
好きな所から読む
SOARの概要
SOAR(Security Orchestration, Automation and Response)は、サイバー攻撃やアプリケーション内の脆弱性の発見を避けるためのセキュリティーソリューションです。アメリカのガードナー社が提唱した考えで、ここ数年で日本国内でも注目度が高まってきました。
SOARが注目される理由は、セキュリティ運用の自動化・効率化を実現する手段であることです。現在日本では、セキュリティ部門の人材不足に悩んでいます。総務省の発表では約20万人のセキュリティ分野での人材が不足すると言われ、中小企業の約半数でセキュリティ分野専任の担当者が不在の状況です。また、従来のセキュリティ対策では、インシデントの対応はセキュリティ部門の管理者が行っており、管理者のスキルと経験が浅かった場合は、対応に多大な業務負担がかかっていました。
セキュリティ部門の人材不足と効率的なセキュリティ運用を実現するための手段として、現在SOARが注目されています。
SOARの機能
SOARの機能は、システム上脅威となる要因の情報収集と優先順位の振り分け、インシデント対処の自動化、インシデントの管理、脅威インテリジェンスを活用して外部からの脅威を検知する、合計4つになります。順番にみていきましょう。
情報収集と優先順位の振り分け
企業が導入している複数のセキュリティ製品で集めた情報を分析し、サイバー攻撃やアプリケーション上の脆弱性の発見につながる異変や異常など、システム上の脅威となる状態を未然に防ぎます。SOARの特徴は情報を分析するだけでなく、どのような脅威に対して優先的に対応するべきか優先順位を示してくれる点です。適切な順番で対処することによって、セキュリティ上のリスクを最小限に抑えられます。
同様のツールとしてSIEM(Security Information and Event Management)が挙げられます。ただし、SIEMは各デバイス機器の情報の一元管理やインシデントの自動化はできるものの、SOARの持つ脅威に対しての優先順位付けやどのような対応をするべきかまでは、教えてくれません。
インシデント対処の自動化
SOAR最大の特徴であるプレイブックと呼ばれる機能で、画面上に自動化された手順書が表示されます。メリットは管理者の負担が大幅に軽減される点です。プレイブックに示されている手順に従い、指示されたことを行うだけで、他の処理はSOARが自動で処理します。インシデントの種類は既知のタイプがほとんどで、既知のインシデントに対してはプレイブックに従えば対応できるため、作業に慣れていない管理者や経験の浅いエンジニアでも、インシデントに十分対応可能です。
インシデントの管理
SOARではインシデントの情報共有や証拠保管などを、一つのプラットフォームで完結できます。以前の処理を全て記録としても残すため、インシデントの対処に疑問点が生じた場合も振り返って確認することが可能です。一人の管理者に頼ることなく、複数の社員で管理することができます。
脅威インテリジェンスを活用して外部からの脅威を検知
脅威インテリジェンスは、企業の情報資産を狙うハッカーや犯罪者のサイバー攻撃の意図や傾向、能力といった情報を分析し、把握する機能です。また、未知の脆弱性を狙った攻撃に対しての情報も把握するため、サイバー攻撃を未然に防ぐだけでなく、万が一攻撃に遭った場合でも、被害や情報漏洩を最小限に食い止められます。
SOARに脅威インテリジェンスを活用することで、自動で検知を行ってくれるため、セキュリティレベルが上がるだけでなく、管理者の業務負担は大幅に軽減されます。例えば、世界中の65,000件以上の企業にセキュリティプラットフォームを提供しているパロアルトネットワークス社では、脅威インテリジェンスを中核に据えたSOARプラットフォーム「Cortex XSOAR」を、2020年より日本でも販売しています。
SOARの仕組みについて
SOARの仕組みは、複数の機能が組み合わさりセキュリティ運用の自動化を実現しています。表にまとめました。
機能内容 | ユーザーへの提示内容 | メリット | |
情報収集 |
|
|
|
自動化 |
|
|
|
レスポンス |
|
|
|
コラボレーション |
|
|
SOARを導入するメリット
SOARを導入することで、社員のセキュリティ分野での業務負担軽減、インシデントの情報共有化が容易になることが主なメリットです。
社員の負担軽減
SOARはインシデントに対しての情報収集や自動処理を行ってくれるため、セキュリティ部門を管理する社員の負担が大幅に減少します。優先順位の順位付けと行うべき作業の手順化、作業の簡素化といった点が理由です。
「どのインシデントに対して、どのような作業を優先的に行うべきか」を示すことによって、作業者は効率的に対応ができます。また、プレイブックが優先すべき事項や処理手順を示してくれるので、作業者が対応に迷いません。タイムロスによるインシデントの被害拡大を防ぐことが可能です。
リスク管理に関する情報を社員で共有しやすくなること
インシデント情報の共有化、作業の記録を一つのプラットフォームで完結できるため、社員同士の業務プロセスの共有が容易になります。従来のセキュリティソリューションの場合、重要度や危険度が高いインシデントが発生した場合は、メールや電話で毎回関係者に連絡をしていました。ですが、誤送信のリスクや毎回連絡をする手間の発生、電話に気付かないなどのデメリットがありました。
SOARでは情報共有作業を組み込めば、必要なデータは自動連携で更新された状態で関係者が閲覧できます。また、全ての対応記録が自動で残っているので、後から見返すことも可能です。
SOARを導入するかどうかの決め手
社内にセキュリティ分野への豊富な知識やスキルのある社員の有無、SOAR導入後の業務改善効果、コストパフォーマンスといった部分が、SOAR導入の決め手になります。
インシデントに対処する社員が足りないかどうか
情報セキュリティ分野の知識やスキルを豊富に持っている人材の有無がポイントです。もし、様々なインシデントに対処できるスキルを持った社員がいれば、SOARを導入するメリットは薄れます。ですが、世界レベルの情報セキュリティソリューションを提供するNRIセキュアテクノロジーズ社が実施した調査では、2018年時点で85%以上の日本企業がセキュリティ分野での人材が「不足している」と回答しています。
つまり、大半の企業でインシデントの大小に関わらず、何かアクシデントが起きた際に対応できる社員がいないということです。近年、サイバー攻撃の種類は多様化しており、従来ターゲットから外れてきた中小企業を狙った攻撃も増えてきています。いわゆるサプライチェーン攻撃と呼ばれるサイバー攻撃で、ターゲット対象となる大企業を直接狙うわけではなく、ターゲット企業と取引や関係のある中小企業を突破口に、大企業の機密情報や顧客情報の盗取を狙う攻撃です。
中小企業を狙った攻撃が増えている理由は、余裕のある大企業はセキュリティ分野で資金や人材を投入して、年々対策を強化しているためです。攻撃者やハッカーにとしては大企業を正面から攻撃しても、情報盗取や金銭的盗取といった目的を果たすには難易度が高いと判断しています。そのため、大企業よりもセキュリティ分野での意識や対策が甘い中小企業を狙った方が、効率的に目的に近づけると考えています。
実際、2016年~2017年には大手チケット販売会社「ぴあ」が、プロバスケットボールリーグ・Bリーグに登録した会員の情報流出が起きました。攻撃対象となったのはぴあではなく、ぴあからサイト運営の委託を任されていた企業が不正アクセスを受けた結果、個人情報が流出しています。被害の実態は約15万件の個人情報が流出し、約3万件以上のクレジットカード情報が盗まれた可能性があると発表しています。流出したクレジットカード情報のうち一部は悪用されており、約630万円が不正に使用されていました。
サプライチェーン攻撃にあった場合、企業は莫大な経済的損失ではなく、取引先の企業からの信用も失うといった大変厳しい状況に追い込まれます。年々被害数も増しているため、セキュリティ分野での対策が不十分な企業は早急な対応が必要な状況です。
業務がどのくらい改善されるか
SOARの機能はインシデントの優先順位の振り分け、インシデントの自動処理、外部からの脅威検知の3つです。現在導入しているセキュリティソリューションで大きな弊害が無い場合は、今すぐSOARを導入するべき状況ではありません。
例えば、類似のセキュリティツールとしてSIEM(Security Information and Event Management)を既に導入している場合、SOARを導入するメリットはさほど多くありません。SIEMとSOARの違いは、企業が使用しているセキュリティ製品から挙げられる情報の優先順位や対処方法が表示されない点だけだからです。
また、社内にセキュリティ分野でのスキルやキャリアが一定水準以上備えた社員が複数いる場合は、SIEMで特に問題ないでしょう。SOARの導入を考える際、自社のセキュリティ対策の状況と管理者の業務負担がどの程度軽減できそうかといった点を把握することは、選定の際の大きなポイントになります。
導入するのに必要なコストを捻出できるか
SOARの導入費は数百万円程度、確実に必要になります。新しいシステムを導入する際は確実に費用がかかりますが、セキュリティ分野への投資をどこまで決断できるかがポイントです。SOARは業務負担の軽減やセキュリティレベルの確保といったメリットがありますが、直接売上を生むわけではありません。
売上や経営状態が好調な時期には、SOARの導入に前向きになる可能性が高まりますが、売上が現状維持または厳しい状況が続いている時期の場合、導入は難しいです。売上が伸びない場合は、売上を伸ばすための政策や経営戦略の決定が必要になります。直接売上に結びつかないセキュリティ分野の優先順位は、後回しにされがちです。特に資金的に余裕がない企業が多い中小企業への導入は、時間がかかることが予想されます。
性能が高いかどうか
以下の状態や機能が備わっていると、導入後も効率的に運用できます。
- 業界ごとに必要なレスポンス機能を備えているか
- 導入後すぐ使える状態か
- プレイブックの見やすさ・コスト
- セキュリティ製品の削減・追加などカスタマイズの柔軟性
社員がすぐに使いこなせるかどうか
特にセキュリティ分野の担当者が経験や知識が浅い場合、製品の性能だけでなく、導入サポートにも目を向ける必要があります。導入意義や機能面について正しく把握しなければ、SOARが持つメリットや機能の効果を十分受けられません。
例えば、NRIセキュアテクノロジーズ社では導入に際して以下のポイントで支援を行っています。
- SOARの選定コンサルティング
- SOAR導入後の自動化する領域定義や運用業務の設計
- 導入済みのセキュリティ製品との接続
- プレイブックの作成
- 担当者へのSOARの教育支援
- SOAR導入後のカスタマイズ対応
SOARを導入しても人の目でインシデントをチェックするのが大事
SOARは自社の情報資産を脅かす脅威の存在を検知し、サイバー攻撃による被害を未然に食い止めるためのツールです。SOARを導入すれば全てが解決するわけではありません。
自社のシステム内に潜む脆弱性や脅威を見つけ、改善に努めることが求められます。自社のセキュリティ分野において、何が起きているかを適切に把握することが情報資産を守る上で重要です。
まとめ
SOAR導入のメリット・デメリットと決め手に関してまとめました。
メリット | デメリット | 決め手 | |
特徴 |
|
|
|