SOAR(Security Orchestration, Automation, and Response)とは?

SOARの定義

SOAR(Security Orchestration, Automation, and Response)は、サイバー攻撃やインシデントに対する対応を標準化および効率化できるようにするものです。SOARを通じてセキュリティオペレーションセンター(SOC)内外のワークフローを最適化すると、アナリストを組織のエコシステムのセキュリティ確保業務に注力させることができます。

セキュリティオーケストレーションとは?

セキュリティオーケストレーションは、アクションを一元的に行って伝播させることができるように、多種多様なセキュリティツールを相互接続する手段です。それにより、プロセスを合理化し、インシデントレスポンスプロセスを高速化できます。

セキュリティ自動化とは?

セキュリティ自動化は、特定のアクションが行われたり、特定の要件を満たしたりした場合に対応するための所定のルールを実装するプロセスです。自動化により、プロセスで必要な人間の対応が最小限になり、セキュリティアナリストはよりクリエイティブな問題解決を必要とする問題に対応できるようになります。

Security Orchestration, Automation, and Responseが重要な理由

SOARによりSOCプロセスが標準化されると、一貫した調査と応答が可能になるのに加え、あらゆる経験レベルのセキュリティアナリストのスキルを強化できます。また、インシデントレスポンスに関連する数多くの定型的な手動タスク(セキュリティインシデントの記録、関係者へのアラート送信、レポートチケットの提出と更新)から成るワークフローを自動化することで、平均復旧時間(MTTR)を大幅に短縮できます。

SOARツールの歴史

2010年代半ばにセキュリティインシデントの調査と対応に特化したセキュリティワークフローソリューションが登場し、GartnerがSecurity Orchestration, Automation, and Response(SOAR)という用語を使い始めました。その頃、多くのSOARスタートアップが生まれ、セキュリティ複合企業に買収されて、この技術は定評のあるセキュリティ情報およびイベント管理(SIEM)、UEBA、またはネットワーク検知と対応テクノロジーに組み込まれてゆきました。その後、新しいSOARベンダーが登場し、幅広いセキュリティインシデントに対応できるようテクノロジーを拡張しました。同じ頃、自動化プレイブックがさらに洗練され、SOARプラットフォームはさらにユーザーフレンドリーになりました。

SOARの仕組み

SOARソリューションには、アナリストの指針や自動化の基盤となる定評のある調査と応答プロトコルが使われています。エコシステム全体が双方向に統合されるので、定型的な調査と応答のプロセスを自動的にトリガーすること(例:フェッチプロセス)も、アナリストによるトリガー(例:分離ホスト)もできます。SOARは、セキュリティ運用ワークフロー全体を通じて、脅威インテリジェンスフィードなどのデータソースとの統合により、関連するコンテキストを示します。

SOARのメリット

SOARを導入すると、効率化が進み、SOCのかなりの時間と労力を節約できます。サイバーセキュリティチームは、人間の対応を減らしてセキュリティ運用を合理化できます。その結果、アナリストが自由になり、人間のクリエイティビティや直感を必要とする喫緊の問題に集中できるようになります。他にも、以下のメリットがあります。

リスク抑制

効果的なSOARソリューションを導入すると、アナリストが調査と応答にかける時間が短くなるため、被害が拡大する前に攻撃を無力化できます。

平均復旧時間(MTTR)の短縮

SOARを通じてユーザー、プロセス、テクノロジーを連携させると、応答作業を即座に自動化でき、人間が介在することによる時間のロスがなくなります。

燃え尽きの予防

アナリストには、すでに仕事が山ほどあります。定型タスクを自動化すると、アナリストが得意とするクリエイティブな問題解決に注力できるようになります。

ワークフローの最適化

属性頻度やホスト異常スコアなどの脅威インテリジェンスとインサイトを組み込み、調査を体系化し、対応手順をガイドします。このようにすることで、プロセスや以降の手順を終わってから批評する必要がなくなります。

リッチな統合

好きなツールを1つのワークフローに統合できるので、他のツールをあれこれと検討することなく、希望のツールのメリットを享受できます。

SOARとSIEMの違い

SOARテクノロジーは、1つのプラットフォームで主要なプロセスを調整、自動化して、SOCが自社の人材やテクノロジーを結集した力を最大限利用できるように支援するものです。通常は、チームのプロセスとデータを一元化するために、SIEMと密に統合されています。SIEMは、セキュリティ監視、脅威検知、脅威ハンティング、イベントの相関付けなどのユースケースにアナリストが注力できるように支援するものです。

SIEMが脅威を発見して明らかにすることを重視しているのに対し、SOARは見付かった脅威に対応するワークフローと復旧の面を重視しています。そのため、SOARは被害が発生する前に脅威に対処できるよう、フォローアップアクションの自動化機能や、必要な手順のオーケストレーション機能を備えています。実際には、SIEMとSOARはそこまではっきり区別されておらず、一体化して扱われています。

自動化とオーケストレーションの違い

セキュリティ自動化とセキュリティオーケストレーションはどちらも、似たような結果を得られます。さまざまなプロセスにおける人間の対応を減らすことができるのです。しかし、実装の分野が異なります。

セキュリティ自動化の主な目的は、セキュリティテクノロジーで脅威が検知された瞬間に即座に対応することです。一方、セキュリティオーケストレーションの目的は、的確なアクションを行い、適切な関係者に情報を伝達し、組織が必要と認めた場合には所定のプロセスを進めるためのワークフローを効率化することです。

SOARのユースケース

インシデントレスポンス

セキュリティインシデントが発生したら、侵害の影響を和らげるために連携のとれた対応が必要です。

ケースマネジメント

脅威が特定されると、ケースがトリガーされます。ケースの数はすぐに増加する可能性があります。うまく機能しているSOARソリューションは、ケースに効率的に優先順位を付けて対応するうえで役立ちます。

脆弱性管理

組織が全体的にどの程度セキュリティリスクにさらされているのかを理解することは不可欠です。SOARソリューションは、リスク評価でより客観的な見通しを得るのに役立ちます。客観的な見通しは、CISO(最高情報セキュリティ責任者)が仕事を遂行するうえで必ず必要になります。

脅威ハンティング

IT環境内の脅威を予防的に探索します。成熟した脅威ハンティング手法を実施するには、膨大な量のデータにクエリを実行できる高速なエンジンが必要です。

SOARテクノロジーを役立てる方法

SOARは、成熟したセキュリティ機能に不可欠なテクノロジーです。セキュリティスタックにおけるSOARソリューションの役割は、スポーツチームにおけるコーチの役割のようなものと考えるとよいでしょう。経営陣が決めた所定の目標とプロセスを考慮して、さまざまなシナリオの戦略を実行し、問題が見付かった場合にはチームに警告するのです。

Elastic Security for SOARを体験しよう

Elastic SOARを使うと、チームのセキュリティインシデントレスポンスを簡単に自動化できます。Elastic SOARは、ダウンロードまたはElastic Cloudでホストが可能です。

SOARソリューションの詳細を見る