SOARとは、Security Orchestration, Automation and Response(セキュリティのオーケストレーションと自動化によるレスポンス)の意味の略称で、セキュリティインシデントの監視、理解、意思決定、アクションを1つのインターフェイスで効率的に行えるようにするテクノロジーです。
SOARは、Gartner社が提唱した言葉であり、セキュリティのオーケストレーションと自動化、セキュリティインシデント対応プラットフォーム(SIRP)、脅威インテリジェンスプラットフォーム(TIP)を集約したものを表します。SOARという略語は混同されがちで、SA&Oと呼ばれていることもあります。しかし本当のSOARプラットフォームには、セキュリティの自動化(SA)や、セキュリティの自動化とオーケストレーション(SA&O)だけにとどまらず、本格的なインシデント対応機能も統合されています。
セキュリティ運用、つまりセキュリティチームがアラートや脅威の管理、分析、対応を行う方法は、SOARによって大きく変わろうとしています。何らかの形でセキュリティを自動化しなければ、サイバー攻撃が増加して不正行為者も巧妙化する中で、セキュリティアナリストたちが手動で対処する事態になります。
セキュリティアナリストが処理しなければならないアラートは数千件(場合によっては数百万件)に及ぶため、重要視して対策を講じるべきアラートと、無視できるアラートを見極める必要があります。適切な人員が揃っていなければ、インシデントの対応と復旧に数日もしくはそれ以上かかることもあるでしょう。業界では世界的にサイバーセキュリティに対応できる人材が大幅に不足しているのです。
このような状況下で、貴社のセキュリティチームもアラート疲れを起こしているかもしれません。そうなれば、問題に手早く場当たり的に対処して、本当の脅威を見逃したり、膨大なミスを犯したりする恐れが生じます。
このような状況を解消するのがSOARです。端的にいうと、SOARプラットフォームはセキュリティ管理者を忙殺している定型的なタスクを自動処理するとともに、セキュリティインフラ全体のオーケストレーションを可能にして生産性を向上させるためのものです。その結果、処理できるインシデント数が増え、重要性の高い問題をより深く調査できるようになり、組織全体のセキュリティ体制を広く強化できます。
この記事では、セキュリティの自動化とオーケストレーションなどのSOARのコンポーネントとSIEMの違いなどについて説明します。また、企業にとってSOARが重要である理由や、SOARソリューションの価値を最大限に引き出す方法についても述べます。
SOARとは:目次
ほとんどのSOARソリューションはSIEM(セキュリティ情報/イベント管理)とともに導入されますが、これらは同じものではありません。
SIEMは環境内のアクティビティを完全に可視化し、脅威をリアルタイムに特定できるセキュリティ管理システムです。幅広いソースからのセキュリティ関連データの収集、解析、分類がわずか数秒で行われ、そのデータを分析して、通常と異なる挙動などについてインサイトが提供されるため、それに基づいてアクションをとることができます。
SOARとの共通点は、手動では不可能な作業を行う点です。また、社内からエンドユーザーに至るネットワークインフラに分散したサーバー、システム、デバイス、アプリケーションなどのソースからイベントデータを集約するという点も共通しています。SOARプラットフォームと異なるのは、SIEMソリューションがセキュリティデータのリポジトリとして機能し、利用可能なすべてのデータを効率よく検索、相関付け、分析できるという点です。
なお、SIEMとSOARは互いに補完する関係であるため、多くのベンダーはこの2つを両方とも提供しており、ゆくゆくは1つのプラットフォームに統合される可能性もあります。
貴社のセキュリティチームは大量のアラートに忙殺されていませんか。そのアラートの多くは、誤検出と以前にもあったアラートの繰り返しです。平均的なセキュリティチームは週に175,000件以上のアラートに対処しています。こうした膨大なノイズの中に本物の脅威が隠れており、セキュリティアナリストが手動で処理していては、多くの脅威が野放しになってしまいます。
ここで効果を発揮するのがSOARです。定型的なアクションを繰り返し行う負担が軽減され、セキュリティチームはより重要な作業に注力できます。
SOARを導入すれば、以下のことが可能になります。
すべてのセキュリティツールと同様に、SOARの本当の価値を引き出せるかどうかは、使い方にかかっています。しかし同じくらい重要なのが、ツール導入前のステップです。以下のベストプラクティスに従うことで、SOARプラットフォームへの投資から最大限の価値を得られます。
セキュリティの自動化とは、セキュリティに関連するアクションを機械によって実行することです。人手を介することなくプログラムによってサイバー脅威の検出、調査、修復を行います。
セキュリティの自動化によってほとんどの作業を実行できるため、セキュリティスタッフはアラートが発生するたびに選別して対応する必要がなくなります。また、セキュリティの自動化は以下のことを実現します。
このすべてをわずか数秒で、人手を介することなく行います。セキュリティアナリストは時間を浪費する反復的なアクションから解放されるので、付加価値を生み出せる重要性の高い仕事に注力できます。
セキュリティオーケストレーションとは、複雑なインフラストラクチャ全体で相互に依存する一連のセキュリティアクションを機械的に調整することです。セキュリティツールはもちろん、セキュリティ以外のツールも含めて、すべてを相互に連携させ、複数の製品やワークフローにおよぶタスクを自動化します。
セキュリティオーケストレーションによって、インシデントの調査、対応、そして解決が相互に調整されます。また、すべてが1カ所に集約されてダッシュボードにまとめて表示されるため、セキュリティアナリストは複数の画面やシステムを操作する必要がなくなります。
セキュリティオーケストレーションを使用すると、以下のことが可能になります。
オーケストレーションによって防御体制の統合が進むと、セキュリティチームが複雑なプロセスを自動化できるようになり、セキュリティスタッフ、プロセス、ツールの価値が最大限に引き出されます。
SOARプラットフォームの相談をベンダーに持ちかける前に、組織としてそのソリューションをどう使うか検討しておくことをお勧めします。貴社の最大の悩みに対応でき、しかもその製品のメリットを最大限に引き出せる使い方をすべきです。
代表的なセキュリティオーケストレーションのユースケースは業界によって大きく異なります。貴社でSOARをどう活かせるかを考える材料になりそうな例をいくつかご紹介します。
セキュリティの自動化とは、セキュリティ運用の簡素化と効率化を図るものです。一方でセキュリティオーケストレーションとは、さまざまなセキュリティツールを連携させ、相互にデータを供給できるようにすることです。
セキュリティの自動化とセキュリティオーケストレーションは同じ意味で使われることも多い言葉ですが、この2つのプラットフォームの役割は大きく異なります。セキュリティの自動化の主要な役割は、頻発するインシデントの検出や誤検出の対応にかける時間を減らして、アラートがいつまでも放置される事態を防ぐことです。また、セキュリティアナリストが研究などの戦略的タスクに時間を割けるようにします。ただし、セキュリティの自動化には、とるべきアクションが決まっている既知のシナリオにしか対応できないという限界があります。
これに対してセキュリティオーケストレーションでは、複数のツール間で簡単に情報を共有できるため、広いネットワーク上で複数のシステムやデバイスにデータが散らばっていても、連携してインシデントに対応できます。セキュリティオーケストレーションは複数の自動タスクを使用して、総合的で複雑なプロセスやワークフローを実行します。
つまり、セキュリティの自動化は複数の個別タスクを処理するのに対し、セキュリティオーケストレーションはプロセスを始めから終わりまで連携させて迅速化します。この2つはきわめて相性が良く、組み合わせて導入すれば、セキュリティチームの効率性と生産性を最大限に高められます。
セキュリティ運用全体をSOARで改善しようと決めたら、次のステップは適切なSOARツールを探すことです。求めるべき機能は以下のとおりです。
セキュリティチームは、複雑なIT環境にはびこる際限のないセキュリティアラートに対応し続けなければなりません。SOARを導入すればこの難題を克服できます。また、誤検出、繰り返すアラート、リスクの低い警告からセキュリティチームを解放し、事後対応的から事前対応のアプローチへと方向転換できます。セキュリティアナリストは火消しに終始するのではなく、組織全体のセキュリティ体制を強化するために、自分の能力や研さんの成果を活かせます。
SOARのさらなる詳細とビジネスでの活用については以下をご覧ください。