企業における適切な情報セキュリティの運用は、決して容易ではありません。
セキュリティ担当者・担当部署の負担増大、さらには人材不足等の問題があるからです。
そこで、近年注目を集めているのが、情報セキュリティ運用を快適にしてくれる“SOAR”です。
今回は、このツールについて詳しく解説しましょう。
SOARの概要
情報セキュリティ運用をするにあたって発生するさまざまなインシデントの分析、対応を自動化・効率化するツールのことを“SOAR(ソアー)”といいます。
Security Orchestration, Automation and Responseの略で、具体的には企業のセキュリティ担当者・担当部署におけるインシデント対応への負担を減らし、セキュリティ運用をスムーズに行うための仕組みを指します。
日本ではあまり聞き慣れない言葉ですが、アメリカを中心とした海外諸国では、2017年頃から発展を続けているソリューションであり、導入する企業も増加しています。
SAOR導入のメリットについて
企業がSAORを導入することには、主に以下のメリットがあります。
インシデントに自動で対応できる
インシデント関連業務を1つのプラットフォームで行える
セキュリティ担当者・担当部署の状況を把握できる
それぞれ詳しく見ていきましょう。
①インシデントに自動で対応できる
先ほども少し触れましたが、企業がSOARを導入すれば、インシデントに自動で対応できるようになります。
具体的には、実際起こることが予想されるインシデントへの対応手順を組み込んでおき、実際発生したときにその内容が実行されるという仕組みですね。
このとき、自動で実行される手順を“プレイブック”といい、例えば企業における代表的なインシデントであるフィッシングメール詐欺におけるプレイブックは、以下のような内容となります。
①情報収集
メールから添付ファイル、URLを検出します。
②調査
サンドボックスツールで添付ファイルを解説したり、外部のインテリジェンスからURLの評判を確認したりします。
③状況報告
企業関係者に通知メールを送信します。
④対処
悪質な添付ファイルをシステムから消去したり、危険なURLをファイアウォールのリストに登録したり、感染してしまった端末をオフラインの状態にしたりします。
1つのインシデントに対して、これだけのことが自動で実行されるわけですから、セキュリティ担当者・担当部署の業務効率が一気に上がるのもうなずけますね。
②インシデント関連業務を1つのプラットフォームで行える
企業がSOARを導入すれば、自動でインシデントに対応できるようになりますが、他にもさまざま機能を利用することが可能です。
例えば、関係者とインシデントに関するデータを共有したり、証拠を管理したりといった機能ですね。
特に重大なインシデントが発生したとき、企業は早急に関係者に連絡しなければいけませんが、通常の方法で行う場合には誤送信のリスクがあり、単純に手間もかかります。
ただ、SOARはそれらを自動で行うことができるため、誤送信や連絡が遅れる心配はあります。
また、SOARのすごいところは、これだけ多岐に渡る機能を1つのプラットフォームで行えるというところです。
情報セキュリティ運用の体制は、あらゆる対策を導入することで当然強化されますが、導入するツールが増えていくと、当然担当者の負担も大きくなります。
したがって、人材が足りない、もしくはセキュリティ担当者・担当部署の実力に不安がある企業にとって、SOARは打ってつけのツールだというわけですね。
③セキュリティ担当者・担当部署の状況を把握できる
SOARには、セキュリティ担当者・担当部署の状況を確認できる機能も付いています。
具体的には、インシデントへの対応における企業のパフォーマンスを測定する機能ですね。
情報セキュリティ運用の質が下がってしまう原因には、さまざまなことが挙げられます。
例えば、“担当部署での連携が取れていない”、“対応するインシデントの優先順位が付けられていない”、“業務をこなすのが遅い担当者がいる”といった原因ですね。
ただ、これらの原因は、情報セキュリティ運用の現場の状況を理解しないことには、なかなか特定できません。
SOARには、各担当者の業務を記録し、パフォーマンスの状態を表示する機能があり、これを確認すれば、企業におけるセキュリティ運用の状況は一目瞭然です。
一般のITエンジニアでもSOARによる運用は可能
近年、企業では、能力の高い担当者にセキュリティ運用を任せっきりにしているケースが多々見られます。
これは、インシデントへの対応に高度な技術と知識が必要であることが理由です。
ただ、SOARを導入すれば、プレイブックに沿って対応が行われるため、一般のITエンジニアでも十分扱うことが可能になります。
まとめ
ここまで、企業の情報セキュリティ運用における便利なツールである“SOAR”について解説してきました。
企業はSOARを導入し、自動で対応できるインシデントに対するセキュリティ担当者の負担を軽減しましょう。
そうすれば、担当者はより高度な技術や知識を必要とする業務に専念できますし、それがセキュリティ担当者の育成にも繋がっていきます。
