セキュリティオーケストレーション(SOAR)とは?仕組みやメリット、注意点について徹底解説|サイバーセキュリティ.com

セキュリティオーケストレーション(SOAR)とは?仕組みやメリット、注意点について徹底解説



セキュリティ対策と言っても、必要な対策を取るためには様々な分析や判断を必要とします。脅威を検知した後に、調査や攻撃への対処、証拠の保全や関係各所への報告など、手動による作業も数多く必要とされ、対応に追われているセキュリティ担当者も数多くいることでしょう。

セキュリティオーケストレーション(SOAR)はこのようなセキュリティ業務を効率化するための技術です。今回はセキュリティオーケストレーションの概要について徹底解説いたします。

セキュリティオーケストレーション(SOAR)とは

セキュリティオーケストレーションとは「Security Orchestration, Automation and Response」とつづり、アメリカを中心として発展しているセキュリティ対策の一つです。セキュリティに関する運用の自動化と効率化を実現するための技術として近年注目を集めています。

セキュリティオーケストレーションは「インシデント対処の自動化」「インシデント管理機能」「脅威インテリジェンスの活用」の3つの構成要素から成り立っています。

これはインシデント発生から情報の収集、分析、そして判断までのセキュリティオペレーションを迅速に行うための自動化のフレームワークとして、セキュリティオーケストレーションが活用されているということです。様々なベンダーがセキュリティオーケストレーションのための製品を開発し、セキュリティ対策の自動化機能やオーケストレーション機能を提供しています。

セキュリティオーケストレーションが求められる理由

セキュリティオーケストレーションが求められる理由の一つとして、”セキュリティ人材の人材不足”があげられます。巧妙化するサイバー攻撃に対して、それらに対応するためのセキュリティ人材は不足しています。例えば日本においては、86.9%の企業でセキュリティ人材が不足しているとのデータもあります。

また、2018年5月25日より施行された「GDPREU一般データ保護規則)」をきっかけとし、多くの企業が自社のセキュリティ対策を見直しています。ちなみにGDPRでは個人情報の侵害発生から72時間以内に監督機関へ通知することが求められています。このような規則に対応するために環境を整えておくことが必要であり、人材不足の日本企業においては大きな課題となっています。

このような事情もあり、セキュリティ対策の自動化を提供するセキュリティオーケストレーションへの期待が集まっています。

セキュリティオーケストレーションのメリット

セキュリティ運用の一環としてセキュリティオーケストレーションを導入にはどのようなメリットがあるのでしょうか。ここでは4つのメリットについて紹介します。

インシデント対応が自動化される

セキュリティオーケストレーションにより組織内にあるセキュリティ機器や外部の脅威情報提供サービスとの連携で、インシデント対応の自動化が実現できます。

セキュリティオーケストレーションではインシデントへの対応手順が示された「プレイブック」と呼ばれるデジタルフローに従って処理します。これはチャートとして画面に表示されるものであり、それぞれのフローをクリックすることで、自動的に処理が進むようになっています。これを繰り返すことで、インシデントの対応を自動化することが可能です。

既知の脅威に関しては、既知のインシデント対応で事足ります。そのため対応の手順がすでにわかっているため、プレイブックに従って処理するだけで、インシデント対応できるというわけです。

同一プラットフォームで完結できる

セキュリティオーケストレーションではインシデント対処のあらゆる業務プロセスを同一のプラットフォームで完結できます。例えば関係者とのインシデント共有や、証拠保全といった作業もセキュリティオーケストレーションのプラットフォーム上で実行できます。

特に重要なインシデントにおいては、関係者への連絡対応が重要です。しかし関係者との情報共有の手段として電話やメールでは毎回の連絡に手間がかかり、誤送信のリスクなども考えられます。このような情報共有もセキュリティオーケストレーションのプラットフォームに統合すれば、自動的に情報を連携することも可能です。

また証拠保全もセキュリティオーケストレーションのプラットフォーム上で実行できます。セキュリティオーケストレーションではインシデント対応で行われたすべての作業を自動的に記録できるので、あとから確認することも容易です。

セキュリティ運用の効果が確認できる

セキュリティオーケストレーションではインシデント対応における効果を測定でき、管理画面にて確認できます。セキュリティ運用の効果を低減してしまう要因はいくつかあります。例えば担当者間において作業分担が不公平である、対応するべきインシデントの優先度が決まっていない、あるいは作業スピードの遅い担当者がいるなど様々です。

セキュリティオーケストレーションでは各担当者の作業が記録でき、作業時間や作業分担の効率が自動的に集計されます。これらを管理画面で表示させることで、インシデント対応状況が可視化でき、改善に役立てることができます。

一般的なエンジニアでもセキュリティ対応が可能になる

セキュリティオーケストレーションによるインシデント対応は誰がやっても同じように対応できるという特徴があります。これはセキュリティオーケストレーションがプレイブックに従って対応できるためです。

セキュリティオーケストレーションを導入しても、高度なスキルを持つセキュリティ人材は必要ですが、少なくともプレイブックに従ってインシデント対応するだけなら、一般的なITエンジニアでも対応可能です。これにより、スキルの高いセキュリティ人材に対する負担を軽減させることが可能です。

セキュリティオーケストレーションの注意点

セキュリティオーケストレーションの注意点として、現在のシステムにセキュリティオーケストレーションを導入できるかどうか、十分に検討する必要があるという点があげられます。

例えば自社の弱みが何であるか、セキュリティ対策としてどのような技術が必要になるのか、既存の技術とデータのみでどの程度脅威が防げるかなど、様々な観点で検証しておくことが必要です。

またセキュリティオーケストレーションとしてはできるだけオープンなものを選択することで、セキュリティオーケストレーションの導入が特定のベンダーに依存することなく、目的を達成することができます。

セキュリティオーケストレーションの利用方法によっては、システムに提供されるデータによって導入の効果が決められてしまいます。より効果的にセキュリティオーケストレーションを運用するためには、十分な検証が必要不可欠です。

セキュリティオーケストレーションの今後

セキュリティオーケストレーションを導入することで、それが新人レベルのセキュリティ人材に取って代わると意見するセキュリティベンダーもいます。その一方で、セキュリティオーケストレーションがそのままセキュリティ人材に取って代わるというよりも、現在のセキュリティ対策の補助的な役割に留まるという意見もあります。

セキュリティオーケストレーションの導入はセキュリティ対策を完全に無人化できるわけではなく、セキュリティ人材の能力の向上や、より巧みなセキュリティ対策を実施するための助けとなると考えられます。

今後、セキュリティオーケストレーションが普及することでセキュリティ対策の初動対応の自動化や運用負荷の軽減など、人間が関与する要素を極力少なくすることを目的としたサービスの登場が注目を集めると思われます。

まとめ

セキュリティオーケストレーションの導入により、セキュリティ運用を効率化できます。自動化できることは自動化し、そうでない箇所に集中してセキュリティ人材を投入することで、より効果的なセキュリティ対策が実施できます。

最近では機械学習によるAIの発展も目覚ましく、セキュリティオーケストレーションとの連携も期待されています。これにより、これからのセキュリティオーケストレーションにおいては、かなりの部分が自動化されることが期待されています。


SNSでもご購読できます。