SOAR (Security Orchestration, Automation and Response)
SOARとは、情報セキュリティ対策の運用業務を自動化・効率化するソリューションです。情報セキュリティ人材の不足に対し、SOARによる効率化は有効な解決策となることが期待されています。
一方で、SOARをはじめとするセキュリティ製品は数も多く、機能も複雑、名称も略称であるため混同しやすいです。導入や活用に向けては、それぞれの機能への理解を深めることが重要になります。
本記事では、SOARの概要、主な機能やメリット、導入に際するポイントなどを解説します。
SOARの概要と必要性
SOARとは、「Security Orchestration, Automation and Response」の略で、情報セキュリティ運用の自動化や効率化を実現するソリューションです。ソリューションは、複数のソフトウェアを統合したプラットフォームとして提供されます。主にサイバー攻撃を受けた際などのインシデント対応の自動化、インシデント管理、脅威インテリジェンスと発生情報を蓄積し検知に活用することなどが可能です。
企業や組織にとって、情報セキュリティ対策は信頼性や事業継続など様々な方向から重要性が高まり続けています。しかし、他の分野と同様に深刻な人材不足が発生している状況です。セキュリティを担当する部署や担当者は、人手が足りない中、可能な限りの業務効率化・自動化を図り、人材不足を補う必要に迫られています。
SOARによるセキュリティインシデント関連業務の自動化・効率化が、人材不足の解決策としても有効なこともSOARの必要性を高めている要因です。
SOARの主な機能
以下では一般的なSOARの機能について説明します。
SOARの機能
インシデント対応の自動化
SOARではセキュリティインシデントについての検知条件とその対応を、あらかじめ定めてワークフロー化することで自動化が可能です。インシデントが発生した際の対応はプレイブックとしてまとめておき、SOARはプレイブックに従って情報収集、初動調査、状況報告、対応、トリアージなどを行います。
よく発生するインシデントを検知するようにプレイブックを用意すれば、インシデント対応のコストを大幅に削減することができます。また、インシデント発生時の対処をプレイブックに定めているため、平準化できることにもつながります。
この自動化の機能は、ファイアウォールやSIEMなど複数のセキュリティソフトウェア、システムと連携することで成り立ちます。
インシデント管理
SOARはインシデントの発生、対応状況を自動的に記録し、蓄積する管理機能を持ちます。インシデントに関連する調査情報、状況報告などの付随情報も格納し、利用者間で共有することが可能です。
管理機能を用いることで、組織内のセキュリティインシデントに関連する部門間でシームレスにインシデント情報を共有できる統一プラットフォームとしても利用可能です。連携によるコミュニケーションロスを削減する効果にも期待できます。
脅威インテリジェンス管理
外部の脅威インテリジェンスと管理するインシデント情報を統合し、脅威の検知精度を高める機能です。世界的な脅威のトレンドを取り込むため、次に発生する攻撃を予測でき、変化が激しい攻撃手法に対策を講じることができます。
SIEMとの違い
SOARと混同しやすいセキュリティ製品にSIEMがあります。
SIEMは「Security Information and Event Management」の略で、リアルタイムな脅威を検知する製品、ソリューションです。セキュリティ機器やネットワーク機器のログを収集・分析することで、リアルタイムな検知を実現します。
SOARもSIEMも他の機器やアプリのログ収集などにより脅威の検知を行うことは共通しています。違いは、SIEMは脅威の検知を主な目的としていることです。SIEMでの脅威の検知をもとに、インシデント対応の自動化までを含めたソリューションがSOARといえます。
SOARがもたらすメリット
SOARの導入、運用には多くのメリットがあげられます。
一つは、インシデント対応の自動化によるセキュリティ運用の負荷軽減です。セキュリティ人材不足の軽減策となり、セキュリティ運用の人的コスト削減にも役立てることができます。
次にインシデント対応の品質を、一定の水準で保てる点もメリットです。プレイブックとして定義することにより、特定のインシデントについて対応を平準化でき、担当者による対応のバラつきがなくせます。
次々現れるあらたな脅威への対応速度が向上することもメリットとして挙げられます。脅威インテリジェンス管理により、脅威のトレンドを取り込み続けることで、新たな脅威への対応速度を高めることが可能です。
組織内でのインシデントに対する連携がスムーズにできることもメリットです。業務部門、セキュリティ管理部門、DevOpsチームなどの間のインシデント情報の共有を一つのプラットフォームに統合できます。
導入のポイントと注意点
SOARの導入について検討する際のポイントと注意点です。
- コストメリット
- SOARはインシデントの検知、ワークフロー、脅威インテリジェンスを用いた予測など複数の仕組みを組み合わせて形成されるソリューションです。その分、導入に対してはコストが必要となります。自動化・効率化によるコストメリットと比較した検討がポイントとなります。
- インシデント対応の属人化
- SOARでインシデント対応を自動化するにあたり、インシデントの検知条件や対応の流れなどをプレイブックとしてまとめる必要があります。現状のインシデント対応プロセスが明確な場合は問題ありませんが、属人化が発生している場合には移行の難易度が高いことが想定されます。
- 運用体制構築
- 自動化・効率化を果たすことを期待して導入する場合にも、SOARを運用するための人員は必要となります。その中でもプレイブックの運用については、脅威の変化に対しての対応や連携ツールの変更・設定、誤検知の是正などの業務が発生するため、作成・維持・改善できる知見を持った技術者の確保が必須です。
- 立ち上げの際は移行のための人員も必要で、オーバーヘッドが大きく、その後の運用担当も見込んだ体制構築が求められます 。
- 未知の脅威への自動対応は難しい
- SOARでのインシデントへの対応は、あくまでプレイブックに基づいて行われます。したがって、未知の脅威が発生した場合は自動的に対応することは難しいです。SOARを導入したことでその後のセキュリティ対策が万全になるわけではなく、インシデントの管理・対応業務が効率的になることが主眼という点にも注意しておきましょう。
