近年ではインターネット上において、サイバー攻撃の激しさが増してきています。そのため、企業では膨大なインシデント対応を限られた人員で効率的に行うことが求められます。そんな中、近年 SOAR が注目されています。この記事では SOAR がどのようなソリューションなのかを徹底解説しました。SOAR を理解するための参考にしてください。
SOARとは?
SOAR とは『Security Orchestration, Automation and Response』の略で、セキュリティ運用の自動化及び効率化技術のことをいいます。具体的には、次の3つの要素で構成されています。
- インシデント(事案)の自動対処
- インシデントの管理
- 脅威インテリジェンス(サイバー攻撃に関する情報)の活用
これらにより、組織内のセキュリティ機器や外部から収集した脅威データを1つのプラットフォームで自動対処できるシステムになります。
SIEM との違い
SIEM とは『Security Information and Event Management』の略称です。セキュリティ情報・イベント管理システムのことをいいます。SIEM は、脅威インシデントを自動検知・可視化・アラートを行うことができ、それらのデータ分析を基にして必要なアクションを取ることを目的としています。
SOAR との違いは、SIEM は可視化・アラートに重点を置いていますが、SOAR はアラート後の自動アクションに重点を置いているシステムという点で異なります。SOAR と SIEM は似通ったシステムではあるものの、お互いを補完し合う関係といえるでしょう。
セキュリティ運用における SOAR の必要性
インシデントに対応できる人材の確保は企業において必須になります。2018年に施行された EU 一般データ保護規制(GDPR)では、個人データ侵害の発生後72時間以内に監督期間への通知が義務付けられており、突発的なインシデントに対応できる人材の確保が不可欠です。
そのため、SOAR によってセキュリティ運用が自動化・効率化されることで、人員不足問題を改善できると考えられます。セキュリティ運用において SOAR は非常に重要視されており、サーバーセキュリティに対応できる人材が圧倒的に不足している現代社会で今後も SOAR が必要とされていくのは間違いないでしょう。
SOAR でセキュリティ運用をするメリット
ここからは SOAR でセキュリティ運用をするメリットについて、詳しく解説します。
インシデントに対する自動対処ができる
SOAR は、インシデントに対して外部サービスによる脅威インテリジェンスを活用する自動対処が可能です。また、事前に発生が予測できるインシデントに対しては、対処方法をパターン化して組み込むこともできます。
どうしても人による対処が必要なインシデントに対しても、低レベルアラートや疑陽性の初期調査を SOAR の自動対処で対応することで、人員不足の現場でも十分な対応が可能になります。発生が予測されるインデントに対して、無駄な人的リソースを削減できることは、大きなメリットといえるでしょう。
単一プラットフォームによる情報管理・共有作業効率化できる
単一プラットフォームによる情報管理・共有作業効率化できる点も SOAR のメリットです。たとえば、セキュリティ運用を行う場合、インシデントの共有や証拠の管理など情報管理の他、関係各所への情報提示など、さまざまな情報を管理する必要があります。
特に関係各所への情報提示に関しては、現在メールや電話が主流です。電話は手間が多く、メールは誤送信など情報漏えいリスクが発生します。SOAR では1つのプラットフォームで全ての情報を管理するため、情報毎の個別管理が不要です。関係者にプラットフォームへのアクセス権を与えれば、情報共有もスムーズに行うことができます。
セキュリティ部門の運用状況を把握・改善できる
SOAR により、セキュリティ部門の運用状況を把握・改善できます。たとえば、セキュリティ部門は適切な運用ができていないと、パフォーマンスが低下してしまうことがあります。具体的には、担当業務の公平な割り振り、インシデントに対する優先性管理・適正な作業スピードが求められます。
そのため、セキュリティ部門の運用実態に関して、外部より客観的に判断するのは難しいといえるでしょう。
その点、SOAR は作業時間・分担・目標達成率など人的作業部分も自動的にデータ化しています。これらのデータを分析することで、セキュリティ部門の運用状況を把握し、問題がある場合には改善点を見つけやすいです。
問題解決が容易になる
SOAR でセキュリティ運用することで問題解決が容易になります。なぜなら、SOAR はさまざまなテクノロジーから情報を収集・検証するからです。その中から適切な判断材料を提供できます。その結果、適切な判断材料が自動で選別されることで問題解決が容易になり、より綿密な調査が可能になるのです。
SOAR をセキュリティ管理で有効活用する方法
ここからは、SOAR をセキュリティ管理で有効活用する方法について詳しく解説します。
優先順位を決める
SOAR をセキュリティ管理で有効活用する場合、まずは優先順位を決めていきましょう。具体的には、自社組織の自動化されている箇所を評価・セキュリティにおける優先順位で確立します。優先順位を確立する際には、インシデントの発生数や問題解決までの難易度を基に、業界と組織の目標に応じたユースケースを決めて優先順位確率の判断材料とすることが大切です。
プレイブックを作る
SOAR でセキュリティ管理を運用する際はプレイブックも作成しましょう。予想できるインシデントの対策としてプレイブックを作ることで、問題解決の手順を可視化できます。たとえば、解決までの手順、指示、ベストプラクティスを文書化しておきます。
頻度の高いインシデントに対するプレイブックの優先順位を高くしておくことで、反復的タスクを排除することができるのです。また、プレイブックを文書化しておくことで、上級セキュリティアナリスト以外でも単純なインシデント対応が可能になり、業務効率化にもつながります。
効率化し捻出された時間で生産性を上げる
SOAR で業務効率化が成功すると、人的コストを抑えられるためこれまでインシデント対応に割いていた人員に空きが出ます。空いた人員や時間を有効活用して、さらなるセキュリティ対策や自動化できない業務への対応、スタッフ教育などを行い組織としての生産性を上げることも可能になるでしょう。SOAR により、業務が効率化されることで時間が捻出され、生産性の向上につながります。
SOAR 導入を検討すべきセキュリティ事案とは
ここからは、SOAR 導入を検討すべきセキュリティ事案を紹介します。
インシデントが頻発しているケース
インシデントが頻発しているケースでは SOAR の導入を検討しましょう。その理由は、インシデント対応で人手が足りないことにより対応の遅れが出てしまうなどの重大な被害を受けている場合、問題解決の作業効率を上げるために SOAR の検討が推奨されるからです。
特にヘルスケア業界や小売業界は、近年フィッシング攻撃やランサムウェア攻撃が増えている傾向にあります。脅威となる莫大な数のインシデントに素早く確実に対処するには SOAR が有効です。
常に強固な情報管理が求められるケース
常に強固な情報管理が求められるケースにおいても、SOAR の導入が有効です。なぜなら、SOAR は環境内に新たな脆弱性が発見された際、人工知能により最小のリスクで使用できる最適な方法を選択して管理できるからです。
また、脆弱性が見られる部分には詳細な情報収集を行って精査・脅威インシデントに対する予防措置などを講じることができるため、常に強固な情報管理体制を構築できるようになります。
まずは現在のセキュリティソリューションの見直しから
SOAR を導入する場合、まずは現在のセキュリティソリューションの見直しから行いましょう。なぜなら、現在利用中の全てのツールと連携できるものを選ぶ必要があるからです。SOAR は、各ツールの効果など正確な情報があって初めて、他のツールと連携して最大のパフォーマンスを発揮できるようになるシステムとなっています。
そのため、導入前にセキュリティインフラにアップグレードなどは必要ないか、現在のセキュリティソリューションの見直しを行っておくことをおすすめします。
まとめ
近年、サイバー攻撃は激しさを増しており、その対策は必須となってきています。膨大なインシデント対応を限られた人員で効率的に行うことが求められますが、人的リソースにも限りがあるでしょう。そこで、本記事で紹介した SOAR を導入することでインシデントの自動対応や管理を行うことができ、セキュリティ運用の自動化を実現し、人手不足の解消が期待できます。
SOAR 導入前には、まずセキュリティソリューションの見直しを推奨します。SBテクノロジー株式会社ではセキュリティ対策支援として機器・サービスの導入だけでなく、監視・運用・脅威の分析・封じ込めまで一貫して提供しており、セキュリティ対策のエキスパート人材が対応するサービスです。SOAR 導入前にぜひ活用してください。