頻発するサイバー攻撃から情報を守るためのセキュリティ運用を改善するにはどうすればいいのか。今注目を集めているSOARとは何か、SOARの役割やメリット、インシデント対応からセキュリティ部門の管理まで改善する方法について解説します。
SOARとは
SOARとは、アメリカを中心に幅広く使用されているセキュリティソリューションです。近年では、日本でもセキュリティ運用を効率化するために有効な手段として多くの企業から注目されています。
SOARは「Security Orchestration, Automation and Response」の略で、企業が導入する様々なITツールと連携し、セキュリティ運用を自動化、または効率化するためのプラットフォームを提供します。例えばセキュリティ対策製品が検出したアラート情報を受け取ると、各種システムやツールから関連する情報を自動収集し、何らかの対処が必要なセキュリティインシデントであるのか、またどの程度の優先順位で対応すべきインシデントであるのかを判断、チケット登録や担当者のアサイン、連携先の既存ツールに対して見つかったマルウェアや不審ファイルの削除、原因となった不審なメールの削除などの必要な対処を自動実行することが可能です。これらの一連の対応に対する対処状況や対応履歴は保管され、レポートの自動作成が可能です。発生した問題の解決から、対処した状況の確認、管理まで幅広く対応しています。
SOARが求められる理由
SOARが必要とされている大きな理由のひとつは「人材不足」です。年々サイバー攻撃が複雑化している現在、必要なセキュリティ対策が多岐にわたる一方で、発生したインシデントに適切かつ迅速な対処を行うことができる能力のある人材は限られています。こうした課題解消のため、導入しているセキュリティ対策の見直しや、運用方法の改善や自動化を必要とする企業は多くみられます。
インシデント対応には高い技術と経験が必要とされているため、これまでは主に専門知識のあるセキュリティアナリストが行っていました。ところが、SOARによるインシデント対応の自動化を実現することで、高い専門知識を持つセキュリティアナリストの業務効率化を実現するとともに、まだ十分な知識や経験を積めていないセキュリティアナリストや、ITエンジニアでもインシデント対応を行うことができるようになるのがSOARの特徴です。
SOARの主な役割やメリット
SOARの役割には、主にインシデント対応の自動化、業務プロセスのプラットフォーム統一、セキュリティ運用のパフォーマンスチェックなどがあります。SOARの大きな特徴とされるこれらの役割とそのメリットについて紹介していきます。
インシデント対応の自動化
インシデント対応の自動化により、ハッカーや犯罪者からのマルウェア、不正アクセスといったサイバー攻撃を、導入しているセキュリティ対策製品で検知すると、これらアラートの種類に応じてSOARが自動でインシデント対応を行います。これまでIT担当者が手動で行なっていた業務が自動化されるため、迅速なセキュリティ対策を実現します。
自動化を行う具体的な方法としては、「プレイブック」や「ワークフロー」と呼ばれる機能を活用し、あらかじめ受け取ったアラート種別ごとにどういった対応を行うかの運用フローを定義します。SOARはその定義された運用フローに従い、アラートに関連する情報の収集や、緊急度の判断、危険性の判断、チケットの発行や担当者のアサイン、関係者への通知、対象システムとの連携、防御ルールの追加などあらゆる対応を自動化させることが可能です。組織ごとに利用している機器の種別や数、組織体系は千差万別であり、そのために運用フローも様々です。そのため、SOARを活用するためには各社ごとに最適な「プレイブック」を作り込んでいく必要がありますが、適切な「プレイブック」を作成できればセキュリティ担当者の大幅な工数削減と、セキュリティ運用の標準化を実現できます。
業務プロセスのプラットフォームを統一
これまでのインシデント対応では、担当者が手動で利用している様々なセキュリティ対策製品やネットワーク製品、AD/DHCPサーバなどにアクセスを行い、必要な情報の確認や設定変更を行い、チケット管理システムやワードファイルなどで対応内容を記録するといった運用を行っている組織が多いのではないでしょうか。このような運用のために、担当者は組織が利用している全ての機器に対する知識やスキルを必要とし、そのためになかなか新たな担当者が育たないといった悩みや、インシデント対応に時間がかかり他の業務の手が回らないという悩みがあるのではないでしょうか。
SOARにはセキュリティ運用のためのプラットフォームを提供するという役割があります。従来個別のセキュリティ対策製品から受け取っていたアラートは全てSOARに集約することができます。そのため担当者はSOARプラットフォームを確認すれば全てのセキュリティアラートを確認できるようになります。また、導入しているセキュリティ対策製品やネットワーク製品とAPI連携することで、必要な情報の取得や設定変更はSOARを介して行うことも可能です。当然SOARでの対応内容は全てログとして記録されるため、後からどういった対応がされていたのかの確認も可能であり、担当者はSOARプラットフォームをセキュリティ運用における唯一のプラットフォームとすることができます。
セキュリティ運用のパフォーマンスチェック
日々発生する様々なセキュリティインシデントへの対応は、組織のセキュリティ運用の中で重要な業務の一つであり、同時に業務時間の大部分を占めているのではないでしょうか。他にも現状のセキュリティ対策の見直しや更新、スレットハンティングなど重要な業務があるにもかかわらず、日々発生する莫大な量のセキュリティアラートへの対応で手一杯という課題を抱える組織も多く、これを改善するためには日々の業務パフォーマンスを管理し、改善していくことが重要になります。
SOARプラットフォームは、個々のセキュリティインシデントに対する対応状況を管理する必要があります。インシデントごとに誰が担当して、各フェーズでどれだけの時間を要したのかをステータス管理から記録、確認することが可能です。この結果から、業務改善や、「プレイブック」の見直しや修正を行い、日々のセキュリティ運用をより効率化することにつなげることが可能です。
まとめ
いかがでしたでしょうか。SOARとは、セキュリティ運用上の作業工程を自動化し、インシデント対応に要する時間を削減できるセキュリティソリューションです。セキュリティ担当者の人材不足に悩む企業が多い現在では、SOARを活用した自動化や、組織内での情報共有、担当者の労務管理を実現することがセキュリティ運用の改善に効果的と言えます。
弊社ではSOAR製品として「Swimlane」を取り扱っています。SOAR製品にご興味がある方はぜひお問い合わせください。
