SOARとは、Security Orchestration, Automation and Responseの略で、セキュリティに関する業務を自動化・効率化するソリューションのことです。
セキュリティ人材が不足する中、SOARの導入は、どの会社でも課題と言えますが、一方で、SOARについては知られていない点も多々あるようです。
そこで、SOARの概要の説明・仕組み・導入のメリット・利用例について詳しくご紹介します。
SOARとは?
SOARは“Security Orchestration, Automation and Response”の略で、とはセキュリティ運用を自動化・効率化するツールまたはソリューションのことを指しており、セキュリティインシデント管理機能・インシデント対処の自動化、脅威の自動検知などの機能があります。
企業では、小さなあまり被害の大きくないセキュリティインシデントは、日常的に発生しています。
例えば、入館証をなくしてしまった、取引先のデータをうっかり削除して毀損してしまった、メールを一件誤送信した、といったインシデントは、単純ミスであるだけに、ごく日常的に発生するのです。
また、セキュリティの脅威は、日々ベースで発生しています。攻撃者が不正な通信を試みて、アクセスしようとする、といったことは総当たり式でどこにでも不正アクセスを仕掛けているといっても過言はありません。日常的にこうした脅威は発生していることなのです。
ところで、こうしたインシデントは、全件を把握・管理するのが企業の情報セキュリティ体制としては基本とされていますが、これに対するセキュリティ人員は全く足りていません。
例えば野村総合研究所がまとめたNRI Secure Insight 2018では、実に日本企業の86.9%がセキュリティ人材は不足していると回答しています。
こうした状況の中では、SOARによるインシデントの検知または管理を自動化して、なるべく人手がかからないオペレーションにしないと、日々の業務でのセキュリティオペレーションは、人手不足のため破綻しかねないと危機を感じられることも多くの企業で経験していることです。
SOARの仕組み
SOARは、日常的に発生している、そして量的に膨大なセキュリティイベントの処理を自動化ないし効率化する仕組みです。どんな仕組みで自動化・効率化を図るのでしょうか。
インシデント対処の自動化
インシデントを検知し、対応することを自動化します。
例えば、インシデントを機器やソフトウェアで検知すると、その認識したインシデントの種類やインパクトを自動で判別し、内部での処理または外部へのサービスに連携して一次対応を行います。
完全な一次対応の自動化、あるいは部分的な自動化など、ソリューションにより対応の自動化のありようには幅がありますが、今まで人の手を通して行っていた作業をソリューションに任せます。
外部からの攻撃があった場合に、不正な通信を検知すると、通信を遮断する仕組みや、機器の紛失についてのホットライン業務の24時間365日ベースでの自動化など、いくつかのソリューションの組み合わせにより、自動化が行われる業務を増やしていくのが多くの企業での課題です。
インシデント処理には「プレイブック」と呼ばれるワークフローがあります。
このワークフローにより、インシデント処理業務の標準化を進められるので、多くの企業でこうしたフローによる対応を行っています。ワークフローであると同時に、企業のメンバーの行動、すなわち通知・承認・処理の承認など、一連の動きを規定する文書および動きを記録する仕組みそのもののことも「プレイブック」と呼ぶ場合が多いのです。
承認システムと、SOARソリューションを組み合わせ、SOARをプレイブックに組み込むことができると、「プレイブック」の自動化まで行うことができます。
業務プロセスのプラットフォームを統一
SOARの導入を進めると、インシデント処理に関する業務プロセスのプラットフォームの統一化も進めることができます。
承認システム・情報共有・承認システムでの記録ないし証跡の管理など、インシデント処理関連の事務処理は多くあるものです。これを1つのプラットフォームにのせると、シームレスなインシデント処理ができるようになります。
さらに、チャットボット・メールシステムなど、プラットフォームにツールを載せることにより、自動化を促進できるようになります。記録の自動化、一次対応の自動化も、より効率的に進めることができるでしょう。
業務プロセスが統一され、1つのプラットフォームで動く完成度の高いSOARでは、インシデントに対して行われた作業を全て自動的に記録することができるのです。
セキュリティ運用部隊の作業状態を把握できる
さらに、人手不足に悩むセキュリティ運用部隊では、メンバーの稼働管理・業務の分担状況もしっかり管理をしないと、労務管理上の問題点が多く出てしまいます。
SOARでは、各担当者の作業も記録することができます。
自動入力や自動出力を活用し、作業時間や作業分担等の指標を集計し、ダッシュボードに表示することもできます。その結果、もしも業務時間や、分担に偏りや負荷の軽減などの課題があれば、改善計画なども立てやすいのです。
SOARのメリットとは
SOARは、すでにご説明した通り、インシデント処理を
- 技術的な対応
- 事務的な対応
- メンバーの労務管理
の3面にわたり標準化・自動化・効率化を推進するエンジンとして機能します。そこでSOARのメリットは、次のようにまとめることができます。
セキュリティ運用部隊の生産性向上
最も大きな課題である、セキュリティ人材の付則を、インシデントの効率的な管理により対応することができます。
先ほどお伝えした通り、日本企業の86.9%がセキュリティ人材は不足していると認識しています(NRI Secure Insight 2018より)。その中で、セキュリティ問題は、経営課題として認識され、ひとたびことが起こった場合のインパクト・課題の重要度も増すばかりです。
厳格化が進む法令対応も課題です。
例えば、EU居住者の個人情報の取扱いについて規定する2018年5月25日より施行されたGDPR(EU一般データ保護規則)は、日本企業にも適用があります。
この規則によると、個人データの侵害発生から72時間以内に監督機関へ通知が義務付けられたため、迅速な対応が必要になりますが、土日を挟み、あるいは、人材不足の中、事故に対応する体制整備が課題として認識されています。
SOARによると、こうした法令対応の課題にも対応ができます。しかも、自動で平準化され、正確な対応ができるので、安定的に法令に対するコンプライアンス問題に対応できるのです。
ニーズに合わせた柔軟なカスタマイズが可能
SOARはソリューションの組み合わせなので、逆に言うと、環境に合わせてカスタマイズでが可能です。そのため、多くの関係者にとって利用しやすいつくりにすることができます。
企業内の連携を強化
SOARのデータへアクセスできるようにすることで、情報共有がスムーズになり、企業内の連携が強化されます。データを見れば、何が起こっているのか、自分に関係があるのか、どんな対応をしなければならないのか、誰と連携しなければならないのか、短時間でわかるため、業務の可視化と連携が進みます。
SOARの使用例
SOARの使用例としてわかりやすいのは、特に技術的な対応の手順をSOARで自動化したものです。
- 情報資産に対するアクセスコントロール違反をSIEM(Security Information and Event Management)ソフトウェアにより検知、IP精査・禁止リストへの追加、管理者の報告までを一貫して自動で行う
- 不正な通信をSyslogで記録、SSH(Secure Shell)により遠隔操作のうえ、スクリプトを実行、検疫を行う、あるいは通信ポートを遮断する
- 不正ログインをIDSで検知、利用者と照合し、該当する利用者にパスワードリセットを要求する
など、セキュリティインシデントに合わせたシナリオを設定できるのがSOARの特徴です。
まとめ
SOARは、インシデント対応を自動化・効率化することにより、人手不足の状況でもインシデントを適切に処理することができます。
大企業が運用する大規模なSOARソリューションだけでなく、クラウドベースでSOARを実現できるソリューションあるいはサービスも見られます。今後、中小企業でも要求水準が高くなる企業の情報セキュリティ対策に導入が必須となると考えられます。
