2020年の上半期はCOVID-19の影響もあり多くの企業でリモートワークが増加しました。皆様の企業でも、リモートワークの導入が一気に加速したのではないでしょうか。
そんな中で情報システム部門の方々は、リモートワーク環境の整備だけでなく実際に運用を開始した後にも、セキュリティ規定が守られているか、情報漏洩につながるような使い方がないかを監視し対応しなければいけないなど非常に忙しい日々が続いているのではないでしょうか。
情報システム部門に限らず、SOC/CSIRTやNOCについてもセキュリティ人材の不足が指摘され続ける現状においては日々非常にたくさんの業務に追われていることかと思います。
そんな現代の悩みを解決するソリューションとして、日本ではまだまだ導入している企業は少ないものの、海外ではSecurity Orchestration, Automation and Response(SOAR)と呼ばれる新たな製品の導入が進んでいます。
このSOARとは一体どんな製品なのでしょうか?今回は”SOAR”についてまとめていきましょう。
Security Orchestration, Automation and Response: SOARとは?
SOARとは、日々の運用を"自動化"し、"効率化"するためのツールです。つまりSOARを導入することで、SOC/NOCやCSIRT/情報システム部門が行う業務の自動化/効率化を行うことができます。
SOAR市場は2015年ごろから広まり始め、少しずつ役割や用途を変えつつも、現在では次の3つの市場の機能を併せ持つ製品・プラットフォームを指します。
- SOA:Security Orchestration and Automation
APIやSyslog、LDAPなどによりネットワーク機器やセキュリティ機器、ADやDHCP、メールサーバなどの各種周辺機器との連携機能と、プレイブックと呼ばれる運用フロー(ワークフロー)の自動実行機能を提供します。 - SIR:Security Incident Response platform
インシデント対応(IR)のためのチケット管理やレポート機能などを提供するプラットフォームです。 - TIP:Threat Intelligent Platform
脅威情報を管理・適用するプラットフォームです。
SOARが提供する主な機能は何?導入するとどんなメリットがある??
このように複数の機能を持つSOARは、実際にどのような機能を提供するのでしょうか。現在の各種SOAR製品を調べていくと、概ね次の5つの機能を持っています。
- Dashboard機能
運用基盤となるプラットフォームとして、管理者やアナリストのために単一の管理UI(ダッシュボード)を提供 - Automation機能
運用の自動化のために、周辺機器との連携・統合を行い、周辺機器からの情報の取得や、周辺機器へのデータのアウトプットや設定ファイルの更新などを行う - Analytics機能
解析エンジンや、脅威インテリジェンスとのマッチングなどによる収集したデータに対する解析機能を提供し、社内で管理する全脅威インテリジェンスを集約管理 - Orchestration機能
「プレイブック」として、日々の業務運用フローをワークフロー化し、その自動実行や管理を行う - Response機能
解析やプレイブックの実行の結果から判明した個々のインシデントに対するチケット発行、対応状況のトラッキング、共有、レポートの生成など、インシデント対応の管理を行う。
企業はSOARを導入しこれらの機能をしっかりと活用することにより、従来のような様々なルーチンワークに追われ、情報が必要となるたびに複数製品の各管理画面から手動で情報を集め、確認し、対応を行うといった定型的な業務の大部分は、自動化することが可能です。さらに、日々の運用をワークフロー化して自動化することで、俗人化する傾向にあった運用を標準化することも可能です。
このように大部分の定型業務を自動化による効率化を実現することで、大幅な工数削減を行うことが可能です。昨今どの企業でも言われている人材不足、特にセキュリティの専門家の不足を補うことにもつながります。
[SMART_CONTENT]
まとめ
まだ日本ではあまり耳にしないSOARについていかがだったでしょうか?
専門的な人材の不足により、非常に多くの企業で情報システム部門やSOC/NOC/CSIRTでリソースが不足しているのではないでしょうか。
すぐに人材を確保できない現状、限られたリソースでどのように対処することが可能であるかを考える中で、SOARの導入は間違いなく一つの選択肢となるかと思います。
COVID-19やリモートワークを狙った新手のサイバー攻撃も続々と出現しています。日々増え続けるインシデントや脆弱性に対して、セキュリティチームの負担は増える一方です。このようなセキュリティ運用に逼迫している企業の担当者・責任者の方は、ぜひSOARの導入を検討してみてはいかがでしょうか。
NVCでは、先日リリースを出させていただきましたようにSwimlane社のSOAR製品の取り扱いを開始しました。
こちらにつきましても参考にしていただければと思います。
https://products.nvc.co.jp/swimlane
- トピック:
- Swimlane
- セキュリティ対策機器
- 運用基盤/インテリジェンス