SOARとは、セキュリティ運用の自動化・効率化を実現するセキュリティソリューションで、近年業界で注目されています。
この記事では、SOARの仕組み、セキュリティ機能、メリット、そしてよく混同されるSIEMとの違いまで、初心者の方にもわかりやすく解説します。
SOARとは?
SOARとは、「Security Orchestration, Automation and Response」の略称で、セキュリティ運用の自動化・効率化を実現するセキュリティソリューションです。SOARは、Gartnerが提唱した概念で、近年セキュリティ業界で注目されいます。というのも、近年攻撃が増加・複雑化し、社内のセキュリティ人材が手動でインシデント対応をしていては追いつかないことが多くの企業で課題となっています。そこで、従来人手で行っていた作業(脅威情報の収集やインシデント対処)を自動化する・効率化するニーズが急増しているのです。
SOARの機能とは?
①脅威情報の収集・優先づけ
一つ目が、脅威情報の収集、優先づけです。社内で導入している複数のセキュリティ製品(IDS、ファイアーウォールなど)から集めた情報を分析し、脆弱性に繋がる異変や異常を発見、セキュリティリスクの高い順に優先づけを行います。
従来はそれぞれのセキュリティ製品のログ等の情報はそれぞれの製品ごとのポータルでしか閲覧できず、そのデータを元にセキュリティ担当者が優先づけを行い対応するのが一般的でした。が、SOARを導入することで、その稼働を削減することができます。
②インシデント対応の自動化
二つ目が、インシデント対応の自動化です。これがSOARの一番メインの機能で、その名の通り、インシデント対応を自動で行います。
といっても、完全に人間の許可云々に関係なく勝手に処理する、というわけではありません。
具体的には、インシデントが発生した際、SOARのポータル上に、インシデントへの対応手順が示された「プレイブック」と呼ばれる手順書のようなものが出てきて、それぞれのフローに従って処理します。
このプレイブックは、事前に社内のセキュリティポリシーに則って定義することができ、既知のインシデントに対してはこのプレイブックがあればすぐに処理可能です。これのいいところは、高度なセキュリティ知識がないエンジニアでも、プレイブックに沿ってポチポチボタンを押していけば、簡単に対応可能ということです。
③インシデント管理
三つ目が、インシデント管理です。①、②の機能は、すべてSOARの同一プラットフォーム上で一元管理することが可能です。過去の処理もすべてデータで蓄積されていくため、例えば関係者への情報共有もそのポータルの閲覧権限を与えるor自動でメールを送信する設定をするなどして、効率的に行うことができます。セキュリティ部門にとって、このインシデント対応の報告、レポートというのは意外と大きな稼働を食うので、そこを一つのプラットフォームで一元管理できるというのは大きなメリットです。
SOARとSIEMの違いは?
インシデント管理というと、「あれ?SIEMは?」と思った方もいるかもしれません。SIEMとは、「Security Information and Event Management」の略称で、セキュリティ機器のログ収集、分析を行うセキュリティソリューションのことです。
そう聞くと確かに「SOARの①脅威情報の収集・優先づけと一緒では?」という気がしますが、SOARとの違いは、「インシデント対応まではしない」という点です。
ただ、最近はSOAR、SIEMを一体として提供する製品も増えているので、その境界は曖昧になってきています。
SIEMについては、こちらの記事で詳しく解説しているので、是非合わせて読んでみてください。
SOARのメリットとは?
SOARを導入するメリットは、一言で言えば「セキュリティ部門の負担軽減」です。
一般に、日本企業のセキュリティ部門は慢性的な人材不足に悩まれています。一方で、リモートワークやクラウドシフトの影響もあり、従来と違ったセキュリティリスクが増加、また、攻撃者の手法も高度化しており、企業の情報漏えいリスクは高まっています。
このような危機的状況の社内のセキュリティ部門にとって、インシデント情報の収集、対応、管理を自動で行うSOARを導入すると、大幅に負担を軽減することができます。
おわりに
いかがだったでしょうか。SOARは、社内のセキュリティ人材の負担を大幅に軽減できることから、近年特に注目されているセキュリティソリューションになります。仕組み、メリットをしっかり押さえておきましょう。
コメント