今回の記事では、Microsoft Azure Sentinelのメインの特徴でもある、セキュリティ オーケストレーション自動応答 (SOAR) ソリューションについてご紹介します。
SOARとは何か
SOARとは「Security Orchestration and Automation Response(セキュリティオーケストレーション自動応答)」の略語です。
オーケストレーションとは、コンピュータシステム、アプリケーション、およびサービスにおける、設定、管理、調整の自動化を意味します。
SOARはアメリカを中心に発展を続けているセキュリティソリューションの1つです。セキュリティインシデントの監視、理解、意思決定、アクションを1つのインターフェイスで効率的に行えるようにする技術です。
SOARは、組織内の各種セキュリティ機器及び外部サービスから収集された脅威情報を1つのプラットフォームに統合します。一般的には、以下の三要素で構成されています。
- インシデント対処の自動化
- インシデント管理機能
- 脅威インテリジェンスの活用
インシデント発生から情報の収集、分析、そして判断までのセキュリティオペレーションを迅速に行うための自動化のフレームワークとして、セキュリティオーケストレーションが活用されています。
SOARの基本機能
ここではSOARが持つ基本的な機能についてご紹介します。
ケースマネジメント機能
アラートやイベントの調査後に、ケースの作成、各ケースの担当割り当てを実施します。ケース、あるいはユースケースというのは、ユーザーがあるシステムを用いて特定の目的を達するまでの、双方の間のやり取りを明確に定義したものを指します。
コラボレーション機能
アラートやイベントの調査結果やケースの対応内容について、単一の製品内にて関係者間の情報共有を可能にします。内臓のチャット機能やケースへのコメント追加を利用してコミュニケーションのずれを減らし、速やかに情報交換することを理想とします。
関係者間のコミュニケーションのずれはプロジェクトを推進する上において、重要なところでもあるので、情報共有のスムーズさは重要と言えるでしょう。
オーケストレーション機能
各製品が提供しているAPI経由で連携をする事で、製品間を繋いでそれぞれが持つ機能を最大化させることが可能となります。
APIとはApplication Programming Interfaceの略で、ソフトウェアを利用して製品開発を行う開発者に対して使いやすいインターフェースを提供するものです。
SOAR製品を選択するにあたり、定義済みのプラグインを多く所有している製品が望ましいです。
オートメーション機能
事前に定義した自動化ポリシーに基づいてルールブックを設計し、条件に応じたアクションを自動的に実行します。運用の中で発生する様々なシーンを想定し、ポリシーを定めることがポイントとなります。
あらかじめルールに対して行うアクションを想定し、設定しておくことによって、手間を省いた自動化が可能となります。
SOARが求められる理由
なぜ現代のセキュリティ運用にはSOARが必要なのでしょうか。その一番大きな理由は「人材不足」です。
年々高度化する個人や企業に対するセキュリティの脅威や攻撃に対し、対応できる人材が多くの企業では不足しています。
テクノロジーの進化はすさまじく速いため、常に勉強し続けなければなりません。しかし、勉強し続けられる人自体が少ないこともあり、人材不足となっているのです。
人材不足が起きたとしても対応しうるのがSOARです。
SOARプラットフォームには、セキュリティの自動化や、セキュリティの自動化とオーケストレーションだけにとどまらず、本格的なインシデント対応機能も統合されています。
セキュリティ運用、つまりセキュリティチームがアラートや脅威の管理、分析、対応を行う方法は、SOARによって大きく変わろうとしています。何らかの形でセキュリティを自動化しなければ、サイバー攻撃が増加して不正行為者も巧妙化する中で、セキュリティアナリストたちが手動で対処する事態になります。
セキュリティ対策側と攻撃側は常にいたちごっこを続けていて、それによってセキュリティも進化していると言えるでしょう。
SOAR導入によるセキュリティ運用業務効率化
セキュリティ運用業務にSOARを導入することによってどのような改善点が期待できるのでしょうか。2点、ポイントをご紹介します。
① あらゆる業務プロセスを同一プラットフォームで完結
SOARはインシデント対処に関連するあらゆる業務プロセスを一つのプラットフォームに集約します。
複数のプラットフォームにまたがってしまうとユーザーの使い勝手は悪くなってしまいます。そうならないためにも1つで完結していることはメリットです。
②セキュリティ運用部隊のパフォーマンスを確認できる
SOARではインシデント対処における組織のパフォーマンスが測定され、ダッシュボード上で確認できます。
SOAR ソリューションとしての Azure Sentinel
企業組織の現場には、セキュリティの警告やインシデントが日常的に押し寄せています。その量のあまりの多さに、対応するセキュリティ対応のスタッフは忙殺されてしまっています。 その結果、多くのアラートが無視され、多くのインシデントが調査されず、気付かずに行われる攻撃に対して組織は脆弱な状態のままになってしまっていることがよくあります。
Azure Sentinelは、セキュリティオーケストレーション、オートメーション、および応答 (SOAR) のためのプラットフォームでもあります。
まとめ
今回の記事では、SOARの機能ややAzure Sentinelについてご紹介してきました。
- SOARとはセキュリティインシデントの監視、理解、意思決定、アクションを1つのインターフェイスで効率的に行えるようにする技術。
- SOARの基本機能
ケースマネジメント機能
コラボレーション機能
オーケストレーション機能
オートメーション機能 - SOARが求められる理由
一番大きな理由は「人材不足」。年々高度化する個人や企業に対するセキュリティの脅威や攻撃に対し、対応できる人材が多くの企業では不足しています。