスにデータが散らばっていても、連携してインシデントに対応できます。セキュリティオーケストレーションは複数の自動タスクを使用して、総合的で複雑なプロセスやワークフローを実行します。
つまり、セキュリティの自動化は複数の個別タスクを処理するのに対し、セキュリティオーケストレーションはプロセスを始めから終わりまで連携させて迅速化します。この2つはきわめて相性が良く、組み合わせて導入すれば、セキュリティチームの効率性と生産性を最大限に高められます。
SOARを使い始めるには?
セキュリティ運用全体をSOARで改善しようと決めたら、次のステップは適切なSOARツールを探すことです。求めるべき機能は以下のとおりです。
- わかりやすいレポート。イベントデータとセキュリティ運用ツールを1つにまとめた統合ビューとして可視化できると良いでしょう。全体を見渡せれば、ネットワークで何が起きているのかを速やかに理解でき、問題を調査して、次にすべきことを判断できます。
- ダッシュボードの調整。自分たちのニーズに合った形式でデータ表示できるものをお勧めします。
- アラートの自動キュー管理および優先順位付け。直ちに取り組むべき重要なタスクはどれなのか、大がかりな調査をすることなく把握できることが重要です。
- アラートの詳細の整理。IPアドレス、ドメイン名、ファイルハッシュ、ユーザー名、メールアドレスをはじめとする関連項目のデータは、セキュリティアナリストが速やかに処理できるよう整理されているべきです。
- 柔軟で容易なプレイブック作成および管理。コーディングなしでプレイブックを作成できるプラットフォームが理想的です。既製のプレイブックがあり、しかも好きなプレイブックエディターでカスタマイズや独自プレイブックの作成もできるソリューションを探しましょう。また、自分たちにとって都合良くプレイブックを整理およびグループ化できると良いでしょう。
- 業務で使用しているツールとの統合。ここでいうツールには、ファイアウォール、エンドポイント製品、レピュテーションサービス、サンドボックス、ディレクトリサービス、SIEMなど、セキュリティ資産やインフラ資産が含まれます。
- ガイダンスが組み込まれていること。プラットフォームによっては、インターフェイスにインテリジェントアシスタントが統合されており、インシデントの調査、封じ込め、排除、そして修復に至るまでのヒントを提供してくれます。この機能は特に新人のセキュリティアナリストにとっては有用です。
- 拡張性。当然ながら、組織とともに拡充できるプラットフォームである必要があります。
セキュリティ運用はSOARで最適化できる
セキュリティチームは、複雑なIT環境にはびこる際限のないセキュリティアラートに対応し続けなければなりません。SOARを導入すればこの難題を克服できます。また、誤検出、繰り返すアラート、リスクの低い警告からセキュリティチームを解放し、事後対応的から事前対応のアプローチへと方向転換できます。セキュリティアナリストは火消しに終始するのではなく、組織全体のセキュリティ体制を強化するために、自分の能力や研さんの成果を活かせます。

ガートナー社のSIEM部門のマジッククアドラント
ガートナー社の最新のマジッククアドラントでSIEM市場の動向を掴みましょう。