デジタル技術が発達し、様々な領域で活用されるようになりました。それに伴い、サイバー攻撃の多様化やセキュリティリスクの高まりが顕著になりつつあります。このような状況では、セキュリティ担当者だけで対処することは非常に困難です。そこで密かに注目されているのがSOARです。今回は、SOARの概要や機能、SIEMとの共通点や相違点、導入するメリットについて解説します。
SOAR(Security Orchestration, Automation and Response)とは、セキュリティに関する設定や運用、対応を自動化することで効率化を図るセキュリティソリューションです。SOARは他のセキュリティソリューションと連携することで、セキュリティ脅威への初動対応を自動で行い、対応した結果をシステム管理者へ通知することができます。
SOARが求められる背景に「サイバー攻撃の多様化」と「セキュリティ人材不足」があります。どちらも現代社会が抱える大きな問題で、セキュリティの実情にも影響しています。
セキュリティを取り巻く環境は日々変化しており、サイバー攻撃はセキュリティホールを狙った攻撃から、標的型攻撃まで様々なパターンが検知されるようになりました。特にDXや働き方改革によってリモートワークが浸透したことで、これまで以上に標的型攻撃が増え、情報システム部による対処に時間がかかってしまう傾向があります。
複雑化するサイバー攻撃への対応・即時対応を実現するためには、一定の範囲内で運用の自動化が必要です。SOARは、初動対応の自動化によって事態が深刻化する前に対処できるため、巧妙化するサイバー攻撃に柔軟に対応できます。
現在の日本企業では、セキュリティ人材が不足し、セキュリティ担当者がいない企業が目立ちます。総務省の「サイバーセキュリティ人材育成分科会」では、中小企業の「専任の情報セキュリティ担当者がいる」と答えた企業は僅か4%に留まり「兼任の担当者がいる」企業は44%程度です。
他国と比較しても、日本のセキュリティ人材不足は顕著です。NRIセキュアが実施した「NRI Secure Insight 2020」では、アメリカとオーストラリアは80%以上が「人材が充足している」と答えたのに対し、日本では僅か10%程度です。世界的に見てもセキュリティ人材が不足している日本企業ですが、このような状況でもサイバー攻撃は変化し続けます。人材不足の中でも効率的で適切なアプローチを期待できるのがSOARなのです。
SOARの機能は、初動対応の自動化と通知だけではありません。その他の機能についても解説します。
複数のセキュリティソリューションからログ情報を収集・分析し、サイバー攻撃やセキュリティホールの発見に繋がる予兆などを判定します。他のソリューションと連携することで、些細な脅威でも見逃さずに検知できます。
脅威を検知したら影響範囲の調査を行います。人が影響範囲を特定するとき、他のシステムとの連携状況や扱うデータによって調査範囲が異なるため、見逃してしまう可能性があります。SOARによる影響範囲の調査は、作業漏れのリスクを解消する意味でも効果的です。
SOARが注目される最大の理由が自動による初動対応です。事前にプレイブックと呼ばれるワークフローにインシデントへの対応手順を組み込むことで、その内容に沿った対応を自動化できます。手動で行う作業量を大幅に削減できるため、作業漏れや作業者ごとの品質のバラつきを解消できます。
トリアージとは、元々は事故や災害の現場で容態や緊急度に応じて優先順を判断して処置を行う意味がありますが、近年ではセキュリティの領域においても活用される言葉になりました。つまり、インシデント発生時や脅威を検知した際に、対応優先度や復旧の手順などを適切に判断する、という意味です。
SOARは、情報収集・分析時に何を優先して対処すべきか示すため、セキュリティリスクに晒される時間を最小限に抑えることができます。
SOARはSIEMとともに導入される機会が多く、どちらもセキュリティ対策として注目されているソリューションです。それぞれ似た特徴を持ちますが、同じものではないため、導入時に注意が必要です。今回は、これらの共通点と相違点についてまとめてみました。
SIEMは利用可能なデータを効率的に分析し、SOARは脅威への対処に焦点を当てたソリューションと言えます。
実際にSOARを導入することで得られるメリットについて解説します。セキュリティ運用を自動化するだけでも大きな効果があるため、参考にしてみてください。
SOARがログの収集から脅威判定・初動対応を実施することで、従来のセキュリティ担当者の負担を軽減することができます。特に複数のセキュリティリスクが同時に発生した場合、対応優先順の特定から作業手順の確立など、発見されたリスクごとに対応方法を検討しなければなりません。SOARを導入することで、事前にプレイブックに登録しておけば、初動対応ができるため、業務効率の大幅な改善が見込めます。
脅威として判定されたリスクやインシデントの発生・対応状況などを同一のプラットフォームで完結するため、社員・部門間の壁を超えて情報共有ができます。これまでは、重大なインシデントに繋がるセキュリティホールや巧妙化するサイバー攻撃の手口を共有するために特別な場を設ける必要がありました。例えば、全社ミーティングの開催や情報システム部による注意喚起あります。SOARを活用することで、特別な場を設けなくても状況を確認することができ、常に最新のセキュリティリスクを把握できます。
今回は、SOARの概要や機能、SIEMとの共通点や相違点、導入するメリットについて解説しました。SOARを導入することで、これまで悩まされていたセキュリティリスクへの対応が激変すると言っても過言ではありません。現状のセキュリティソリューションだけでは対応が間に合っていないのであれば、SOARの導入を検討することをおすすめします。