Introduction
SOARとは、セキュリティインシデントが発生した際に役立つセキュリティソリューションです。脅威の判定や影響調査、該当端末の隔離などの一時対処やトリアージ対応を自動化し、セキュリティ運用の業務効率を改善することが可能です。
この記事では、SOARの定義、導入するメリット・デメリット、導入手順、導入時のポイントについて解説します。
目次
SOARとは?
SOARとは、セキュリティインシデントが発生した際に役立つセキュリティソリューションです。
ここでは、SOARの定義、SIEMとの違いやSOARが必要とされている背景について、解説します。
セキュリティインシデント対応の自動化できる技術のこと
SOARとは「Security Orchestration, Automation and Response」の略で、セキュリティインシデントが発生した際に役立つセキュリティソリューションです。脅威の判定や影響調査、該当端末の隔離などの一時対処やトリアージ対応を自動化し、セキュリティ運用の業務効率を改善することが可能です。
情報処理推進機構(IPA)の『SOAR を活用したセキュリティ運用の効率化』によると、次のように定義されています。
SOAR
SOAR とは、組織がセキュリティ運用チームによって監視される入力を収集できるようにする技術を指す。
従来のセキュリティ対策では、セキュリティ対策の担当者がシステム監視を行い、インシデントが発生したら、その都度状況を判断して対応していました。しかし近年は、サイバー攻撃が高度化、複雑化し、そのうえセキュリティ人材の不足の影響もあり、対策が困難になりつつあります。そこで、セキュリティインシデント対応を自動化できるSOARを導入することで、インシデント対応を効率化します。
SOARは「Security Orchestration, Automation and Response」の略です。それぞれの言葉の意味をご説明します。
・Orchestration(連携)
SOARは、組織内で運用している機器やセキュリティツールと、連携することが可能です。具体的には、ファイアウォール、SIEM、エンドポイント保護ツールなどと連携します。各種セキュリティツールと連携してログ取得を行うことで、それぞれのツールの情報をSOARに集約するのです。このような仕組みにより、各種機器と連携して、セキュリティインシデント対応を行います。
・Automation(自動化)
上記のように、組織内の機器やセキュリティツールと連携して、インシデント対応を自動化することが可能です。セキュリティ運用が自動化されることで、作業のミスや漏れを防ぎ、業務負荷を軽減できます。
・Response(対応)
過去に発生したインシデントの事象と対応内容を、履歴として保存する機能も搭載されています。過去の履歴を活用して担当者間で共有し、インシデント対応に活かすことが可能です。
SIEMとの違い
SOARと混同しやすいものに、SIEM(Security Information and Event Management)があります。
SOARは、セキュリティインシデント対応を自動化する仕組みです。一方のSIEMは、各種機器のログを監視・分析して、リアルタイムで脅威を可視化し、アラートを発信する仕組みになっています。
SOARは、セキュリティインシデントの一次対応を自動化して作業負担を減らすもの、SIEMは複数の機器のログを相関分析し、リアルタイムで脅威を検知するものです。それぞれ役割が異なることがわかります。
この二つのソリューションを組み合わせることで、脅威の検知と一次対応を行うことが可能です。
▽あわせて読みたい▽
>>SIEMとは?読み方や導入する必要性・メリットをわかりやすく解説のページへ
SOARが重要とされている背景
SOARが重要とされている背景には、サイバー攻撃の高度化、複雑化が進んでいること、セキュリティ対策における人材不足などがあります。
近年、サイバー攻撃は高度化、複雑化しており、なおかつ発生する頻度が大幅に増えています。いつ起きるかわからないセキュリティインシデントに対応するため、つねに人員を配置しておくのはむずかしい企業も多いでしょう。
さらに、セキュリティ人材は不足しており、インシデント対応に慣れたベテランの人員をつねに配置することは、むずかしくなっています。そのため、一定レベルのインシデント対応をつづけるのは、至難の業です。
そこで、複数のシステムや機器と連携してログを集約し、セキュリティインシデント発生時の一次対応を自動化できる、SOARの重要度が高まっています。
SOARによるインシデント対応の流れ
SOARによるインシデント対応の流れについて、ご説明します。
1.検知
各種機器のログを監視し、脅威を検知します。
2.分析
不正な通信や不審なメールなど、脅威と判断したものを調査します。検知した脅威を、過去に起きた脅威や外部の情報と照合して脅威を分析するのです。また、SIEMから受けとった他機器のログ情報も、調査・分析します。
3.連携・判断
不正な通信や不審なメール、ログ情報などを調査して情報を共有し、一次対処内容を決定します。ユーザーへの初動対応を連絡し、全社に向けて注意喚起も行います。
4.封じ込め
緊急遮断や端末隔離、ユーザー停止などの封じ込め対応を行います。
SOARのメリット
SOARを導入すると、どのようなメリットを得られるのかをご説明します。
迅速に初期対応ができる
SOARを導入すれば、検知した脅威を自動的に対処できるため、平均復旧時間の短縮や、被害拡大リスクの抑制などのメリットが得られます。
セキュリティインシデントの対応は、初期動作が遅れれば遅れるほど、影響範囲が広がることがあります。そこで、SOARにより一次対応を自動化することで、迅速な初期対応が可能です。
セキュリティ運用チームの負担を軽減できる
セキュリティ対策をすべて担当者が対応すると、担当者の負担が大幅に増えます。とくに、サイバー攻撃が大幅に増えている状況で、24時間365日セキュリティ対応を行う場合、担当者の負担は非常に大きいものがあります。
そこでSOARを導入すれば、一時対応は自動的に対応してくれるため、セキュリティ運用チームの負担を大幅に軽減できるでしょう。
組織全体の生産性向上につながる
SOARにより、セキュリティ対応部門の業務負担が大幅に削減されれば、その分のリソースを他業務に回すことが可能です。社内のコア業務にリソースを集中させることで、組織全体の生産性の向上にもつながるでしょう。
SOARのデメリット
SOARを導入すると多くのメリットを得られますが、一方でデメリットもあります。導入する際には、デメリットも押さえておく必要があるでしょう。
ここでは、SOAR導入時のデメリットについて解説します。
未知の脅威には対応できない
SOARは、インシデント対応を自動化するために、既知の脅威のデータをパターン化して、そのデータをもとに検知して対応します。そのため、パターンにない未知の脅威を検出して、対応することは不可能です。既知の脅威にしか対応できないことに、注意が必要です。
未知の脅威に対しては、従来どおり人が対応する必要があります。既知の脅威への対応はSOARに、未知の脅威に対しては人が判断するというすみわけが必要になるでしょう。
処理内容によっては人の判断が必要となる
さまざまなセキュリティインシデントが発生するなかで、SOARでは対応しきれないことがあります。過去に起きたことがないインシデントや、判断がむずかしいケースなどは、人が判断する必要があるでしょう。
そのため、すべての対応をSOARに任せるのではなく、必要に応じて担当者が対応できる体制を用意しておく必要があります。
SOARの導入手順
SOARを導入する際の手順について、ご説明します。
①目標を設定する
まずは、SOARを導入して何を達成したいのか、目標や目的を明確にしておく必要があります。そのためには、現状を正確に把握することが大事です。現在どれくらいのセキュリティインシデントが発生しているのか、アクセス数やアクセスするユーザーの種類などを把握します。そして、何件程度のインシデント対応をSOARで対応したいのか、セキュリティ対応運用の業務効率を何%改善したいのかなどを明確にします。
そうすることで、どのようなシステムを導入すべきか、どのような対応を行うかを明確にすることが可能です。
②セキュリティ運用における課題を整理する
上記の現状把握の延長で、セキュリティ運用における課題を整理して明確にします。現状で、セキュリティ対応にどれくらいの稼働をかけているのか、どのような問題が起きているのかなどを把握しましょう。そうすることで、SOARで何を解決すべきかが明確になります。
③自動化対象項目の優先順位づけを行う
上記で明確にした現状の課題をもとに、何を自動化対象項目にするのか、優先順位をどうするかを決めます。
重大なインシデントだけに対応を絞るのか、軽微なインシデントもすべて対応すべきかなどは、解決したい課題によって異なります。大きいインシデントの対応に稼働をとられている場合は重大インシデントに絞る、とにかく数が多すぎて負担が大きい場合は軽微なインシデントも優先順位を高めるなどの判断が必要です。
④自動化ツールを導入する
目的にあった自動化ツールを導入し、設定を行います。上記でご説明したように、対応するインシデントの優先順位を決めて設定します。
⑤プレイブックを作成する
プレイブックとは、インシデント発生時の対応を自動化するための手順のことです。どのようなインシデントにどのような対応を行うのかを決めて、プレイブックを作成します。SOARは、このプレイブックをもとに動作する仕組みです。
メインプレイブックというメインから、サブプレイブックと呼ばれる個別の対応を決めたプレイブックを呼び出します。メインプレイブックからサブプレイブック呼び出す構造を決めて、適切に構成します。
⑥動作検証を行う
ここまでつくり出したSOARシステムの設定を確認するために、動作検証を行います。プレイブックを動作させ、想定どおりの動きが行われるかを確認します。
正常動作を確認するだけでなく、エラー処理が正しく動作するかなども、網羅的に確認が必要です。API連携を行う場合には、API連携確認も行います。
SOARの導入におけるポイント
SOARを導入する際に、効率よく動作させるための重要なポイントについて、解説します。
既存システムと連携できるか検証する
すでに導入されている既存システムと、正しく連携できるかを検証しましょう。組織内に導入されているソフトウェア製品、システム、アプリケーションなどをリストアップし、それらがすべてSOARと連携できるのかを確認します。
なかには、連携対応をしていない製品や機器もあるので、注意が必要です。SOARを導入する際に、連携させたいすべての製品や機器との連携状況を確認してください。
SOARは、ほかのセキュリティツールと連携させることがもっとも重要なソリューションなので、連携可否は必ず詳細に確認しましょう。
評価項目を慎重に検討する
SOAR製品を選ぶ際には、いくつかの評価項目があります。これらの評価項目を確認し、自社の目的や環境にあった製品を選びましょう。評価項目には、以下のようなものがあります。
・連携可能な製品やシステム、アプリケーション
・ソリューションの提供形態
・得意な分野(検知が優れている、調査内容が優秀、封じ込めが得意など)
・メーカーサポートの手厚さ
段階的に導入していく
いきなり全社的にSOARを導入すると、対応作業が難航したり、通常業務が滞ったり、対応する社員たちが混乱したりします。そのため、段階的な導入が必要です。
まずは、一部門にのみ導入するなど段階的に導入作業を行い、対応作業をその都度見直します。作業内容を改善していき、社員数が多く、重要システムが稼働している部門への移行対応を最終的に行うとよいでしょう。そうすることで、失敗したくない重要度の高い作業を確実に成功させることが可能です。
担当者への教育を行う
SOARの対応を行う担当者の教育をはやめに行いましょう。いままでとは違うシステムに対応できるように、余裕をもって対応の準備を行うことがおすすめです。
そのなかで、実際に対応する担当者にSOARを実際に操作してもらい、操作マニュアルなども作成します。操作マニュアルや業務フローを担当者に見直してもらうことで、作業を改善できます。
まとめ
この記事では、SOARの定義、導入するメリット・デメリット、導入手順、導入時のポイントについて解説しました。
セキュリティインシデント対応を自動化することで、企業のセキュリティレベルを向上させ、対応の質も改善できます。また、担当者の業務負担を軽減するメリットも得られるでしょう。
SHIFTでは、SOARの導入をはじめとした、セキュリティソリューション導入支援を行っています。お客様の環境やご要望にあわせたセキュリティソリューションのご提案をさせていただきますので、お気軽にお問い合わせください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ