SOARの導入に向けて
企業が注意すべきポイントとは

米国のIT関連調査会社ガートナー社が提唱した「SOAR」は、日本国内でも近年、注目度が高まっています。SOARは、多くの企業が抱えていた情報セキュリティインシデントに対する課題を解決するソリューションですが、具体的にどのようなメリットがあるのでしょうか。SOARの仕組みや導入時のポイントを詳しく解説します。

SOARとは？

SOAR（Security Orchestration, Automation and Response」は、セキュリティインシデント発生時に脅威判定や影響範囲の調査、一次対処やトリアージといった対応を自動化し、セキュリティ対策の運用にかかわる業務を効率化します。SOARが注目される背景には、「セキュリティインシデントに関するログの増加」と「人材不足」があります。従来のセキュリティ対策は、企業における情報システムやセキュリティ対策の担当者がシステムを監視し、不正アクセスやサイバー攻撃などのセキュリティインシデントが発生したときには状況を分析して必要な対策を講じるのが一般的でした。ところが、企業を狙ったサイバー攻撃が複雑化・高度化していく中でセキュリティインシデントのパターンが多様化し、導入するセキュリティ対策も増加。各種セキュリティ対策で取得するログも膨大になっており、対処できるセキュリティ人材の不足も顕在化してきました。つまり、情報システム部門の担当者が手動でシステムを管理し、セキュリティ対策を講じるような運用方法は限界に近づいているのです。さらに、多くの企業がDX（デジタル・トランスフォーメーション）の推進に取り組んでいる現在、クラウド移行が進むことで、セキュリティ対策も「ゼロトラストセキュリティ」を前提として考えなければいけません。ゼロトラストセキュリティの実現においても、セキュリティインシデントが発生した際に一次対処を自動化できるSOARは重要な役割を持っています。

SOARの仕組みとSIEMとの違い

ではSOARは、どのような仕組みで実現されるでしょうか。誤解されがちなSIEMとの違いも踏まえながら、説明します。

SOARの仕組み

オーケストレーション（連携）
SOARを実現する要素としては「オーケストレーション（連携）」「オートメーション（自動化）」「レスポンス（対応）」の3つが存在します。

オートメーション（自動化）
各種セキュリティ製品と連携しログの取得やAPIを実行することで、製品を横断して情報をSOARに集約し、分析などに活用することが可能です。

レスポンス（対応）
SOARにはプレイブックとよばれる機能が実装されており、インシデント発生時に担当者がとるべき対応の手順が自動化されています。セキュリティ運用についての知見が少ない担当者であっても、プレイブックを利用することで対処が自動化され、適切なセキュリティ対策が実行でき、業務負荷を軽減できるとともに作業ミスや対応漏れをなくすことで作業品質の均一化も図れます。

SOARでは過去に発生したインシデントとその対応内容を、履歴として保存しておく機能も実装されています。保存された過去の対応履歴を確認したり、複数の担当者で共有したりすることも可能です。

SIEMとの違い

SOARと混同されやすいものにSIEM（Security Information and Event Management）があります。SOARとは「セキュリティインシデントの対処・運用をオーケストレーションによって自動化する仕組みやプラットフォーム」のことを指すのに対し、SIEMは「セキュリティログを監視・相関分析し、セキュリティインシデントが発生または疑われる場合に、リアルタイムで脅威を可視化。検出した脅威のアラートを発信する仕組み」のことを指します。SOARは、SIEMと連携し、SIEMで収集した脅威情報から状況を判断し、一次対処を自動で実施します。 SOARとSIEMの特長を整理すると以下のようにまとめられます。

SOARの特長

オーケストレーションによってセキュリティインシデントの一次対処を自動化
担当者の作業工数を削減するとともに、作業品質を均一化
SOARはSIEMとともに導入されるケースが一般的

SIEMの特長

複数製品のログを相関分析し、リアルタイムで脅威を検出
セキュリティアラートを一元管理
セキュリティリスクを可視化

SOAR導入時のポイント

SOARを導入することで、情報システム部門は、さまざまなメリットを得られます。まずは、セキュリティインシデント発生時の一次対処が自動化されることにより、迅速な初期対応を実現できることです。あわせて、自動化により定型的な作業にかかる工数が減り、生産性が向上することもメリットです。セキュリティ運用においてデータ収集や一次対処は重要な仕事ですが、これらを自動化することにより、定型業務に割く人的コストを削減し、担当者はより専門的な作業に注力することができるようになります。さらに、緊急度や優先度が適切に判定されることで、無関係なアラートの確認に忙殺されることがなくなるのもメリットといえるでしょう。

SOARのメリット

迅速で適切な一次対処を実現
定型的な作業が減り、生産性が向上
適切なトリアージにより無関係なアラートの確認にかかる作業工数が減少

このようにメリットの多いSOARを導入・運用する際の注意すべきポイントについて説明します。

SOAR導入時に注意すべきポイント

現在運用しているセキュリティ製品やシステムのリストアップ
まずは、現在社内で運用しているセキュリティ製品やシステム、アプリケーションなどをリストアップします。すべてのシステムに対してSOARが対応できるとは限らないほか、SOARを提供しているベンダーによっても対応可否は異なります。
運用担当者への教育・研修
SOARを運用するうえでの基本的な操作方法について、担当者を教育しておく必要があります。また、SOARは既知の脅威に対して効果を発揮できますが、これまで検知されたことのない未知の脅威に対しては対応できません。そのため、SOARで対応できない脅威が発見された場合の対処方法についても検討しておく必要があるでしょう。
段階的な導入
製品やプラットフォームに応じて、SOARにはさまざまな機能が実装されています。はじめからすべての機能を網羅的に活用しようとするのではなく、導入段階では一部の機能または範囲に限定して運用するのが得策といえるでしょう。導入済みのセキュリティ製品やシステムによって、自社における運用の課題が見えてくることもあり、それらを一つずつ解決していくことで自社に適した運用方法が見いだせるはずです。

SOAR導入に向けては入念な検証が必要

SOARは複雑化しがちなセキュリティインシデントへの対策をオーケストレーションによって自動化できるため、DXやゼロトラストセキュリティの実現をめざす企業においては重要な存在となっていくことでしょう。情報セキュリティ担当者の負担軽減にもつながり、単純作業から創造性の高いクリエイティブな業務へ移行していくことも可能です。ただし、SOARを導入したからといって完全にセキュリティ運用が自動化できるとは限らず、SOARで対応できない事象が発生した際の体制も整えておくことも重要です。また、SOARの導入にあたっては、現在運用中の製品との連携可否や操作性なども検証しておく必要があります。日立ソリューションズが提供している「Splunk SOAR」では無料トライアル版も提供しているため、自社への導入に向けてぜひ活用してみてはいかがでしょうか。