デジタル技術が発達し、様々な領域で活用されるようになりました。それに伴い、サイバー攻撃の多様化やセキュリティリスクの高まりが顕著になりつつあります。このような状況では、セキュリティ担当者だけで対処することは非常に困難です。そこで密かに注目されているのがSOARです。
今回は、SOARの概要や機能、SIEMとの共通点や相違点、導入するメリットについて解説します。

SOARとは

SOAR：Security Orchestration, Automation and Response（セキュリティーのオーケストレーション、自動化、対応）とは、セキュリティに関する設定や運用、対応を自動化することで効率化を図るセキュリティソリューションです。SOARは他のセキュリティソリューションと連携することで、セキュリティ脅威への初動対応を自動で行い、対応した結果をシステム管理者へ通知することができます。

SOARの仕組み

セキュリティのオーケストレーション

オーケストレーションとは、システムやネットワーク内で発生する様々なセキュリティイベントやアクションを統合し、効果的に管理・監視することで、分析やトリアージの効率化を行うことを指します。

1. セキュリティイベントの統合：様々なセキュリティソリューションやツールからの情報を一元化し、統合することで全体像を把握します。
2. 自動化と自己修復：オーケストレーションにより、セキュリティ対応の自動化が可能になります。これにより、攻撃への迅速な対応や自己修復機能を実現します。
3. ポリシーの適用と権限管理：オーケストレーションは、セキュリティポリシーの適用や権限管理を効果的に行うためのフレームワークを提供します。
4. リアルタイム監視と分析：リアルタイムでのセキュリティイベントの監視と分析を可能にし、不審な活動や脅威を素早く検知し対処します。
5. 運用と調整：リソースの最適化や運用の調整を行いながら、セキュリティのレベルを維持・向上させます。

セキュリティの自動化

セキュリティの自動化（オートメーション）とは、セキュリティプロセスを自動化して効率化することを指します。これには、以下のような方法があります。

1. セキュリティポリシーの適用と監視の自動化：RPAや機械学習を活用して、セキュリティポリシーの遵守を自動的に監視し、必要な対応を行います。
2. 脆弱性スキャンとパッチ管理の自動化：自動化ツールを使用してシステムやアプリケーションの脆弱性スキャンを定期的に実行し、必要なパッチの適用を自動化します。
3. セキュリティインシデントの検知と対応の自動化：セキュリティイベントの監視と検知を自動化し、適切な対応を自動化します。これには、SIEM（セキュリティ情報とイベント管理）ツールの活用が含まれます。
4. 認証およびアクセス管理の自動化：多要素認証やアクセス管理プロセスを自動化して、権限管理を強化します。

セキュリティの自動化により、セキュリティプロセスの効率性が向上し、人為的なミスや遅延を軽減し、組織全体のセキュリティレベルを向上させることができます。

SOARの機能

SOARの機能は、初動対応の自動化と通知だけではありません。その他の機能についても解説します。

脅威判定

複数のセキュリティソリューションからログ情報を収集・分析し、サイバー攻撃やセキュリティホールの発見に繋がる予兆などを判定します。他のソリューションと連携することで、些細な脅威でも見逃さずに検知できます。

影響範囲の調査

脅威を検知したら影響範囲の調査を行います。人が影響範囲を特定するとき、他のシステムとの連携状況や扱うデータによって調査範囲が異なるため、見逃してしまう可能性があります。SOARによる影響範囲の調査は、作業漏れのリスクを解消する意味でも効果的です。

初動対応

SOARが注目される最大の理由が自動による初動対応です。事前にプレイブックと呼ばれるワークフローにインシデントへの対応手順を組み込むことで、その内容に沿った対応を自動化できます。手動で行う作業量を大幅に削減できるため、作業漏れや作業者ごとの品質のバラつきを解消できます。

トリアージ

トリアージとは、元々は事故や災害の現場で容態や緊急度に応じて優先順を判断して処置を行う意味がありますが、近年ではセキュリティの領域においても活用される言葉になりました。つまり、インシデント発生時や脅威を検知した際に、対応優先度や復旧の手順などを適切に判断する、という意味です。
SOARは、情報収集・分析時に何を優先して対処すべきか示すため、セキュリティリスクに晒される時間を最小限に抑えることができます。

SOARとSIEMの共通点と相違点

SIEM：Security Information and Event Management（セキュリティ情報とイベント管理）とは、セキュリティログを相関分析し、セキュリティインシデントが発生または疑われる場合にリアルタイムで脅威を特定できるセキュリティ管理システムです。

SIEMに関しては下記の記事で詳しく紹介しています。
➡「SIEMにより新たなセキュリティ対策を！機能やメリット、必要とされる背景」

SOARはSIEMとともに導入される機会が多く、どちらもセキュリティ対策として注目されているソリューションです。それぞれ似た特徴を持ちますが、同じものではないため、導入時に注意が必要です。今回は、これらの共通点と相違点についてまとめてみました。

SIEMは利用可能なデータを効率的に分析し、SOARは脅威への対処に焦点を当てたソリューションと言えます。

SOARが求められる理由

SOARが求められる背景に「サイバー攻撃の多様化」と「セキュリティ人材不足」があります。どちらも現代社会が抱える大きな問題で、セキュリティの実情にも影響しています。

サイバー攻撃の多様化

セキュリティを取り巻く環境は日々変化しており、サイバー攻撃はセキュリティホールを狙った攻撃から、標的型攻撃まで様々なパターンが検知されるようになりました。特にDXや働き方改革によってリモートワークが浸透したことで、これまで以上に標的型攻撃が増え、情報システム部による対処に時間がかかってしまう傾向があります。
複雑化するサイバー攻撃への対応・即時対応を実現するためには、一定の範囲内で運用の自動化が必要です。SOARは、初動対応の自動化によって事態が深刻化する前に対処できるため、巧妙化するサイバー攻撃に柔軟に対応できます。

セキュリティ人材不足

現在の日本企業では、セキュリティ人材が不足し、セキュリティ担当者がいない企業が目立ちます。総務省の「サイバーセキュリティ人材育成分科会」では、中小企業の「専任の情報セキュリティ担当者がいる」と答えた企業は僅か4%に留まり「兼任の担当者がいる」企業は44%程度です。

他国と比較しても、日本のセキュリティ人材不足は顕著です。NRIセキュアが実施した「NRI Secure Insight 2020」では、アメリカとオーストラリアは80%以上が「人材が充足している」と答えたのに対し、日本では僅か10%程度です。世界的に見てもセキュリティ人材が不足している日本企業ですが、このような状況でもサイバー攻撃は変化し続けます。人材不足の中でも効率的で適切なアプローチを期待できるのがSOARなのです。

SOARのメリット

実際にSOARを導入することで得られるメリットについて解説します。セキュリティ運用を自動化するだけでも大きな効果があるため、参考にしてみてください。

セキュリティ担当者の負担軽減

SOARがログの収集から脅威判定・初動対応を実施することで、従来のセキュリティ担当者の負担を軽減することができます。特に複数のセキュリティリスクが同時に発生した場合、対応優先順の特定から作業手順の確立など、発見されたリスクごとに対応方法を検討しなければなりません。SOARを導入することで、事前にプレイブックに登録しておけば、初動対応ができるため、業務効率の大幅な改善が見込めます。

同一プラットフォームによる情報共有の実現

脅威として判定されたリスクやインシデントの発生・対応状況などを同一のプラットフォームで完結するため、社員・部門間の壁を超えて情報共有ができます。これまでは、重大なインシデントに繋がるセキュリティホールや巧妙化するサイバー攻撃の手口を共有するために特別な場を設ける必要がありました。例えば、全社ミーティングの開催や情報システム部による注意喚起あります。SOARを活用することで、特別な場を設けなくても状況を確認することができ、常に最新のセキュリティリスクを把握できます。

まとめ

今回は、SOARの概要や機能、SIEMとの共通点や相違点、導入するメリットについて解説しました。SOARを導入することで、これまで悩まされていたセキュリティリスクへの対応が激変すると言っても過言ではありません。現状のセキュリティソリューションだけでは対応が間に合っていないのであれば、SOARの導入を検討することをおすすめします。