セキュリティ運用の現場でSOARが注目される理由
昨今、新たなセキュリティソリューションとして、注目を集めている「SOAR(ソワー)」(Security Orchestration, Automation and Response)。さまざまな脅威情報を集約し、インシデント管理やインシデント対応の自動化を支援するSOARとは、どのようなソリューションでしょうか。
SOARはセキュリティ人材不足&スキル不足に悩む企業の打開策となるのか
高度化・巧妙化を続けるサイバー攻撃の防御を図るべく適切に対処するためには、セキュリティソリューションの導入だけでなく、セキュリティ対応のスキルを持った人材の確保も重要なポイントとなる。しかしながら、日本ではセキュリティ人材が不足していると言われ続けており、そのようなスキルを持つ人材を採用するのは容易ではない。
実際、セキュリティベンダーであるパロアルトネットワークスが公表した「セキュリティオペレーションジャパンサーベイ 2020」によれば、セキュリティオペレーションにおける課題についての質問で上位を占めたのは「スキルが不足している」(43.3%)、「一部の人材のスキルに依存している」(43.0%)、「人材が不足している」(42.4%)」と、いずれもセキュリティ人材やスキルに関するものとなった。
図:セキュリティオペレーションにおける課題(n=472)
こうした人材不足はセキュリティ対応のあらゆる場面で課題となり得るが、特に大きな影響が生じるのはサイバー攻撃の防御のための分析や対応を担う「インシデントレスポンス」の現場だ。
インシデントレスポンスとは、インシデントの検知や対応を行う作業を指す。セキュリティ研究・教育機関であるSANS Instituteでは、インシデントレスポンスを次の6つのステップから構成されるとしている。
(1)準備:セキュリティポリシーやインシデントが発生したときのプランの策定
(2)識別:サイバー攻撃が疑われるインシデントの検出やインシデントか否かの判断
(3)封じ込め:インシデントであれば被害の拡大を抑止
(4)根絶:インシデントの原因を特定して対策を実施
(5)回復:影響を受けたシステムを通常稼働に戻す
(6)教訓:インシデントのレポートの作成などを行う
これらのインシデントレスポンスの作業には、人手に頼らざるを得ないものが少なくない。そのため人材が不足していれば、適切に対策を講じることができず、トラブルをコントロールすることが難しくなってしまう。このような背景から注目を集めているセキュリティソリューションが「SOAR」(Security Orchestration, Automation and Response)である。
インシデントレスポンスの効率化・自動化を支援するSOAR
SOARはインシデント管理やインシデント対応の自動化を支援するためのセキュリティソリューションであり、セキュリティ人材不足の解決策として期待されている。
具体的な機能として、まず挙げられるのはセキュリティ製品やサーバー、ネットワーク機器などからのログやアラートの集約である。また製品によっては、脅威インテリジェンスを取り込めるものもある。これにより、インシデントの分析や判断の迅速化が支援することがSOARの大きな役割の1つだ。また定義した標準プロセスに沿って、インシデント対応の一部を自動化するための機能も備えている。
発生したインシデント情報や作業内容の記録、各担当者のパフォーマンスを記録、可視化できることもSOARを利用する大きなメリットである。これによってインシデントレスポンスの全体像を把握でき、ボトルネックとなっている作業の特定や今後の改善の検討に役立てられる。
このSOARを活用して、オペレーションのオートメーション化を図り、効率的なセキュリティ運用を実現できれば、貴重なセキュリティ人材のリソースを有効活用することが可能となり、人材不足の課題解決につながる。
たとえばログやアラートのチェックなど、単純な作業はSOARを活用して自動化し、それによって余ったリソースをボトルネックになっている作業に割り当てれば、インシデントレスポンスを効率化できるだろう。
ちなみに、SOAR同様にさまざまなソースから収集したデータをインシデント検知や分析に活用するソリューションとしては「SIEM」(Security Information and Event Management)も存在する。ただしインシデントレスポンス全体の業務を支援することを主眼に置くSOARに対し、SIEMはインシデント検知および分析に特化したソリューションであり、両者の役割は大きく異なる。しかし、将来的には両者が統合されることも十分に考えられるだろう。
セキュリティ強化と負担軽減を両立するマネージドソリューション
とはいえSOARはまだまだ登場したばかりのソリューションであり、多くの企業にとって導入の敷居は高い。そこで検討したいのがインシデントレスポンスの負担軽減につながるマネージドセキュリティソリューションの活用だ。
このマネージドセキュリティソリューションはすでに多くのベンダーから提供されているが、その選定において意識したいのは対応する範囲だ。現在の企業におけるITインフラはクラウドにまで広がっており、その防御のためにCASB(Cloud Access Security Broker)といったセキュリティソリューションを導入している企業も多い。
こうしたクラウドを守るセキュリティソリューションに加え、インターネットゲートウェイで使われるプロキシーやファイアウォール、クライアントPC上で脅威をいち早く検知するEDR(Endpoint Detection and Response)などまでサポートしているかどうかが、マネージドセキュリティソリューションの選定におけるポイントとなる。
この要件を満たしたソリューションとして、NTT Comで提供しているのが「トータルマネージドセキュリティ」だ。クラウドとインターネットゲートウェイ、そしてエンドポイントの三層に渡ってセキュリティ運用管理を担うソリューションであり、CASBやEDR、さらにはAIでネットワーク上の「振る舞い」を分析して脅威を検知する「AIアノマリー検知」などを用いたセキュリティ対策の強化を支援する。
さらにIT部門が把握していないシャドーITを含めた資産管理やインシデント発生時の対応までサポートするため、企業のセキュリティ担当者やIT担当者の負担を大幅に軽減することが可能である。セキュリティ人材が不足していて、現状のセキュリティ対策やインシデント発生時の対応に不安があるのであれば、ぜひ検討してみたい。