ホーム Topics Security orchestration, automation and response SOARとは
IBMのSOARソリューションの詳細はこちら セキュリティーの最新情報を購読する
クラウド、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト
SOARとは

SOAR(セキュリティー・オーケストレーション、自動化、レスポンス)は、セキュリティーチームが個別のセキュリティーツールを統合および調整し、反復的なタスクを自動化して、インシデントと脅威への対応ワークフローを合理化できるようにするソフトウェア ソリューションです。

大規模な組織におけるセキュリティーオペレーションセンター(SOC)は、サイバー脅威を追跡して対応するため多数のツールに依存しており、多くの場合は手動で行われています。

SOARプラットフォームは、SOCにこれらのツールを最適化された脅威対応ワークフローに統合し、それらのワークフローにおける低レベルの反復タスクを自動化できる中央コンソールを提供します。このコンソールを使用すると、SOCはこれらのツールによって生成されたすべてのセキュリティ ーアラートを1か所で管理することもできます。

SOARは、アラートのトリアージを合理化し、さまざまなセキュリティーツールが確実に連携するようにすることで、SOCの平均検出時間(MTTD)と平均応答時間(MTTR)を短縮し、全体的なセキュリティー体制を向上させるのに役立ちます。セキュリティーの脅威をより迅速に検出して対応することで、サイバー攻撃の影響を和らげることができます。IBMの最新のデータ侵害のコストに関するレポートによると、データ侵害のライフサイクルが短いほど、侵害コストが低くなります。200日未満で解決した侵害のコストは平均102万米ドル少なく、その差は23%でした。
データ侵害のコスト

最新のデータ侵害コスト レポートを使用して、データ侵害のリスクをより適切に管理するための洞察を入手します。
関連コンテンツ

X-Force 脅威インテリジェンス・インデックスへの登録
SOARの仕組み

SOARテクノロジーは、過去の3つのセキュリティーツールを統合して誕生しました。 2015年に「SOAR」という用語を初めて作ったGartnerによると、SOARプラットフォームはセキュリティーインシデント対応プラットフォーム、セキュリティオーケストレーションおよび自動化プラットフォーム、脅威インテリジェンスプラットフォームの機能を1つの製品に統合しています。

そのため、セキュリティー・オーケストレーション、セキュリティー自動化、インシデント対応というコア機能に分けることで現代のSOARソリューションの仕組みを理解することができます。

 セキュリティー・オーケストレーション

「セキュリティー・オーケストレーション」とは、SOARプラットフォームが企業のセキュリティーシステム内のハードウェアツールとソフトウェアツールをどのように接続して調整するかを指します。

SOCは、ファイアウォール、脅威インテリジェンス フィード、エンドポイント保護ツールなど、さまざまなソリューションを使用して脅威を監視し、対応します。単純なセキュリティープロセスであっても、複数のツールが関与する場合があります。たとえば、フィッシングメールを調査するセキュリティーアナリストは、脅威を特定、理解、解決するために、安全なメールゲートウェイ、脅威インテリジェンスプラットフォーム、およびウイルス対策ソフトウェアを必要とする場合があります。これらのツールは異なるベンダーから提供されていることが多く、簡単に統合できない可能性があるため、アナリストはツール間の移動を手動で行う必要があります。

SOARを使用すると、SOCはこれらのツールを一貫した反復可能なセキュリティ運用ー(SecOps) ワークフローに統合できます。 SOARは、アプリケーション・プログラミング・インターフェース(API)、事前構築済みプラグイン、およびカスタム統合を使用して、セキュリティーツール(および一部の非セキュリティーツール)を接続します。これらのツールが統合されると、SOCはプレイブックを使用してアクティビティを調整できます。

プレイブックは、セキュリティーアナリストが脅威の検出、調査、対応などの標準的なセキュリティープロセスの手順の概要を説明するために使用できるプロセスマップです。プレイブックは複数のツールやアプリにかかることができます。 完全自動化、完全手動化、または自動化と手動化の組み合わせが可能です。

 セキュリティーの自動化

SOARのセキュリティーソリューションは、サポートチケットのオープンおよびクローズ、イベント・エンリッチメント、アラートの優先順位付けなど、重要度が低いものの時間がかかる反復作業を自動化することができます。また、SOARは統合セキュリティツールの自動アクションをトリガーすることもできます。つまり、セキュリティーアナリストは、プレイブック・ワークフローを使用して複数のツールを連鎖させ、より複雑なセキュリティー運用の自動化を実行できるということです。

例として、SOARプラットフォームが侵害されたラップトップの調査をどう自動化できるか考えてみましょう。何かがおかしいという最初の兆候は、エンドポイント検出および対応(EDR)ソリューションから得られます。このソリューションは、ラップトップで疑わしいアクティビティを検出します。EDRは SOARにアラートを送信し、SOARは定義済みのプレイブックを実行します。まず、SOARはインシデントのチケットを開きます。SOARは、統合された脅威インテリジェンス フィードやその他のセキュリティ ツールからのデータを使用してアラートを強化します。次にSOARは、エンドポイントを隔離するためのネットワーク検出および対応(NDR)ツールをトリガーしたり、マルウェアを検出して駆除するようウイルス対策ソフトウェアに指示するなど、自動応答を実行します。最後に、SOARはチケットをセキュリティーアナリストに渡し、セキュリティーアナリストはインシデントが解決されたか、または人間の介入が必要かを判断します。

一部のSOARには、セキュリティーツールからのデータを分析し、将来の脅威に対処する方法を推奨する人工知能(AI)および機械学習が含まれています。

 インシデント対応

SOARのオーケストレーションと自動化機能により、セキュリティーインシデント対応(IR)の中央コンソールとして機能します。IBMのデータ侵害コストレポートによると、IRチームとIR計画テストの両方を実施している組織は、どちらも実施していない組織よりも54日早く侵害を特定していることがわかりました。

セキュリティーアナリストは、SOARを使用して、複数のツール間を移動することなくインシデントを調査して解決することができます。脅威インテリジェンス プラットフォーム同様、SOARは外部フィードと統合セキュリティーツールからの指標とアラートを中央ダッシュボードに集約します。アナリストはさまざまなソースからのデータを相関させ、誤検知を除外し、アラートに優先順位を付け、対処する特定の脅威を特定できます。その後、アナリストは適切なプレイブックをトリガーして対応できます。

SOCは、インシデント後の監査やより積極的なセキュリティープロセスのためにSOARツールを使用することもできます。SOARダッシュボードは、特定の脅威がネットワークを侵害した経緯や、将来的に起こる同様の脅威を防ぐ方法をセキュリティーチームが理解するのに役立ちます。同様に、セキュリティーチームはSOARデータを使用して、まだ認知されていない進行中の脅威を特定し、適切な場所に脅威ハンティングの取り組みを集中させることができます。
SOARのメリット

SOARプラットフォームは、セキュリティーツールを統合し、タスクを自動化することで、ケース管理、脆弱性管理、インシデント対応などの一般的なセキュリティ ワークフローを合理化できます。この合理化には次のようなメリットがあります。
より多くのアラートをより短時間で処理する

SOCは、毎日何百、何千ものセキュリティーアラートに対処しなければならない場合があります。これによりアラート疲労が生じ、アナリストが脅威アクティビティの重要な兆候を見逃してしまう可能性があります。SOARは、セキュリティ・データを一元化し、イベントを充実させ、対応を自動化することで、アラートをより管理しやすくすることができます。そうすることで、SOCは応答時間を短縮しながら、より多くのアラートを処理できます。
より一貫性のあるインシデント対応計画

SOCはSOARプレイブックを使用して、一般的な脅威に対する標準的かつスケーラブルなインシデント対応ワークフローを定義できます。セキュリティーアナリストは、脅威に対してケースごとに対処するのではなく、適切なプレイブックをトリガーして効果的な修復を行うことができます。
SOCの意思決定の強化

SOCはSOARダッシュボードを使用して、ネットワークと直面している脅威についての洞察を得ることができます。この情報は、SOCによる誤検知の発見、アラートの適切な優先順位付け、正しい対応プロセスの選択に役立ちます。
SOC協働の向上

SOARはセキュリティーデータとインシデント対応プロセスを一元化し、アナリストが協力して調査に取り組むことができます。SOARを使用すると、SOCは人事、法務、法執行機関などの外部関係者とセキュリティーメトリックを共有できるようになります。
SOAR、SIEM、XDR

SOAR、SIEM、およびXDRツールはいくつかのコア機能を共有していますが、それぞれに独自の機能と使用例があります。

セキュリティー情報およびイベント管理(SIEM)ソリューションは、内部セキュリティツールから情報を収集し、中央ログに集約して異常にフラグを立てます。SIEMは、主に大量のセキュリティーイベントデータを記録・管理するために使用されます。

当初、SIEMテクノロジーはコンプライアンス・レポート・ツールとして登場しました。SOCは、SIEMデータがサイバーセキュリティー運用に役立つ可能性があることに気付き、 SIEMを採用しました。SOARソリューションは、オーケストレーション、自動化、コンソール機能など、ほとんどの標準SIEMにはないセキュリティー重視の機能を追加するために生まれました。

拡張検知および対応(XDR)ソリューションは、エンドポイント、ネットワーク、クラウドからセキュリティーデータを収集して分析し、SOARと同様に、セキュリティーインシデントに自動的に対応できます。しかし、XDRはSOARよりも複雑で包括的なインシデント対応の自動化が可能です。また、XDRはセキュリティー統合を簡素化することができ、多くの場合、SOAR統合に比べて専門知識や費用が少なくて済みます。XDRには、事前に統合された単一ベンダーのソリューションもあれば、複数のベンダーのセキュリティーツールを接続できるものもあります。XDRは、リアルタイムの脅威検出、インシデントのトリアージ、自動脅威ハンティングによく使用されます。

大企業のSecOpsチームは、これらすべてのツールを一緒に使用することがよくあります。しかし、プロバイダーは両者の境界線を曖昧にしており、SIEMのようなデータロギングで脅威やXDRに対応できるSIEMソリューションを展開しています。一部のセキュリティ専門家は、SOARがかつてその前身となるツールを統合したように、XDRも将来的には他のツールを吸収する可能性があると考えています。
関連製品とサービス
SOARプラットフォーム

IBM Security QRadar SOARは、セキュリティー・チームがサイバー脅威に自信を持って対応でき、インテリジェンスを使って自動化し、一貫性を持ってコラボレーションできるように設計されています。

 QRadar SOARの詳細はこちら
IBM Security QRadar XDR

IBM Security QRadar XDRスイートは、ツール全体で単一の統合ワークフローを提供し、脅威をより迅速に検出して排除します。

 QRadar XDRの詳細はこちら
インシデント対応サービス

社内インシデント対応チーム、プロセス、コントロールの準備を進めることで、チームによるインシデント対応計画の改善と侵害の影響の最小化を支援します。

 X-Forceインシデント対応サービスの詳細はこちら
参考情報 2022年データ侵害のコストに関する調査

拡大する脅威の状況に関する最新の洞察を取得し、時間を節約し損失を制限する方法に関する推奨事項を提供します。

 SIEM(セキュリティー情報とイベント管理)とは

SIEMは、ビジネス運営に支障をきたす前に、組織が潜在的なセキュリティー上の脅威や脆弱性を認識するために役立ちます。

SIEMとSOARの統合

緊密に統合されたセキュリティーオペレーションおよび分析プラットフォームを構築することで、セキュリティー活動を加速し、スタッフが優先度の高い問題に集中できるようになります。
次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。 弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

 サイバーセキュリティー・サービスはこちら