SOARがどのように内部・外部の不正検出と調査に革命を起こすか？

SOARはセキュリティ業界のRPAともいわれていますが、単なる自動化だけでなく、使い方次第では、多くの場合事後対応となっていたものを、リアルタイムに不正を検知するのに大きな助けとすることができます。
SOARがどのように内部・外部の不正検出と調査にどのように役に立つのか？SOAR専門ベンダー Swimlane社が解説します。

※オリジナルの記事はSwimlane社Jay Spann氏が書いたもので、本記事はその日本語訳と、弊社で適用例を追記したものです。オリジナルの記事（英語）は以下のURLからご覧いただけます。
https://swimlane.com/blog/how-soar-can-revolutionize-fraud-detection-and-investigation

SOARがどのように内部・外部の不正検出と調査に革命を起こすか？

組織の内部および外部の不正行為を検出し、調査することは非常に困難なことです。不正行為の検出は、一般的には、不正行為がすでに行われた後に行われます。例えば、金融機関の場合であれば、顧客から電話があり、口座の資産がなくなっていると苦情が寄せられた後になるわけです。こういったケースでは、金融機関は被害にあった顧客に状況を説明できるように、アナリストが急遽、大至急で調査・分析を完了させなければなりません。アナリストは、会社がどのようにして詐欺に遭ったのかを理解するのに十分な証拠を集めるために、関連するすべての情報を急いで収集し、組織内の複数の異なる人々に連絡を取ることになります。セキュリティ情報およびイベント管理システム（SIEM）から顧客データベース、財務データベース、顧客サポートプラットフォーム、脅威インテリジェンスプラットフォーム（TIP）、ケース管理ツールに至るまで、答えを見つけるまでの道のりは非常に長く複雑です。

セキュリティオーケストレーション、自動化、および応答（SOAR）は、この問題を解決するだけでなく、不正行為が発生する前に検出して阻止するためのプロアクティブなアプローチを可能にします。SOARプラットフォームは、情報収集タスク、調査ステップ、通知、さらにはファイアウォールやエンドポイントの変更などのセキュリティ固有のアクションを実行することができます。適切にチューニングされたSOARプラットフォームにより作業は自動化され、手動のタスクは排除されます。また、単一の共通インターフェースは、さまざまな状況に対処するために必要な要素を備えています。分析者は１つのツールですべての必要な作業を行えるため、調査の総時間をわずか数分に短縮することができます。

Security Orchestration

セキュリティオーケストレーションは、複数ソースからログを収集するために複数のツールを用意することなく、あらゆるアラームデータを1つのツールに取り込み、データを管理することができます。不正行為のケースでは、オーケストレーション機能により、より多くの裏付け情報を得るための複数データソースへのクエリは、はるかにシンプルなプロセスになります。アナリストが不正行為の可能性を示唆する情報を1つ持っている場合、更に多くの証拠を得るために、組織のすべての関連データソースに渡ってクエリを実行することができます。このデータはSOARツールに取り込まれ、レコード、ダッシュボード、レポートなどの単一の画面でアナリストに表示されます。使用される表示形式は、多くの場合、次に何が必要かによって決まります。

Security Automation

セキュリティの自動化により、既知の侵入の痕跡に対するリアルタイムのマシン応答が可能になります。TIPからのデータを使用するか、社内データを使用するかに関わらず、SOARは既知または疑わしい侵害の指標を継続的に監視し、それらが検出された瞬間にアクションを実行することができます。多くの組織では、アラートやSIEMデータの手動クエリに頼っています。アラートやログは、多くの場合、凄まじい勢いとペースで発生し、バックログを作成します。手動で作業を行うアナリストは間違いを犯したり、これらの通知を見逃したりする可能性があります。その結果、不正行為が発生した後になってから、侵入の痕跡が検出されることが常態化してしまうことがあります。SOARはデータを継続的に監視し、ほぼリアルタイムでアラートを出すことでこの問題を解決します。

Case Management

ケース管理は、オーケストレーションと自動化を1つの場所にまとめ、インシデント対応サイクル全体を管理します。アナリストは、組織全体のソースからのアラートデータを確認して、TIPを介してデータに情報を付加して、インシデントを封じ込めるためのインシデント対応アクションを実行し（顧客のアカウントを凍結したり、転送を停止したり）、アカウントから不正データを削除することができます。

図：マルウェア分析とファイアウォールへのルール自動投入ユースケース



図：情報漏洩の分析と対応ユースケース

まとめ

SOARはこれまで受動的であった（コストのかかる）プロセスを、プロアクティブな費用対効果の高いソリューションに変えることができます。SOARを導入する前は、不正行為がどのように発生したかを説明するのに十分なデータを収集するのに数ヶ月かかっていたものを、オーケストレーションと自動化により、アナリストは外部・内部起因の不正行為を数分で防ぐことができます。

セキュリティ運用の中で、手作業で難しい部分に対して、SOAR導入を検討してみてはいかがでしょうか。
NVCでは、Swimlane社のSOAR製品の取り扱いを開始しました。こちらにつきましても参考にしていただければと思います。