セキュリティ
SOARとは? 企業がセキュリティに導入するメリットや注意点など
情報セキュリティ対策は予防だけでなく、サイバー攻撃の検知やインシデントの対応も含まれます。これらの対応には専門的な知識が必要なだけでなく、多くの手間と人員が必要です。複雑化するIT環境のなかで、セキュリティ運用を効率化するためのソリューションとして「SOAR」が注目されています。
この記事では「SOARがよくわからない」という方に向けて、概要から求められる背景、仕組み、導入するメリット、導入する際の注意点まで解説します。
SOARとは
SOAR(Security Orchestration, Automation and Response)とは、セキュリティ運用の効率化・自動化を実現するための技術やソリューションを表します。具体的には、インシデント発生時の情報収集、インシデントの管理、インシデント対応の自動化、関係各所への通知などが含まれます。
セキュリティ運用の効率化のためのソリューションとしては、SIEM(Security Information and Event Management)も挙げられますが、SOARはSIEMを進化させたものと考えて良いでしょう。SIEMはシステムを構成する要素(サーバー、ネットワーク、セキュリティ製品など)から、ログやイベントに関するデータを収集して一元的に管理するソリューションです。収集したデータをリアルタイムに分析し、脅威を発見して通知します。
一方、SOARも同様にシステムを構成する要素からデータを収集しますが、SIEMと異なる点は外部からも脅威情報を集めることができる点です。また、SIEMは通知するだけにとどまりますが、SOARであればインシデントの自動対応まで実現できます。
SOARが求められる背景
SOARが必要とされる大きな要因は、セキュリティ人材の不足です。2022年にISC2(安全で安心なサイバー世界の実現に向けて活動する国際的な非営利会員団体)から報告されたレポートでは、世界中に470万人のセキュリティ人材がいるものの、さらに340万人が不足しているとされています。また、日本でも約39万人のセキュリティ人材がいますが、5万6,000人が不足している状況です。セキュリティ人材は年々増加傾向にありますが、需要はそれを上回る勢いで拡大しています。
今後もさらにセキュリティ人材の不足は拡大すると予想され、問題を解決するためにはセキュリティ運用の効率化・自動化が欠かせません。そのため、セキュリティ運用の効率化・自動化が実現できるSOARに注目が集まっているのです。
SOARの仕組み
SOARの仕組みは「オーケストレーション(連携)」「オートメーション(自動化)」「レスポンス(対応)」の3つの要素に分けられます。
セキュリティ運用ではシステムを構成する要素からデータを収集し、異常がないか常に監視する必要があります。このとき、各要素から収集したデータの相関関係から異常を検知することもありますが、個別にデータを収集していては非常に手間がかかり、相関関係を調査することにも多くの手間と時間が必要です。
そこでSOARでは、各要素からデータを収集、一元的に管理することでシステム全体のオーケストレーションを実現します。さらに、情報収集・分析を自動化することでオートメーションを実現します。また、SOARでは事前に対応を「プレイブック」として定義しておくことで、インシデントの対応といったレスポンスも実現することが可能です。
この3つの要素により、SOARはセキュリティ運用の効率化・自動化を実現しています。
SOARを導入するメリット
SOARを導入するメリットとしては、次の3点が挙げられます。
インシデント対応の迅速化
情報の収集から対応までを自動化することができ、インシデント発生後の対応を迅速化できます。従来、システムを構成する多くの要素からデータを集めて分析するまでには時間を要していましたが、SOARであればリアルタイムでデータの収集・分析が実現でき、時間の短縮が可能です。さらに、対応の自動化も実現できるため、インシデント対応全体の迅速化が期待できます。
インシデント情報の記録・共有
インシデント情報の記録・管理も自動的にでき、一つのプラットフォームで完結できるため、関係各所への情報共有も容易になります。従来、メールや電話などで情報共有を行っていましたが、「メールを見ていない」「電話が繋がらない」などの理由から情報共有がスムーズにできないことも珍しくありませんでした。
しかし、SOARであれば一つのプラットフォーム上に情報がまとめられているため、後からでも情報を見直すことが可能です。
セキュリティ人材不足への対策
インシデントの対応には多くの人員が必要になりますが、SOARによって対応の自動化まで実現できれば大幅な人員削減が実現できます。前述のとおり、日本だけでなく世界規模でセキュリティ人材は不足しており、今後も不足量は多くなると予想されます。
SOARの導入により、セキュリティ運用を効率化・自動化することでセキュリティ人材不足への対策が可能です。
SOAR導入における注意点
SOARには多くのメリットが存在しますが、導入する際には次の点に注意しなければなりません。
- 初期費用が高い
- すべてのサイバー攻撃を止められるわけではない
SOARは初期費用が高く、セキュリティ分野への投資を優先できる企業でなければ導入は難しいでしょう。導入の際には、SOARの費用対効果を事前に確認し、導入の必要性を十分に検討する必要があります。
また、「SOARさえ導入すればすべてのサイバー攻撃に対応できる」と考える方もいるかもしれません。しかし、サイバー攻撃は年々巧妙化・多様化が進んでおり、完全に防ぎ切ることは不可能です。SOARによる自動化も事前にプレイブックを作成しなければならず、導入するだけですべてのセキュリティリスクが解決する魔法のツールではない、ということは覚えておきましょう。
SOARはセキュリティ運用の効率化・自動化を実現するための技術・ソリューションです。世界的にセキュリティ人材が不足するなか、巧妙化・多様化を続けるサイバー攻撃に対して、効果的な対策を実施するために用いられます。
SOARは多くのメリットをもたらしますが、同時に注意すべき点も存在します。SOARを導入する際には、注意点も理解した上で検討を進めるようにしましょう。
SOARは技術的対策として有効ですが、セキュリティ対策では人的対策も欠かせません。日立ソリューションズ・クリエイトでは、個人・組織の両面からインシデント対応能力向上を支援する「サイバーセキュリティトレーニング」を提供しています。
世界的にセキュリティ人材が不足していることからも、SOARの導入と併せて検討してみてはいかがでしょうか。