Security Orchestration, Automation and Response (SOAR) の構築・運用のポイント3選

記事をシェアする:

多くの企業や組織がサイバー脅威への対応としてセキュリティー監視や有事対応の体制を整備しています。昨今は特に脅威が顕在化した際に、如何に業務を継続しながら対応するか（Resiliency）を考えることの重要性が高まっています。このような背景から、検知・防御だけの対策ではなく、セキュリティーインシデントに迅速に対応するための組織づくりや訓練に取り組む企業も増えています。そのような中で、より効率的で属人化しない運用の実現を目指し、 Security Orchestration, Automation and Response（SOAR）とよばれる領域のソリューション群に注目が集まっています。

本稿では、多くの脅威検知に取組まれている企業や組織において、SOARソリューションを構築・運用する際のポイントを紹介します。

SOARとは

SOARとは、Security Orchestration, Automation and Responseの略称で、セキュリティー対策におけるインシデント発生時のシステム統合、自動化、対応を支援するツールの総称です。

各種検知ツールのアラート等をトリガーに、インシデントの発生から終息までを一元管理することで、メンバー間での状況可視化や対応の記録、各種ツールとの連携を管理する中央コンソールとしての役割を果たします。

また、プレイブックと呼ばれる、まさにインシデント対応者にとっての「台本」となるワークフローを事前に登録することで、インシデントに応じて必要となる行動を状況に応じて表示することで、対応プロセスの標準化の実現を支援します。

Figure 1 SOARの概念図および機能例

それでは、ここからは上記のようなSOARの検討・導入・カスタマイズにおけるポイントをご紹介します。

ポイント1: SOARの利用目的やユースケースを明確に

SOAR導入検討のきっかけとなるのは、現状の業務負荷の増大と対応スキルレベルの属人化に起因する場合が多いと考えられます。

具体的な検討の際には、より具体的に、なぜ利用するのか、どの場面で利用するのか、また利用することで解決したい課題はどういったものなのかを明確にすることが望まれます。なぜなら、SOARはあらゆる利用シーンのあらゆる課題を解決に導く柔軟性を持つという特性がある反面、これらが明確になっていないと闇雲に実装に着手することになってしまい、運用開始までに時間がかかってしまうことがあるためです。

例えば、SIEMが発行したアラートを自動的に取り込み、チケットとして管理したい。その上で、アラートのタイプに応じた対応プロセスに沿って自動的に情報収集したり設定変更したりし、マニュアルで行うタスクは画面に表示させたい、といったものです。もちろん、検討の際には具体的なSIEMのアラートの内容や既存プロセスの細部まで確認し、何が課題なのかを整理していきます。

次に、利用目的に応じた対応プロセスの再整備が必要です。すでに対応プロセスがある程度決まっており、その上で負荷の面やスキルの面で課題があるケースでは、各種手順の中でSOARを導入することで、どこがどのように改善されることを期待するのかを予め整理し、実現可能性について検討することも大変重要になります。ただ既存のプロセスをツールに入れ込むだけでは勿体無いということです。

例えば、現状はエクセルに入力してアラートを記録し、ログの検索や設定変更等の対応を手動で実施していたものが、SOARでは自動的にインシデントとしてアラートが登録され、情報の取り込みや外部ツールの設定変更までが自動化できるようになるため、該当箇所の業務は必要がなくなることが想定できる、というものです。

これらはPoC（Proof of Concept: 実証試験）やプロジェクトの初期段階で検討することを推奨します。

ポイント2: 実装時はルック・アンド・フィールを大切に

続いて、実際に実装作業を進める際のポイントのご紹介になります。

ポイント2は、「ルック・アンド・フィール (Look and Feel) を重要視すること」です。

文字通り「見て、感じる」ということになりますが、アジャイル開発のように少しずつ機能を実装しては使い勝手を確認する、ということの繰り返しが重要です。

自社で実装する場合も、ベンダーに実装を依頼する場合も、実装作業を行った人物”のみ”がSOARを定常利用するというケースはほとんどありません。SOARは日々複数部署のメンバーが使用するプラットフォームですので、それぞれのメンバー、最低でも主要な利用者の使い勝手を重視した設計・実装にすることが非常に重要です。

例えば、画面のレイアウトを好みに合わせてカスタマイズしたり、画面に表示される文章や項目名もわかりやすいものに設定したりすることを、逐次メンバーに確認しながら行うことで、作業の手戻りや些細な使い勝手の悪さを回避することに繋がります。一例ですが、下記画像の画面上部のタブ名や、中央に並ぶタスク名、グラフの種類等も全てカスタマイズの対象になりますので、一旦設定し、見て感じ、さらに変更を加えるというサイクルが有効です。

Figure 2 カスタマイズ項目例：インシデント対応画面

Figure 3 カスタマイズ項目例：統計グラフ

ポイント3: 将来の拡張性に対する検討は早めに

SOARは単なる従来のチケット管理システムではありません。特に他のセキュリティーツールやデータベース、外部脅威インテリジェンスとのAPI連携による自動的な情報収集や設定変更はまさにオーケストレーションを体現する重要な機能となります。

拡張性に優れたSOARシステムはあらゆる外部システムとの連携により、さらに対応の効率化を支援します。初期の実装段階で全て実現できなかったとしても、次なるステップで徐々に連携対象のシステムを拡張し、ブラッシュアップしていくことが可能です。

企業は戦略的に次なる拡張の対象を特定し、実装に渡る計画を立てることが求められます。どのようなシステムに対し、どのような機能連携をすることが有効な施策となるのかを定期的にレビューし、自社で育てていくという感覚を持つことが、SOARのポテンシャルを最大限に活用することへの近道です。

この場合、障壁になるのが「いつ」「誰が」拡張するかを決められないということです。

導入に際し、インシデント対応チームに加え、SOARのいわゆるシステム運用ができる体制が整っているのか、整っていない場合はベンダーに依頼できるか、といったことは重要な検討項目となります。

例えば、些細なレイアウトの変更等の作業は自社メンバーで定常的に行えるようにトレーニングし、難易度の高い大規模な拡張や改修はベンダーに依頼する、といったハイブリッドな体制を組むこともコストパフォーマンスのよい手法の一つであると思われます。

一方で、IBMはApp Exchange¹ というマーケットプレイスに、IBM Security SOARで使用できる無償の拡張機能群を200近く提供しており、簡単に外部連携機能を拡張できます。主要なセキュリティーツール用の拡張機能をWebからダウンロードし、自社のSOARにインストールできます。

自社の求める拡張機能を実現するには、App Exchange¹で提供されているアプリケーションを用いれば良いのか、スクラッチで開発する必要があるのかを検証することは、拡張に向けてどのような体制を組む必要があるのかを決定する一つの要素になり得ます。

¹https://exchange.xforce.ibmcloud.com/hub

Figure 4 IBM X-Force App Exchange

まとめ

今回は、SOARソリューションの概要や、構築・運用におけるポイントをご紹介しました。

また、IBMでは、IBM Security SOAR² という中核ソリューションに加え、お客様の課題をピンポイントに解決するコンサルティングや構築サービスにより包括的にご支援します。

これらが少しでも皆さまの組織やシステムのセキュリティーの保護と変革を推進する一助になれば幸いです。

²https://www.ibm.com/jp-ja/products/soar-platform

【著者情報】

2016年に日本アイ・ビー・エム株式会社に入社。データー・セキュリティー担当のプリセールスに4年間従事。
2020年からSecurity Orchestration, Automation and Response (SOAR)のプラットフォームの設計・構築を中心としたサービス展開を担当。