SOARは現場にどう役立つ?“Orchestration”で迅速な対処を実現

 2020.08.07  2024.11.08

SOAR」。読み方はソアー。単体のハードウエアや機能を特化したソフトウェアではないため、一見で本質はつかみづらいのですが、オフィス業務で言えば「RPA:Robotic Process Automation」のように、現場の作業を刷新するポテンシャルを秘めたソリューションです。

セキュリティの現場で耳にする機会が増えてきたキーワード、SOARの実体を探っていきましょう。

soar-orchestration

ミッションは連動と自動化

SOAR:Security Orchestration, Automation and Responseは、2017年に米国の調査会社 ガートナーが定義したコンセプトです。“セキュリティ・オーケストレーション、自動化および応答”の本質を短く表すと、“セキュリティシステムの運用を自動化し、セキュリティ対策を効率化する手法”です。

セキュリティ技術に限らず、ITの分野では以下のような形の進展が見られます。

 

人間の作業を電子化・自動化

      ⇩

  自動化できる領域が拡大   ← ツールの進歩

      ⇩

  人間の管理負担が増大  ← ツールの多機能化・多様化

      ⇩

  運用の効率化を指向   ← ツールを連動する手法・システム

 

冒頭で触れたRPAは、IT機器を使ったいろいろな事務処理をソフトウェアロボットとして定義し、自動化と効率化を進めるシステムですが、セキュリティの分野にもこれと同様の動きが起きていると考えていいでしょう。

State of Cloud Security Report クラウド環境の深層に潜むリスクを解明
実際のPoCでも発見!Orca Securityで見えたクラウドリスクとは?

技術の進歩に比例し現場の負荷は増大

SOARが表舞台に出た背景として、サイバー攻撃の先鋭化に対し守る側の技術も細分化され、運用負荷が上がり続けている現実があります。近年、NGAVやEDRなどのツールが配置され、攻撃の兆候を検知する技術は上がっています。しかし攻撃の母数は増え続け、巧妙化した手口が紛れ込む現状では、運用の負荷が下がることはありません。先進的なツールの稼動に応じて必要なノウハウは増え、セキュリティ部門の負担は増していくと言っていいでしょう。

一方で、厳しい環境下での運用を通じてセキュリティ部門のアナリストの中には、WEBアプリケーションプログラムの脆弱性を突いた攻撃、ウィルスやマルウェアによる攻撃などに対して、どのような手順で防御していくかの知見が蓄積され、自動化できる作業の領域は拡がってきました。そこでパターン化できる処理は自動化し、専門家はより高度な判断が求められる場に投入することを狙ったソリューションがSOARなのです。

※NGAV:Next Generation Anti-Virus:次世代アンチウイルス

※EDR:EndPoint Detection and Response:エンドポイントでの検知と対応

SOARの特性は“Orchestration”

“自動化と効率化”の内容を見ていきましょう。SOARのポイントは、フルスペルの通り、以下の3点に集約されます。

  • オーケストレーション(連携)
  • オートメーション(自動化)
  • レスポンス(インシデント対応)

オーケストレーションはSOARの特徴的な部分で、いろいろなセキュリティ機器に連携する機能です。音色も音量も異なる楽器が、“楽曲の表現”という目的の元で統制されるオーケストラのように、指揮者に相当するSOARが各種ツールから発信されたアラートと、外部から得た脅威情報を使って攻撃に対処します。

オートメーションは、手作業の一部を自動化すること。例えば、AVが検出したファイルが明らかな“クロ”であれば削除し、ファイルの発信元URLを記録してFWの設定を変更する作業があったとしましょう。SOARに内蔵される「プレイブック」という手順書に相当する領域に定義することで、このフローを自動化できます。

レスポンスは、脅威が発生した際の対応方法を管理する機能。社内に配置されたセキュリティツールと通信し、攻撃の詳細と対処方法の記録、履歴の可視化、必要な部署・関係者への通知など、インシデント対応で発生する一連の作業を自動化・効率化します。

ワンプラットフォームと脅威インテリジェンス

前記の3要素のベースになる機能として、まずワンプラットフォームでいろいろな作業を一元管理できる点が挙げられます。例えば、「オートメーション」の項で挙げたAV対策では、不審ファイルの検出、URLの特定・記録、関係者への通知、FWの設定変更などの処理が発生していました。

一連の作業では、AVソフトの参照、動作検証が必要ならサンドボックスへの転送、外部の脅威情報の照会、メールやチャットでの連絡、DB更新など、個々のシステム上での操作が必要ですが、SOARの配下に置いたツールは一つのプラットフォームから管理できます。通常はメーカーが異なる機器間のデータ連携は難しいのですが、SOARとして提供される製品は、各製品とAPIで連動できるようになっています。

もう一つは「脅威インテリジェンス」の活用。これまで“外部の脅威情報を参照”と記してきましたが、実際は世界中で発生しているサイバー攻撃やリスクの情報、機器メーカーやサービス事業者、研究機関などに随時配信している脅威インテリジェンスなどから、受けた攻撃に関する情報に重みづけをすることで行うべき対策を明確にします。

SIEMとSOARの関係は?

SOARと同じセキュリティ運用の分野では、「SIEM:Security Information and Event Management(シーム)」の導入も進んでいて、いまのところはこのキーワードの方が耳にする機会は多いかもしれません。両者の関係ですが、SOARは“SIEMを包含するソリューション”という位置付けと言えるでしょう※。

※SOARを提唱したガートナーでは、“セキュリティチームがデータを監視できるテクノロジー”として、監視対象の例に“For example, alerts from the SIEM system and other security technologies(SIEMと他のセキュリティ技術)からのアラート”を挙げています。

https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar

SIEMの一般的な定義は、“FWやAV、ルータなどのセキュリティ機器/ネットワーク機器のログデータを一元管理し、リアルタイムで分析して脅威の早期検出と対応を行なうシステム”です。検出した脅威に対して危険度のランク付けを行い、リスク対応を効率化できるなどの効果が期待できます。

両者の機能的な相違としては、“データを収集する領域”と“自動化”に集約できます。

SIEMのデータ収集の対象は企業ネットワークのコンポーネントですが、SOARは脅威インテリジェンスなど、外部のリソースも参照して攻撃への対応の精度を上げます。

自動化はプレイブックによる定義。アラート検出を起点にした一連の手順を詳細にシナリオ化するといった機能は、いまのところSOARに特化したものと言えるでしょう。

[SMART_CONTENT]

SOARの稼動分野と導入効果

本稿の最後に、ここまでのまとめを兼ねてSOARの稼動例と導入効果を見ていきしょう。

マルウェア対策

AVが不審なファイルを検出した際、サンドボックスに送信し、新種のランサムウェアと判断したら、端末をネットワークから隔離。マルウェアと外部のC&Cサーバの通信履歴を確認し、当該IPアドレスをブロックするという手順でガードします。SOARの導入環境では、一連の流れをプレイブックに定義することで、同種の攻撃に対する操作は自動化されます。

ネットワークの防御を自動化

FW、ルータ、Webサーバなどの機器からDoS攻撃の兆候を検出した場合、IPアドレスを脅威インテリジェンスに照会し、当該アドレスの通信を遮断します。並行して、機器の設定変更、攻撃を受ける可能性がある関連サイトの管理者への通知、新たな動きに備えて継続的な脅威インテリジェンスの参照も欠かせません。

セキュリティマネジメントの効率化

SIEMやEDRなどの導入が進んで、アラートの数は増加しました。その多くは危険度が低いものですが、セキュリティ部門として無視はできません。SOARの稼動環境では、既知の攻撃を自動処理することで、作業量の多くを占めてきたアラート処理の負担を軽減することができます。多くの組織で喫緊の課題になっている人手不足に対処するツールとしても、有効に機能するはずです。

副次的な効果

スキルの差を吸収できる点があります。前述の処理は、どこの組織でも頻出するパターンと言えますが、節目節目の判断では担当者によって差が生じ、単位時間あたりの仕事量や品質に差が出てしまうのが実情でしょう。SOARの導入環境で定義した範囲では、一定の品質かと効率を維持することができます。

また、通常の環境では、個々の作業は独立していますが、SOARのプレイブックに定義した時点で、一連のフローとして自動処理されます。セキュリティ担当者は、新手の攻撃に対する情報収集や新種のマルウェアの解析など、より高度な判断が必要な業務に時間を割けるようになるはずです。

更に、抽出した攻撃の詳細、現在の対応状況、処理方法、担当者などのデータを共有し、作業状況を可視化できるため、それまでボトルネックになっていたプロセス、何らかの理由で作業量が少ないグループを抽出し、全体の生産性向上に役立てることもできるでしょう。

自動化・効率化で人間の作業は?

人間が手作業で行なっていた仕事を自動化する発想は、RPAやAIにも通ずるものです。RPAとAIの導入で、オフィスワーカーの仕事は減ったかというと、必ずしもそうではないでしょう。繰り返しの簡易作業は機械化できても、その成果を土台にした数値分析や新しいビジネスプランの創案など、より高度なタスクも要求されてくるはずです。

情報セキュリティの分野でも、SOARのような仕組みがインフラとして整備される時代になれば、これまでのような攻撃手法を分析する“受け身”中心のセキュリティ対策から、攻撃者の心理と行動を先読みする“先手必勝”のフェーズに進むかもしれません。

いずれにしても、企業や団体が安心して本来の業務に専念できる環境を整備するため、セキュリティ技術者に重責がかかる時代は、もう少し続くことになりそうです。

SOARの費用対効果とは

RECENT POST「運用基盤/インテリジェンス」「セキュリティ対策機器」の最新記事


SOARは現場にどう役立つ?“Orchestration”で迅速な対処を実現
NVCへのお問い合わせ
State of Cloud Security Report クラウド環境の深層に潜むリスクを解明

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング