セキュリティ対策の重要性が年々増加していくなかで、自社でセキュリティ運用を行う企業も増えてきました。
本記事では、セキュリティソリューションであるSOARについて搭載機能や導入手順について詳しく説明します。
SOARとは?
SOARとは、Security Orchestration, Automation and Responseの略称であり、ガートナー社が提唱する概念かつ、セキュリティ対策・運用を自動的できるソリューションです。
SOARの役割は、セキュリティインシデント管理、インシデントの対処、セキュリティ脅威の自動検知のおもに3つです。企業では日々小さなセキュリティ脅威が存在しており、データ共有や管理、メールの誤送信といったセキュリティ脅威に日常的にさらされています。
SOARは、セキュリティインシデントの情報収集からユーザーへの警告、データ履歴の保存、データ管理の一元化まで自動化できる優れたセキュリティソリューションの総称であり、国内でも年々注目度が高まっています。
SOARが求められる理由
SOARについて概要を解説しましたが、近年アメリカ・日本国内でSOARが求められる理由はどのような点にあるのでしょうか。SOARが求められる理由は主に専門家知識が必要な環境にも関わらず、人材不足であるという点です。
セキュリティ人材不足は最も深刻な課題であり、高度化するサイバー攻撃に対して対処できる専門人材がほとんどの企業で不足しています。国内では海外と比較してセキュリティ人材が圧倒的に不足しており、NRI SECUREの調査によると日本企業の86.9%がセキュリティ人材不足に直面していると回答しています。
(引用:https://www.nri.com/jp/news/newsrelease/lst/2022/cc/0208_1)
また、オペレーション中のインシデント対応では多大な時間とコストがかかります。インシデント対応にもある程度の経験や知識が必要になります。SOARが求められる理由の多くは人材不足であり、導入により人材不足の解消が期待されています。
SOARに備わっている機能
SOARには、具体的にどのような機能が搭載されているのでしょうか。
本章ではSOARの代表的な機能について説明します。
インシデント対応の自動化
SOAR最大の特徴として、インシデント対応の一部を自動化できることが挙げられます。
社員がインシデント対応を実施すると時間がかかるため、セキュリティ部門のリソースを圧迫します。また、セキュリティ業務では属人的な側面も多く管理者のスキルや経験に依存するデメリットも存在します。
SOARが自動で認識したインシデントの脅威をスコアリングして、慣れていない管理者やエンジニアをサポートするため初心者でも対応可能です。
業務プロセスのプラットフォームを統一
SOARではセキュリティ対策に関するあらゆる作業を1つのプラットフォームで管理できます。
事務処理を1つのプラットフォームで管理でき、インシデントを処理することで業務効率化を実現します。また、インシデントに対して情報管理や共有、データ履歴の保存ができるため管理コスト削減が期待できます。
セキュリティ運用部隊の作業状態を把握
更にSOARでは、インシデント対応による所要時間といった組織のパフォーマンスを測定して可視化できます。
セキュリティ対応で組織のパフォーマンスを低下させる要因は多くあり、生産性の低い担当者やリソースの偏りなどダッシュボード上で可視化することができます。SOAR導入によってセキュリティ運用においてパフォーマンスを妨げる要因を特定しやすくなります。
個人から組織全体を含めてパフォーマンスを測定できるため、改善計画を立てやすくなるでしょう。
SOAR導入に向けての4ステップ
SOAR導入に向けて検討したほうが良いことを4つ紹介します。
- セキュリティ業務を明確にする
- 自動化する業務を決める
- 導入するための技術的な環境を整える
- 社員が使いこなせる製品を選択する
はじめに、セキュリティ業務を明確にすることから説明していきます。
ステップ1:セキュリティ業務を明確にする
SOARを導入するための前提として、社内のセキュリティ業務が定義されている必要があります。
セキュリティ業務が明確に定義されていない場合は、セキュリティ運用設計からプランニングする必要があります。
ステップ2:自動化する業務を決める
SOARを導入するには、どのセキュリティ業務を自動化するか検討する必要があります。
SOAR導入後も人が実施したほうが良い業務はなにか、自動化しても問題ない業務は何か区別しておくことで生産性向上が実現できます。最初からすべて自動化する必要はなく、部分的に自動化する事も可能です。
ステップ3:導入するための技術的な環境を整える
SOARの導入にあたって環境整備も重要になります。現在社内で使用しているソフトウェアやツールの互換性や、SOARが自動で認識したインシデントの脅威をスコアリングするために必要なAPIコネクターが設定されているかなどは事前に確認しておきましょう。APIとSOARを中継するAPPが内蔵されている製品を検討する導入がスムーズになります。
また、サンプルコードが提供されている製品を検討することもおすすめです。
ステップ4:社員が使いこなせる製品を選択する
SOARの導入にあたって自社社員が使いこなせるかどうかも重要な観点です。
担当者の知識や経験が浅い場合、製品の性能のみで導入すると上手く運用できない可能性があります。
導入後に運用面で困らないように、導入サポートの手厚さも検討項目に入れておくと良いでしょう。
サイバー攻撃者視点でセキュリティの脆弱性を定量評価することで、攻撃されにくい環境を維持し続けることができます。また、その企業に合ったセキュリティ改善点を可視化すること、セキュリティ業務自動化までをトータルサポートできる製品です。
まとめ
SOARはセキュリティ人材が不足する日本国内で年々需要が拡大しています。
インシデント対応など工数の多い業務の自動化まで一括で実施でき、セキュリティ部門の工数を大幅に削減することが期待できます。