SOAR(セキュリティー・オーケストレーション、自動化、レスポンス)は、セキュリティーチームが個別のセキュリティーツールを統合および調整し、反復的なタスクを自動化して、インシデントと脅威への対応ワークフローを合理化できるようにするソフトウェア ソリューションです。
大規模な組織におけるセキュリティー・オペレーション・センター(SOC) は、サイバー脅威の追跡・対応に多数のツールに依存しており、多くの場合は手動で行われています。このように手動で脅威の調査を進めることにより、脅威対応の総時間がさらにかかっています。
SOARプラットフォームは、SOCにこれらのツールを最適化された脅威対応ワークフローに統合し、それらのワークフローにおける低レベルの反復タスクを自動化できる中央コンソールを提供します。このコンソールを使用すると、SOCはこれらのツールによって生成されたすべてのセキュリティ ーアラートを1か所で管理することもできます。
SOARは、アラートのトリアージを合理化し、さまざまなセキュリティーツールが確実に連携するようにすることで、SOCの平均検知時間(MTTD)と平均応答時間(MTTR)を短縮し、全体的なセキュリティー体制を向上させるのに役立ちます。セキュリティーの脅威をより迅速に検知して対応することで、サイバー攻撃の影響を和らげることができます。 IBMの最新の「データ侵害のコストに関する調査」によると、データ侵害のライフサイクルが短いほど、侵害コストが低くなります。200日未満で解決した侵害のコストは平均102万米ドル少なく、その差は23%でした。
SOCの規模拡大を支援する影響力のある4つのステップ
SOARテクノロジーは、過去の3つのセキュリティーツールを統合して誕生しました。 2015年に「SOAR」という用語を初めて作ったGartnerによると、SOARプラットフォームはセキュリティーインシデント対応プラットフォーム、セキュリティオーケストレーションおよび自動化プラットフォーム、脅威インテリジェンスプラットフォームの機能を1つの製品に統合しています。
そのため、セキュリティー・オーケストレーション、セキュリティー自動化、 インシデント対応というコア機能に分けることで現代のSOARソリューションの仕組みを理解することができます。
「セキュリティー・オーケストレーション」とは、SOARプラットフォームが企業のセキュリティーシステム内のハードウェアツールとソフトウェアツールをどのように接続して調整するかを指します。
SOCでは、ファイアウォール、脅威インテリジェンス・フィード、エンドポイント保護ツールなど、さまざまなソリューションを使って脅威を監視し対応しています。単純なセキュリティー・プロセスであっても、複数のツールが関与する場合があります。たとえば、フィッシング・メールを調査するセキュリティー・アナリストは、脅威を特定し理解して解決するために、安全な電子メール・ゲートウェイや、脅威インテリジェンス・プラットフォーム、ウイルス対策ソフトウェアが必要となるでしょう。これらのツールは異なるベンダーから提供されていることが多く、容易に統合できない場合があるため、アナリストは作業中に手動でツール間を移動しなければなりません。
SOARを使えば、SOCはこれらのツールを一貫した反復可能なセキュリティー運用ー(SecOps) ワークフローに統合できます。では、アプリケーション・プログラミング・インターフェイス (API)、事前構築されたプラグインやカスタム統合を使って、セキュリティー・ツール (および一部の非セキュリティー・ツール) を接続します。これらのツールが統合されると、SOCはプレイブックを使って活動を調整できます。
プレイブックは、セキュリティーアナリストが脅威の検出、調査、対応などの標準的なセキュリティープロセスの手順の概要を説明するために使用できるプロセスマップです。プレイブックは複数のツールやアプリにかかることができます。 完全自動化、完全手動化、または自動化と手動化の組み合わせが可能です。
SOARのセキュリティーソリューションは、サポートチケットのオープンおよびクローズ、イベント・エンリッチメント、アラートの優先順位付けなど、重要度が低いものの時間がかかる反復作業を自動化することができます。また、SOARは統合セキュリティツールの自動アクションをトリガーすることもできます。つまり、セキュリティーアナリストは、プレイブック・ワークフローを使用して複数のツールを連鎖させ、より複雑なセキュリティー運用の自動化を実行できるということです。
例として、SOARプラットフォームが不正アクセスを受けたノートPCの調査をどのように自動化できるか考えてみましょう。何かがおかしいという最初の兆候は、エンドポイントの検知と対応 (EDR) ソリューションから得られます。このソリューションはノートPC上の疑わしいアクティビティーを検知します。EDRはSOARにアラートを送信し、SOARが事前定義済みのプレイブックを実行します。まず、SOARはインシデントのチケットを開きます。SOARは統合された脅威インテリジェンス・フィードやその他のセキュリティー・ツールからのデータを使用してアラートを強化します。次に、SOARは、ネットワーク検知と対応(NDR) ツールをトリガーしてエンドポイントを隔離したり、ウイルス対策ソフトウェアにマルウェアを検知して駆除するよう指示したりするなど、自動応答を実行します。最後に、SOARはチケットをセキュリティー・アナリストに渡し、セキュリティー・アナリストはインシデントが解決されたか、人的介入が必要かを判断します。
一部のSOARには、セキュリティーツールからのデータを分析し、将来の脅威に対処する方法を推奨する人工知能(AI)および機械学習が含まれています。
SOARのオーケストレーションと自動化機能により、セキュリティーインシデント対応(IR)の中央コンソールとして機能します。IBMのデータ侵害コストレポートによると、IRチームとIR計画テストの両方を実施している組織は、どちらも実施していない組織よりも54日早く侵害を特定していることがわかりました。
セキュリティーアナリストは、SOARを使用して、複数のツール間を移動することなくインシデントを調査して解決することができます。 脅威インテリジェンス プラットフォーム同様、SOARは外部フィードと統合セキュリティーツールからの指標とアラートを中央ダッシュボードに集約します。アナリストはさまざまなソースからのデータを相関させ、誤検知を除外し、アラートに優先順位を付け、対処する特定の脅威を特定できます。その後、アナリストは適切なプレイブックをトリガーして対応できます。
SOCは、インシデント後の監査やより積極的なセキュリティープロセスのためにSOARツールを使用することもできます。SOARダッシュボードは、特定の脅威がネットワークを侵害した経緯や、将来的に起こる同様の脅威を防ぐ方法をセキュリティーチームが理解するのに役立ちます。同様に、セキュリティーチームはSOARデータを使用して、まだ認知されていない進行中の脅威を特定し、適切な場所に脅威ハンティングの取り組みを集中させることができます。
SOARプラットフォームは、セキュリティーツールを統合し、タスクを自動化することで、ケース管理、脆弱性管理、インシデント対応などの一般的なセキュリティ ワークフローを合理化できます。この合理化には次のようなメリットがあります。
SOCは、毎日何百、何千ものセキュリティーアラートに対処しなければならない場合があります。これによりアラート疲労が生じ、アナリストが脅威アクティビティの重要な兆候を見逃してしまう可能性があります。SOARは、セキュリティ・データを一元化し、イベントを充実させ、対応を自動化することで、アラートをより管理しやすくすることができます。そうすることで、SOCは応答時間を短縮しながら、より多くのアラートを処理できます。
SOCはSOARプレイブックを使用して、一般的な脅威に対する標準的かつスケーラブルなインシデント対応ワークフローを定義できます。セキュリティーアナリストは、脅威に対してケースごとに対処するのではなく、適切なプレイブックをトリガーして効果的な修復を行うことができます。
SOCはSOARダッシュボードを使用して、ネットワークと直面している脅威についての洞察を得ることができます。この情報は、SOCによる誤検知の発見、アラートの適切な優先順位付け、正しい対応プロセスの選択に役立ちます。
SOARはセキュリティーデータとインシデント対応プロセスを一元化し、アナリストが協力して調査に取り組むことができます。SOARを使用すると、SOCは人事、法務、法執行機関などの外部関係者とセキュリティーメトリックを共有できるようになります。
SOAR、SIEM、およびXDRツールはいくつかのコア機能を共有していますが、それぞれに独自の機能と使用例があります。
セキュリティー情報とイベント管理(SIEM)は、社内のセキュリティー・ツールから情報を収集し、中央ログに集約し、異常のフラグを立てます。 SIEMは主に、大量のセキュリティー・イベント・データを記録および管理するために使用されます。
当初、SIEMテクノロジーはコンプライアンス・レポート・ツールとして登場しました。SOCは、SIEMデータがサイバーセキュリティー運用に役立つ可能性があることに気付き、 SIEMを採用しました。SOARソリューションは、オーケストレーション、自動化、コンソール機能など、ほとんどの標準SIEMにはないセキュリティー重視の機能を追加するために生まれました。
XDR(拡張された検知と対応) ソリューションでは、エンドポイント、ネットワーク、クラウドからセキュリティー・データを収集して分析します。SOARと同様に、セキュリティー・インシデントに自動的に対応できます。ただし、XDRではSOARよりも複雑で包括的なインシデント対応の自動化が可能です。また、XDRではセキュリティー統合を簡素化できるため、多くの場合、SOAR統合よりも専門知識や費用が少なくて済みます。XDRには、事前に統合された単一ベンダーのソリューションもあれば、複数のベンダーのセキュリティー・ツールを接続できるソリューションもあります。XDRは、リアルタイムの脅威検知、インシデントのトリアージ、および自動化された脅威ハンティングによく使用されます。
大企業のSecOpsチームは、これらすべてのツールを一緒に使用することがよくあります。しかし、プロバイダーは両者の境界線を曖昧にしており、SIEMのようなデータロギングで脅威やXDRに対応できるSIEMソリューションを展開しています。一部のセキュリティ専門家は、SOARがかつてその前身となるツールを統合したように、XDRも将来的には他のツールを吸収する可能性があると考えています。