SOARとは 2

前回のブログに引き続き、セキュリティ運用の自動化技術、SOAR(Security Orchestration and Automation Response)について見ていきます。

SOAR導入のメリット


対応を要するアラームの増加、セキュリティチームの人材不足などの理由で、今後SOARを導入する企業が増える見通しであることを前回のブログでご紹介しました。今回は、SOARを導入するとどのような利点があるのかご紹介したいと思います。

(1)既存のセキュリティツールと脅威情報源を統合
企業のセキュリティチームの大部分では、様々なベンダーのセキュリティツールがあると思いますが、これらのツールは常に連携しているわけではありません。ベンダーが別ベンダーのツールをサポートしていたとしても、別々で運用するのではなく、ツールを統合することでより効率的に情報を管理することができるようになります。

(2)セキュリティイベントへの迅速な対応
セキュリティチームは、何が起きているかを特定し、攻撃を停止させ、被害を軽減するために迅速に対応する必要があります。SOARの導入により全てのツールを統合することで情報を一元化し、一連のプロセスをスピードアップさせることができます。

(3)調査プロセスの簡素化
セキュリティアプリケーション情報が統合されたリポジトリは、セキュリティの調査を迅速化するだけでなく、簡単にします。多くの場合、SOARは低レベルのアラートを独自に調査し、最も重要な情報のみをエスカレートします。これによりセキュリティチームは、余計な作業を行うことなく、重要な作業に集中することができます。

(4)サイバー攻撃による被害を最小限に抑える
SOARはセキュリティチームの介入なしに、サイバー攻撃からの被害を最小限に抑えるために先制して行動を開始することができます。チームの関与が必要な場合には、SOARがサイバー攻撃に関する重要な情報を素早く収集し、チームがより迅速に対応できるよう支援します。

(5)偽陽性(false positive)対応の時間を縮小
偽陽性や誤ったアラートは、セキュリティチームの悩みの種と言えるでしょう。偽陽性などへの対応により、時間を浪費してしまう事も多々あるかと思います。さらには、さまざまなダッシュボードでアラート通知を見るのに慣れてしまい、緊急事態を見逃し対応が遅れてしまう、といったこともあるのではないでしょうか。SOARは、低レベルアラートの処理を自動化することによって、このような状況の改善に取り組みます。

(6)手動プロセスを削減
セキュリティチームの時間を浪費するのは偽陽性や誤ったアラートだけではありません。ファイアウォールルールの更新、新しいユーザーの追加、削除など、手間のかかる手作業を大部分が費やしています。SOARの導入により、この種の反復作業は自動化が可能とされています。

SOARの一般的な使用例


・フィッシング
過去数年間、多くの組織で問題になったサイバー攻撃として、フィッシング詐欺メールが挙げられます。近年、巧妙に作成されたフィッシング詐欺メールにより、データ漏洩へと繋がるケースが増えています。SOARは、電子メールからアーティファクトを抽出・強化し、フィッシング詐欺の疑いのある電子メールの自動トリアージと検査を可能にします。疑わしい電子メールが受信されると、SOARはヘッダー情報、電子メールアドレス、URL、さらには添付ファイルなどのアーティファクトを抽出します。次に起こることは、組織の個々の技術統合に大きく依存します。抽出された情報は、様々なレピュテーションシステムに提出されます。利用可能な情報が増えてくると、悪意があると判断された場合にはフィッシング詐欺メールの隔離や削除など、自動(または半自動)の封じ込めアクションが実行されます。SOARを使用してフィッシング詐欺メールを調べて対応することで、調査時間を短縮し、リスクを最小限に抑えることができます。

・脆弱性管理
SOARを使用して、セキュリティチームが組織内の新しい脆弱性を認識できるようにします。これにより脆弱なホストを事前に検査して、悪用の兆候がないことを確認し、追加の安全対策を行うなど、素早い対応が可能となります。その他にも、脆弱性データベースを照会し、脆弱性に関する追加情報を収集することができます。脆弱性やホスト情報の強化に役立ちます。SOARは、セキュリティチームに最新の脆弱性に関する情報を提供することで、リスクの効率的な評価を行うのに有用です。

サイバー攻撃の巧妙化、ツールが多様化するにつれて増えるアラート、セキュリティ専門知識を持つ人材の不足などの要因により、今後もセキュリティ運用の自動化に向けた動きが加速していくものと思われます。