Texture Side Right Yellow 02

SOARとは

SOARの利点

SOARは「Security Orchestration, Automation, and Response」(セキュリティ・プロセスの連携および自動化)の略です。この用語は、脅威と脆弱性の管理、セキュリティ・インシデント対応、セキュリティ運用の自動化の3つの機能を表す際に用いられます。SOARによって、広範な範囲のソースから脅威関連データを収集し、レベルの低い脅威への対応を自動化することができます。 

この用語はGartnerによる造語であり、その時にこの3つの機能も定義されました。脅威と脆弱性の管理(Orchestration:連携)は、サイバー脅威を修正するテクノロジーを対象とし、セキュリティ運用の自動化(Automation:自動化)は、業務内で自動化と連携を可能にするテクノロジーに関連します。企業が直面するサイバー脅威の多くは、対抗するために複数のテクノロジーが必要であり、複数のチーム・メンバーが手作業でタスクをこなして、情報を連絡しなければなりません。復旧に関する連携は、シームレスでなければなりません。連携は、攻撃に対する復旧作業の際に効率的であることを目標とします。一方、自動化は、機械学習を利用してこれらの対処にかかる時間を短縮することを目標とします。これによって連携プロセス自体の効率も上がります。セキュリティ・インシデント対応(Response:対応)とは、脅威に対する対応を計画、管理、調整、監視する方法のことです。対応は、脅威や脆弱性に対応するプロセスを測定し、戦略を構築する際のデータを提供します。

SOARシステムによって、サイバー・インシデントに対応する機能の定義、優先順位付け、標準化が可能になります。つまり、組織はSOAR構成を用いて、問題を判定し、ソリューションを定義し、対応を自動化できるようになります。このシステムを、セキュリティの自動化を推進し、効率を改善する目的で導入する組織があります。人手による作業の必要性を低減することで、脅威と脆弱性への対応が迅速になり、担当者が時間を有効に使えるようになります。

このソフトウェアにより、セキュリティ・チームは、攻撃者のTTP(Tactics、Techniques、Procedures)に関する知見と既知の侵害インジケーター(IOC)から得られた脅威ルールによって、攻撃者に関する知見を得ることができます。このためには、脅威の検知を補完する、複数の脅威インテリジェンス・フィード(潜在的および最新の脅威に関する整理、解析された情報)を活用します。

予算の制約

SOARは、予算の制約も含め、サイバー・セキュリティに関わる企業内の数々の問題に対処するために導入されています。脅威が進化する速度に合わせて、攻撃と戦うための新しいテクノロジーも常に必要になり、テクノロジー自体とそれを管理する人員の両方に、大きなコストがかかります。レベルが高度になるにつれて、アプリケーションの数が増加し、その監視に伴う作業も増えます。SOARはこれらのプロセスを合理化し、作業時間を短縮し、コスト効率を高めます。

時間管理と生産性の向上

時間管理の改善による他の利点は、生産性の向上です。脅威への自動化応答を使用することによって、スタッフのメンバーは、自動化することができないタスクに対して時間をより優先することができます。企業は、業務の多くをSOARソフトウェア・ソリューションでカバーすることができ、それ以外の業務は以前はオーケストレーションなどに取り組んでいたスタッフのメンバーが行うことができるため、人材確保に費やす時間を減らすことができるかもしれません。

インシデントの効果的な管理

組織によっては、SOARテクノロジーにより、脅威と脆弱性への対応が迅速化されます。インシデント対応が的確になり、対応にかかる時間が短縮され、脅威リスクが最小限に抑えられます。プロセスが自動化されることにより、ヒューマン・エラーがなくなります。

柔軟性

このソフトウェアは、ニーズに合わせて柔軟に対応します。SOARはあらゆるセキュリティ・システムに適合するよう設計されており、環境に合わせてカスタマイズできます。社内の複数のチームがこのツールを簡単に活用でき、データのインプットと読み取りのためにアクセスできます。データは、マシン間、Eメール、手動入力で提供されます。データのトラッキング方法、およびトラッキングするデータの種類は、オペレーションごとに変えられます。

コラボレーションの推進

SOARセキュリティ・ソフトウェアではコラボレーションが可能です。脅威の復旧に至るまで複数のプロセスを伴う対応では、SOARによって合理化されるために、複数の個人やチームが関与できるようになります。前述のように、複数のチームが、企業で使用するSOARのデータにアクセスすることができます。

SOARは広範なセキュリティ・ネットワークに適合

SOARツールは、広範なネットワークにシームレスに統合されるよう設計されています。SOARツールは柔軟性があり調整が可能なため、あらゆる組織のセキュリティ・オペレーションに適合します。幅広い製品と機能をサポートする設計になっているため、システムを止めることなく、サイバー・セキュリティと効率を強化することができます。

SOARソフトウェアは、SIEM(Security Information and Event Management)と似ています。いずれもさまざまなソースからデータを収集しますが、SOARは特に、組織の内外を含む、多くのアプリケーションを統合します。システムの違いにより、完全にセキュアなソリューションを実現するために、SIEMとSOARを組み合わせることが推奨される場合もあります。現在、SOARプラットフォームは、既存のSIEMシステムを強化するために使用される例が見られますが、将来的には、SOARサービスがプラットフォーム上で利用可能になると期待されています。

Helixとその機能については、詳細をご覧ください