SOARとは？セキュリティ運用を自動化するポイントを解説

SOARの概要

SOARは「Security Orchestration, Automation and Response」の略で、セキュリティ運用の自動化・効率化を実現する技術・ソリューションを指します。複数の脅威情報やアラートを集約して、分析・判断を行う「オーケストレーション（Orchestration）」、事前に定義した対応プロセス（いわゆるプレイブック）に沿って処理を自動で実行する「オートメーション（Automation）」、管理者・関係者への報告、通知を担う「レスポンス（Response）」の3つで構成され、セキュリティ運用の高度化を支援します。具体的には、さまざまなアプリケーションと連携して処理を自動化する機能のほか、インシデントケースの管理、レポートなどの機能が提供されます。

SOARが登場した背景

サイバー攻撃が複雑化・高度化する中、セキュリティは複数のレイヤで対策を行う多層防御が基本とされています。セキュリティ機器・ネットワーク機器・エンドポイント・認証など、さまざまなレイヤで監視・ログ収集を行い、検知された脅威・異常などのアラートを元に、適切に判断・対処することが求められます。こういった対処を専門に担うCSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）などの組織を立ち上げる企業も増えています。

一方、インシデント発生時には「大量のログを確認しなければならない」「対処することが多い」「休日・夜間を問わず迅速な対処が必要になる」など、CSIRTやSOCの負担は大きく、セキュリティの専門知識が求められることから人材不足も課題となっています。

これらの課題を解決するため、「あらかじめ手順が決まった対処を自動化する」という考えから登場したのがSOARです。SIEM（Security Information and Event Management）によるインシデント・脅威などの監視・検知を受けて、その次のステップとしてSOARで対応・復旧を実行するイメージです。

（1）インシデント対処までの時間短縮

SOARのメリットとして挙げられるのが、インシデント発生から対処までの時間短縮です。インシデントや不審な挙動が検出された際に取るべきアクションを自動化することで、手作業で対処する場合と比較し、対処完了までの時間を大幅に短縮できます。深夜や休日などであっても、通信遮断や端末隔離など、行うべき対処を自動実行できるので、セキュリティの被害を最小限に抑えることが可能です。

（2）人材不足を解消

セキュリティ運用を担うのがCSIRTやSOCといった組織ですが、セキュリティに関する知識を持つ人材は限られ、人材不足に陥っているケースが多く見られます。SOARにより担当者が手作業で行っていた処理・対処を自動化することで、負担を大きく軽減します。また、業務効率化にも貢献し、人材不足解消につながります。

（3）高度なセキュリティ人材の有効活用

CSIRTやSOCは、インシデント発生時の対処だけでなく、社内での調査・分析から、再発防止策の検討、管理体制の確立、セキュリティ戦略の立案まで幅広く担当します。SOARの導入により、「手順書に則って行う作業」から高度なセキュリティ人材が解放され、本来注力すべき業務に集中できるようになります。

SOARが自動化するのは、CSIRTやSOCで定めたインシデント対応手順など「何らかの手順に則って行っている」定型的な業務です。では、具体的にどう活用できるのか、代表的な活用事例を紹介します。

（1）不審なURLとの通信を遮断

不審なURLから社内へのアクセスを大量に検知、あるいは社内からの社外へのアクセスが検知された際、ファイアウォールの設定を自動で変更し、該当URLとの通信を遮断します。

（2）マルウェア感染が疑われる端末を隔離

社内ネットワークの他端末へアクセスする、サーバへのアクセスを試みるなど、マルウェア感染が疑われる挙動を検知した場合に該当する端末をネットワークから切断、隔離します。

（3）認証の権限を変更

業務システム・SaaSの利用において、明らかにリスクのある操作を行うユーザーが発見された場合、認証システムの権限を変更し、アクセスをブロックします。

（4）WAFでブロックされたサイトを評価

WAF（Web Application Firewall）がWebサイトへの攻撃を検知またはブロックした際、誤検知がないかどうかを確認する作業が発生します。これはレピュテーションサイトでブロック対象の評価をするもので、1日に100件単位で検知されるケースもあり、人の手で行うとリソースを消費します。SOARはこの評価までを自動化できます。

（5）調査に必要なログを収集

アラートが通知された際、対処が決まっているケースばかりではありません。状況把握と分析に必要なログが決まっている場合、該当のログを自動で収集しておく必要があります。対象となる機器や時間帯のログがまとめられていれば、すぐに分析をスタートでき、迅速な判断・対処につながります。

（1）まずは、セキュリティ監視体制の整備から段階的に導入を

SOARを導入するには、セキュリティ監視などの環境が整っている必要があります。まずは、企業として保護すべきシステムやデータなどを保護するセキュリティ製品を導入し、SIEMなどを用いて全体でのセキュリティ監視体制を整えるところからはじめましょう。監視ができれば、インシデント発見時の対処手順なども確立されていきます。その上で、これらの手順を自動化するSOARの導入へと段階的に進めることをおすすめします。

（2）「自動化できないこと」も要チェック

SOARはAPIで他システムと連携し、設定変更やデータの受け取り（収集）などを自動で行います。RPA（Robotic Process Automation）などの自動化ツールと共通する部分もあり、セキュリティに特化した自動化ツールと考えることもできるでしょう。

途中に人の判断を入れるフローも構築できますが、あくまでも「手動で対応していた作業を自動化する」ソリューションであり、例えば、「影響のある従業員に電話をかけて事情を説明する」などのフォローアップや、インシデント発生時の詳細な調査・分析、最終的な判断などは人が対応する必要があります。

SOARのメリットは単純作業の自動化により負担を軽減し、人がやらなければならないこと・判断しなければならないことに注力できることです。セキュリティ運用がすべて自動化できるわけではないため、セキュリティ体制全般において、自動化によってどこまで負担が軽減されるのか、逆にどの業務・作業は自動化できないのかをしっかり認識することが重要です。

本記事では、複雑化し続けるセキュリティの運用負担を、「自動化」というアプローチで解決するSOARについて紹介しました。SCSKでは、SOARソリューションとして「Splunk SOAR」および「Cortex XSOAR」を取り扱っているほか、CSIRT構築支援なども行っています。SOARを導入するための体制整備や運用設計、手順の定義から支援するサービスを提供し、SOAR導入をトータルにサポートします。

また、セキュリティ運用の負荷軽減、セキュリティ強化を目的とするならば、アウトソースも1つの方法です。まずは運用をアウトソースしながら、社内の体制整備を徐々に進める、といった進め方も有効でしょう。SCSKは、SOCサービスなどもラインナップし、企業それぞれの事情やニーズにあわせて様々な選択肢から最適なものを提案します。