デジタル技術が発達し、様々な領域で活用されるようになりました。それに伴い、サイバー攻撃の多様化やセキュリティリスクの高まりが顕著になりつつあります。このような状況では、セキュリティ担当者だけで対処することは非常に困難です。そこで密かに注目されているのがSOARです。
今回は、SOARの概要や機能、SIEMとの共通点や相違点、導入するメリットについて解説します。

SOARとは

SOAR：Security Orchestration, Automation and Response（セキュリティーのオーケストレーション、自動化、対応）とは、セキュリティに関する設定や運用、対応を自動化することで効率化を図るセキュリティソリューションです。SOARは他のセキュリティソリューションと連携することで、セキュリティ脅威への初動対応を自動で行い、対応した結果をシステム管理者へ通知することができます。

SOARの仕組み

セキュリティのオーケストレーション

オーケストレーションとは、システムやネットワーク内で発生する様々なセキュリティイベントやアクションを統合し、効果的に管理・監視することで、分析やトリアージの効率化を行うことを指します。

1. セキュリティイベントの統合：様々なセキュリティソリューションやツールからの情報を一元化し、統合することで全体像を把握します。
2. 自動化と自己修復：オーケストレーションにより、セキュリティ対応の自動化が可能になります。これにより、攻撃への迅速な対応や自己修復機能を実現します。
3. ポリシーの適用と権限管理：オーケストレーションは、セキュリティポリシーの適用や権限管理を効果的に行うためのフレームワークを提供します。
4. リアルタイム監視と分析：リアルタイムでのセキュリティイベントの監視と分析を可能にし、不審な活動や脅威を素早く検知し対処します。
5. 運用と調整：リソースの最適化や運用の調整を行いながら、セキュリティのレベルを維持・向上させます。

セキュリティの自動化

セキュリティの自動化（オートメーション）とは、セキュリティプロセスを自動化して効率化することを指します。これには、以下のような方法があります。

1. セキュリティポリシーの適用と監視の自動化：RPAや機械学習を活用して、セキュリティポリシーの遵守を自動的に監視し、必要な対応を行います。
2. 脆弱性スキャンとパッチ管理の自動化：自動化ツールを使用してシステムやアプリケーションの脆弱性スキャンを定期的に実行し、必要なパッチの適用を自動化します。
3. セキュリティインシデントの検知と対応の自動化：セキュリティイベントの監視と検知を自動化し、適切な対応を自動化します。これには、SIEM（セキュリティ情報とイベント管理）ツールの活用が含まれます。
4. 認証およびアクセス管理の自動化：多要素認証やアクセス管理プロセスを自動化して、権限管理を強化します。

セキュリティの自動化により、セキュリティプロセスの効率性が向上し、人為的なミスや遅延を軽減し、組織全体のセキュリティレベルを向上させることができます。

SOARの機能

SOARの機能は、初動対応の自動化と通知だけではありません。その他の機能についても解説します。

脅威判定

複数のセキュリティソリューションからログ情報を収集・分析し、サイバー攻撃やセキュリティホールの発見に繋がる予兆などを判定します。他のソリューションと連携することで、些細な脅威でも見逃さずに検知できます。

影響範囲の調査

脅威を検知したら影響範囲の調査を行います。人が影響範囲を特定するとき、他のシステムとの連携状況や扱うデータによって調査範囲が異なるため、見逃してしまう可能性があります。SOARによる影響範囲の調査は、作業漏れのリスクを解消する意味でも効果的です。

初動対応

SOARが注目される最大の理由が自動による初動対応です。事前にプレイブックと呼ばれるワークフローにインシデントへの対応手順を組み込むことで、その内容に沿った対応を自動化できます。手動で行う作業量を大幅に削減できるため、作業漏れや作業者ごとの品質のバラつきを解消できます。

トリアージ

トリアージとは、元々は事故や災害の現場で容態や緊急度に応じて優先順を判断して処置を行う意味がありますが、近年ではセキュリティの領域においても活用される言葉になりました。つまり、インシデント発生時や脅威を検知した際に、対応優先度や復旧の手順などを適切に判断する、という意味です。
SOARは、情報収集・分析時に何を優先して対処すべきか示すため、セキュリティリスクに晒される時間を最小限に抑えることができます。

SOARとSIEM・XDRの共通点と相違点

SIEM：Security Information and Event Management（セキュリティ情報とイベント管理）とは、セキュリティログを相関分析し、セキュリティインシデントが発生または疑われる場合にリアルタイムで脅威を特定できるセキュリティ管理システムです。

SIEMに関しては下記の記事で詳しく紹介しています。
➡「SIEMにより新たなセキュリティ対策を！機能やメリット、必要とされる背景」

また、XDRは複数のデータソースを一元的に管理し、統合的に脅威を検出・対応するプラットフォームです。エンドポイント、ネットワーク、クラウドなどからデータを収集し、統合されたプラットフォームで包括的に管理します。

一方、SOARは広範なセキュリティ操作を自動化し、手動タスクを減らして効率を向上させることを目的としています。異なるセキュリティツール間の連携を強化し、プレイブックの自動化やチケット管理などを通じてセキュリティスタック全体の自動化を実現します。

組み合わせて使用することで、より強力なセキュリティ対策を実現することができます。

SOARが求められる理由

SOARが求められる背景に「サイバー攻撃の多様化」と「セキュリティ人材不足」があります。どちらも現代社会が抱える大きな問題で、セキュリティの実情にも影響しています。

サイバー攻撃の多様化

セキュリティを取り巻く環境は日々変化しており、サイバー攻撃はセキュリティホールを狙った攻撃から、標的型攻撃まで様々なパターンが検知されるようになりました。特にDXや働き方改革によってリモートワークが浸透したことで、これまで以上に標的型攻撃が増え、情報システム部による対処に時間がかかってしまう傾向があります。
複雑化するサイバー攻撃への対応・即時対応を実現するためには、一定の範囲内で運用の自動化が必要です。SOARは、初動対応の自動化によって事態が深刻化する前に対処できるため、巧妙化するサイバー攻撃に柔軟に対応できます。

セキュリティ人材不足

現在の日本企業では、セキュリティ人材が不足し、セキュリティ担当者がいない企業が目立ちます。総務省の「サイバーセキュリティ人材育成分科会」では、中小企業の「専任の情報セキュリティ担当者がいる」と答えた企業は僅か4%に留まり「兼任の担当者がいる」企業は44%程度です。

他国と比較しても、日本のセキュリティ人材不足は顕著です。NRIセキュアが実施した「NRI Secure Insight 2020」では、アメリカとオーストラリアは80%以上が「人材が充足している」と答えたのに対し、日本では僅か10%程度です。世界的に見てもセキュリティ人材が不足している日本企業ですが、このような状況でもサイバー攻撃は変化し続けます。人材不足の中でも効率的で適切なアプローチを期待できるのがSOARなのです。

SOARのメリット

実際にSOARを導入することで得られるメリットについて解説します。セキュリティ運用を自動化するだけでも大きな効果があるため、参考にしてみてください。

セキュリティ担当者の負担軽減

SOARはログの収集から脅威の判定、初動対応までを自動的に実施します。これにより、セキュリティ担当者は多くの時間と労力を節約できます。
特に複数のセキュリティリスクが同時に発生した場合、SOARはプレイブックに基づいて優先順位を決定し、迅速かつ効率的に対応します。
担当者は個別のリスクごとに対応方法を検討する手間が省け、業務効率が大幅に向上します。

情報共有の一元化

SOARを導入することで、脅威やインシデントの発生状況や対応状況を同一プラットフォーム上で共有できます。これにより、社員や部門間での情報の壁を取り除き、スムーズな情報共有が可能となります。
従来は、重大なインシデントや新たなサイバー攻撃の手口を共有するために全社ミーティングを開催したり、情報システム部門からの注意喚起が必要でした。しかし、SOARを活用することで、特別な場を設けることなく最新のセキュリティリスクをリアルタイムで把握できます。

まとめ

今回は、SOARの概要や機能、SIEMとの共通点や相違点、導入するメリットについて解説しました。SOARを導入することで、これまで悩まされていたセキュリティリスクへの対応が激変すると言っても過言ではありません。現状のセキュリティソリューションだけでは対応が間に合っていないのであれば、SOARの導入を検討することをおすすめします。

SMSデータテックでは、様々なセキュリティサービスをご提供しています。

• ダークウェブアイ
• エンドポイントセキュリティ「CrowdStrike Falcon」
• クラウドセキュリティ「Netskope」

包括的なセキュリティ対策をお考えの方は、お気軽にご相談ください。