SOARとは?
SOAR(セキュリティ、オーケストレーション、自動化、レスポンス)とは、脅威および脆弱性管理、インシデント対応、セキュリティ運用自動化など、多くの分野にわたるセキュリティ運用を効率化できるソフトウェアを指します。
SOARとは何の略ですか?
SOARは3つの主要な機能によって特徴づけられます:
- セキュリティオーケストレーション:セキュリティツールの連携と分散したセキュリティシステムの統合。
- セキュリティ自動化:セキュリティ情報イベント管理(SIEM)からの新たなアラート、侵害事例、検索結果の取得や、脅威インテリジェンスからの侵害指標(IoC)の取得など、セキュリティ運用に関連するタスクを、人間の介入なしに実行すること。
- セキュリティレスポンス:組織がサイバー攻撃やデータ侵害の影響を回避または軽減できるようにする、構造化された多段階プロセス。
SOARシステムはどのような目的で使用されるのか?
SOARプラットフォームおよびソリューションは、ログファイル、アプリケーションメトリクス、クラウド監視サービスなど、様々なソースからデータを収集し、そのデータを分析して侵害の兆候となる異常を検出することで機能します。次に、特定された脅威に対する対応戦略をチームが計画・実行するのをSORAが支援し、自動化を通じて脅威の検知と修復を迅速化します。
Sumo Logicが調査したセキュリティ専門家の57%によると、時間のかかるタスクの自動化がSOARソリューションの最も重要な機能になります。
効果的なSOARソリューションにより、より少ない時間でより多くの成果を上げることが可能となり、かつ最も重要な局面では人間の意思決定を可能にします。SOARは、チームがポイントツーポイントの統合に依存する状態から脱却するのを支援します。代わりに、SOARツールは目標達成のために適切な人材と技術を結びつける様々なプロセスを構築します。
総じて、SOARは現代のビジネスにエンドツーエンドのセキュリティソリューションを提供します。
SOARソリューションをどのように実装しますか?
SOARツールのオーケストレーション機能の成功における重要な要素は、最も使用頻度の高い技術向けのプラグインライブラリと、一般的なユースケース向けの事前構築済みワークフローセットを備えていることです。
通常、これらのワークフローは、業界標準と現在のベストプラクティスに基づいたカスタマイズ可能なプレイブックまたはランブックの形で提供されます。これらはフィッシングからブルートフォース攻撃、ランサムウェア攻撃に至るまで、幅広いシナリオを網羅しています。同様に重要なのは、プレイブックによってインシデント対応ライフサイクルの大部分を自動化できる点です。
盗まれた認証情報プレイブックにおけるエンリッチメント処理の例
幅広いプラグインや統合機能、および事前構築済みのプレイブックにより、チームはテクノロジースタックを容易に連携させ、セキュリティおよびITプロセスを自動化できます。チームに合わせて追加のオーケストレーションやワークフローを構築する必要があるでしょうが、事前に用意された例や使いやすいビルディングブロックを活用することで、そのプロセスを加速できるはずです。
SOAR導入拡大の背景にある動向
SOARという用語は、Gartnerが2017年に提唱したものです。アナリストによれば、SOARの導入が急速に拡大している主な要因は三つあります。
サイバーセキュリティ脅威の増大する複雑性
攻撃者が自らの活動を隠蔽するために設計された手法を採用するにつれ、セキュリティ上の脅威はますます複雑化しています。例えば、攻撃者は仮想マシンを利用してエクスプロイトを実行することがあります。この手法では、標的となったマシンのメトリクスが攻撃発生後まで変化しないため、攻撃の検知が困難になります。他のシナリオでは、マルウェアがシステムのセキュリティプロセスを積極的に停止させ、従来のセキュリティツールがその存在を発見できないようにする場合があります。
脅威がますます複雑化する中、SOARはより深く包括的なセキュリティ分析を提供し、脅威の診断と解決を迅速化します。SOARソリューションにより、企業は自動的に多くのデータを収集し、集中的に分析することで、脅威を浮き彫りにし、調査活動を迅速化することができます。
>> もっと詳しく: 圧倒的な効果:SOARソリューションがそれほどまでに画期的である理由
サイバーセキュリティの脅威と警告の規模の拡大.
脅威が複雑化する一方で、その蔓延もますます深刻化している。2021年はサイバー攻撃の規模と頻度において記録を更新しましたが、2023年も間違いなく同様の道を辿ろうとしています。
その結果、セキュリティチームはこれまで以上に多くのアラートに対応せざるを得なくなっています。いわゆるアラート疲労は、セキュリティチームにとって最も根強い課題の一つです。彼らは大量のアラートに対応し、誤検知と真の警報を見分け、どのアラートを優先すべきかを判断するのに苦労しています。
Sumo Logicがセキュリティ専門家を対象に行った調査で明らかになった課題には、誤検知とアラート疲労が含まれていました。
SOARは、様々なツールから得られるセキュリティ脅威に関する文脈に沿った実用的な情報を提供することで、これらの課題に対処します。単にリスクを特定するだけでなく、SOARは脅威レベルに基づいてそれらを分類します。多くの場合、SOARはチームが脅威に最も効率的に対応する方法に関するガイダンスを提供します。また前述の通り、SOARは従来のセキュリティツールを連携させることで、特定のシナリオにおいて脅威を自動的に修復することが可能です。
サイバーセキュリティ人材不足
現代の脅威の規模を複雑にしているのは、それらに対応できる資格を持つ技術者が不足しているという事実です。
2022年時点で、米国には43万5000件のサイバーセキュリティ関連の求人未充足分が存在し、2019年の31万4000件から増加しています。この「スキルギャップ」は、改善される前にさらに悪化する可能性が高いのです。
最小規模のサイバーセキュリティチームであっても、脅威に対処するためにSOARツールを活用することはできます。SOARは複雑なセキュリティワークフローを自動化すると同時に、必要なすべての関係者がセキュリティ対応活動を調整するのを支援します。
>> GigaOM RadarレポートのSOARソリューションに関する内容を読む
SOAR と SIEM の違い
SOARはSIEMと比較されることがあります。一般的に、SIEMプラットフォームとは、
- 特定のIT環境内の内部ソース(ファイアウォール、データベース、サーバー、アプリケーション、ネットワーク機器、侵入検知システム(IDS)など)からログを収集し、集約します。
- ログ監査を実行する
- リアルタイムアラート分析を実施する
- コンプライアンスレポートを作成する
組織はSOARをSIEMで置き換えられますか?
従来、組織は脅威を検知するためにSIEMに依存してきましたが、その機能性は通常そこまでなのです。
対照的に、SOARはセキュリティ対応を調整し、脅威インテリジェンスを実行可能なものにします。SOARを活用すれば、サードパーティのエンドポイントセキュリティプロバイダー、外部脅威インテリジェンスフィード、その他の外部ツールなど、異なる技術を連携させることができます。
多くの企業は、より包括的な脅威管理ソリューションを実現するために、両方を活用しています。
SOARソリューションの主な利点
SOARはワークフローの構築と業務の効率化を支援します
SOARを採用することで、企業は他の種類のセキュリティツールでは得られない様々なメリットを享受できます。
効率化されたセキュリティ対応と自動化
セキュリティ脅威に関する全データを全関係者に提供し、対応活動の調整を支援することで、SOARは脅威への対応において推測や場当たり的なアプローチの必要性を排除します。
一方、SOARは脅威の封じ込めと修復にかかる時間を最小限に抑えるのに役立ちます。これは、アクティブな侵害が1分あたり数百万ドルの損失をもたらす可能性があることを考慮すると極めて重要です。
SOARは強化されたアラート管理を提供し、SOCチームを支援します
SOARは、セキュリティ運用チームがセキュリティアラートをより適切に理解し、全体的なセキュリティ態勢を強化することを支援します。SOARを活用すれば、脅威の影響を受けるシステムを即座に特定し、手動調査なしにサイバー脅威の深刻度を判断することが可能になります。また、誤検知の可能性が高いアラートを特定することも容易になります。
Sumo Logic Cloud SOARは、アラート調査に対して積極的なアプローチを取ります。
従来型のSIEMでは、アラートのトリアージはセキュリティアナリストが膨大な数のアラートを処理する困難な作業となります。受信したデータを精査して真のアラートと誤情報を分離し、アラートの優先順位付けを行い、それらをインシデントに変換し、最適なインシデント対応策を策定し、インシデント対応活動を調整する作業は、非常に時間がかかります。さらに、セキュリティアナリストがどれほど勤勉であっても、ミスは起こり得ます。その結果、脅威を見逃し、組織に大混乱をもたらす可能性があるのです。
SOARの自動化
SOARプラットフォームの基本的な利点の一つは、トリアージプロセスの自動化とオーケストレーションがあります。SOARはエクサバイト規模のデータを自動的に処理し、複数のツールを活用し、多様なプロセスを統合することで意思決定を強化し、アラート調査、情報補完、脅威検知を実行します。SOARは、特に機械学習エンジンで駆動される場合、人間よりもはるかに迅速かつ効率的にトリアージを実行できます。SOARの自動化のメリットには以下が含まれます:
- 誤警報とアラートノイズの最小化
- 応答時間の改善
- MTTR(平均解決時間)の低減率
- プレイブックによるセキュリティインシデント対応の効率化
- より効率的なセキュリティ運用
こうした方法で、SOARはより効率的なアラート管理を実現します。セキュリティアラートが個別に発生するたびに処理しようとするのではなく、SOARを導入したチームは、各アラートの深刻度と影響を受けるリソースの範囲に基づいて、戦略的かつ先制的に対応することが可能となります。
SOARは異なるツールセットを統合可能
SOARは既存のセキュリティツールの代替品ではありませんが、セキュリティ関連データの収集、分析、対応を行う一元化されたプラットフォームとして機能することで、それらの統合を支援することができます。
セキュリティ専門家の32%は、単一のセキュリティインシデントに対応するために6~10個のツールを必要としています。SOARはコネクタとして機能し、単一のプラットフォームを中心にセキュリティ運用を一元化するのに役立ちます。
SOARがなければ、ログアグリゲーター、メトリクス収集サービス、SIEM、脅威インテリジェンス、ファイアウォール、IDS、IPS、 EDR、ITサービス、チケットシステム、IAM、分析・監視、サンドボックス、XDR、メール・ウェブゲートウェイ、プロキシ、URLフィルタリング、脆弱性管理、IoT監視、CASB、OTセキュリティツールなどといった多様なツールを駆使しなければならなくなるでしょう。SOARはこれらすべてのツールの共通コネクタとして機能し、単一のプラットフォームを中心にセキュリティ運用を一元化することを可能にします。
SOARシステムでコスト削減
最終的に、SOARは二つの方法でコストを削減できます。
まず、エンジニアが手動でセキュリティ脅威を特定し対処する時間を削減します。これは人件費の削減につながります。
第二に、侵害の封じ込めと修復にかかる時間を短縮することで、SOARはサイバーセキュリティインシデントによる財務的影響を最小限に抑えるのに役立ちます。SOARプラットフォームは、侵害時に露出するデータ量を削減する役割も果たします。これにより企業の評判を守り、規制当局からの罰金を回避できる可能性があります。サイバー攻撃の責任はサイバーセキュリティ・チームだけにあると一般に考えられていますが、そうではありません。サイバーセキュリティ意識には改善の余地があります。サイバーセキュリティを考慮せずにプロジェクトを開発する部門は、自社の全社的なリスクを高めることになります。
セキュリティチーム間の柔軟性、拡張性、および連携の強化
セキュリティチームがSOARの主な利用者である場合でも、セキュリティアナリストだけでは問題を修正することはほぼできません。おそらく、組織では複数のチームが関与し連携する必要があるテクノロジーが使用されていますが、その様々な要素が必ずしも統合されているわけではありません。例えば、脅威の根本原因がコードの脆弱性である場合、開発者と協力して修正する必要があります。アプリケーションやクラウドサービスの設定上の問題である場合、ITエンジニアの支援が必要となります。SOARは、開発者、ITエンジニア、およびプロセスに連携が必要なその他のグループが、迅速かつ効果的な対応を実現するために容易に協業できるよう保証し、各フェーズと関連する時間を追跡します。
最適なSOARソリューションの選択
SOARを初めて導入する場合でも、現在のSOARベンダーを変更する場合でも、セキュリティ運用チームのニーズを適切なSOARソリューションに整合させることが重要です。SOARはセキュリティオペレーションセンター(SOC)に重大な影響を与える可能性があるため、適切なSOARソリューションを選択するための最善の判断を下すには、利用可能な選択肢を理解することが不可欠です。ワークフローの適応、統合の作成と管理、あるいは全く新しいプロセスの構築のいずれにおいても、SOARソリューションとベンダーを比較する方法を理解することが不可欠です。最適なSOARソリューションを見つけるための基準は以下の通りです。
- 双方向の統合を簡単かつ柔軟に作成できる。
- 一般的なデータ取り込み方法(Syslog、データベース接続、API、電子メール、オンラインフォームなど)およびデータ標準(CEF、OpenIOC、STIX/TAXIIなど)をサポートしている。
- プログラミング知識がなくても、プレイブックにアクションを追加することで標準作業手順(SOP)を定義し、構築が容易なワークフローを組み込める。
- インシデント対応および管理のライフサイクル全体を管理するための追加機能を含む。具体的には、ケースの追跡、インシデント発生時の対応記録、重要な指標やKPIの報告などが挙げられる。
- 様々な種類の脅威インテリジェンスを調整し自動化する。
- 単一ホスト上で複数のインスタンスをサポートし、各テナントの情報に対して正確なデータ分離とアクセス制御を提供する。
企業がSumo Logic Cloud SOAR を選ぶ理由
SOARと称するソリューションを提供するベンダーは数多く存在します。SOAR市場に関するガイダンスについては、当社のSOARバイヤーズガイドをご覧ください。一部は主にSIEMプラットフォームであり、基本的なSOAR機能が追加されているに過ぎません。他のものは特定の環境や特定の種類のインフラストラクチャでのみ機能するSOARソリューションです。
Sumo Logic Cloud SOARは、プライベートクラウド、シングルクラウド、マルチクラウド、ハイブリッドクラウドなど、あらゆる環境において完全なSOAR機能を提供するために一から構築されています。以下は、Sumo Logic Cloud SOARとの比較をまとめたチャートです。
| アクション | Sumo Logicなし | Sumo Logicあり |
| インシデント割り当て | インシデントは、異なるツールから手動で情報を収集し、チケット発行システムを通じて割り当てられます。収集した情報の分析は、複雑になる一方です。 | Sumo Logic Cloud SOARは、実際の脅威が検出された場合にのみ自動的にインシデントを作成し、特定のアナリストまたはアナリストグループに割り当てます。ケースマネージャー内のインシデントには必要な情報がすべて充実しており、SOCチームが即座かつ透明性を持って連携し、より優れたケース管理を支援することが可能となります。 |
| プレイブックの起動 | SOCチームがインシデント対応手順書を作成している場合、複数のツールインターフェースを管理しながらそれらに従わなければなりません。こうした事前決定された手順が欠けている場合、個人は往々にして自身の経験と技能に基づいて即興で対応してしまいます。 | Sumo Logic Cloud SOARは、アラートの種類に基づいてプレイブックの推奨事項を自動的に生成します。これにより、セキュリティアナリストは特定の状況に対して適切な標準的な運用手順とタスクを起動できるようになります。これで、SOCチームは対応能力を拡張し、反応時間を改善することも可能になります。 |
| 標準業務手順書 タスク管理 | SOCチームは、異なるツールにまたがる様々な機能を管理し、文書化された指示(存在する場合)に従わなければなりません。 | Sumo Logic Cloud SOARは、SOCチームのセキュリティスタック全体を統合し、段階的な自動化を通じて時間のかかるタスクを自動化します。これにより、ユーザーは標準的な応答プロセスをどのように自動化するかを指定できます。 |
| レポート作成 | アナリストは関連する情報をすべて収集し、手作業で報告書を作成しなければなりません。 | Sumo Logic Cloud SOARは、SOCチーム向けに詳細なインシデントレポートを自動的に作成します。 |
カリフォルニア大学デーヴィス校がCloud SOARで脅威対応を加速する方法
研究者、学生、教職員にサービスを提供するカリフォルニア大学デーヴィス校のシステムは、1 秒間に 10,000 件のイベントを生成しています。セキュリティ上の課題に加え、カリフォルニア大学デーヴィス校はオープンアクセスポリシーを採用しており、キャンパス全体で連合型 IT ガバナンスモデルを運用しています。
セキュリティ運用における一部のプロセスを自動化するため、SOCチームは学生が開発したPythonスクリプトでサポートされるAPI中心のスクリプティングモデルを開発しましたが、これにはいくつかのセキュリティ上の脆弱性が残されています。カリフォルニア大学デービス校は、Sumo Logic Cloud SOAR を使用して、ハイブリッドクラウドアーキテクチャによる脅威への対応を加速し、SOC の効率を改善しています。
Cloud SOARのオープン統合フレームワークにより、SOCの既存Pythonスクリプトとの互換性が確保され、チームは新たな統合機能を構築する必要がなくなります。Cloud SOARは、SOCワークフローにおける不足部分を補うだけでなく、既存の全技術と連携し、セキュリティ要件も満たします。
Cloud SOARにより、カリフォルニア大学デーヴィス校は研究を支援し、潜在的な攻撃から自身を守るセキュリティポリシーと手順を確保しています。
Cloud SOAR をご体験ください
Sumo Logic Cloud SOARは、セキュリティチームが効率的かつ積極的に活動できるようにします。処理すべきアラートの数、SOARに接続する必要がある他のセキュリティツールの種類、直面するセキュリティ脅威の種類にかかわらず、その効果を発揮します。
Sumo Logic Cloud SOARは、そのオープン統合フレームワークにより、導入環境への容易な統合を実現し、SIEMを含む様々なセキュリティ技術とシームレスに連携します。複数のダッシュボードを切り替える代わりに、Cloud SOARは単一のダッシュボードで、特定から修復までの詳細なケース(インシデント)情報を活用します。これにより、セキュリティチームはインシデント対応プロセスを完全な可視性のもとで構築・維持し、Cloud SOARとCloud SIEMを調和的に活用できます。
Cloud SOARがインフラの重要な構成要素となるまでのスピードを体感してください — Sumo Logic Cloud SOARのデモをリクエスト
