サイバー攻撃を検出し、分析や対処を行う過程には、手間のかかる作業が数多く含まれます。脅威検知後の初期調査、攻撃への対処に関する証拠管理、関係者への状況報告等、手動作業のボリュームに悩まされているセキュリティ運用担当者がたくさんいらっしゃるのではないでしょうか。難易度・重要度の最も高いセキュリティインシデントの分析に十分な時間を配分できるよう、繰り返し出てくる簡易的な作業はなるべく早く済ませておきたいものです。
そこで、本記事ではセキュリティ業務を効率化するためのソリューションとして「SOAR」をご紹介いたします。
SOARとは?
SOAR (Security Orchestration, Automation and Response)とは、米国を中心に発展を続けているセキュリティソリューションです。セキュリティ運用の自動化及び効率化を実現する技術として、近年業界で注目を浴びています。
SOARは、組織内の各種セキュリティ機器及び外部サービスから収集された脅威情報を一つのプラットフォームに統合します。一般的には、以下の三要素で構成されています(図1)。
図1. SOARの3つの構成要素(NRIセキュアが作成)
SOARが求められる理由
それでは、なぜ現代のセキュリティ運用にはSOARのようなソリューションが必要なのでしょうか。
その理由は、一言で言うと「人材不足」です。
年々高度化する脅威や攻撃に対し、それらに対応できるような人材が多くの企業では不足しています。
特に日本企業は、海外企業と比べ圧倒的にセキュリティ人材の不足を訴えています。当社が実施した調査結果レポート「NRI Secure Insight 2018」では、次のような内容が報告されています(図2)。
図2. セキュリティ人材の充足状況(出所:「NRI Secure Insight 2018」)
更に、2018年5月25日より施行されたGDPR(EU一般データ保護規則) を機に多くの企業がセキュリティ運用業務の見直しを行っています。GDPRでは、個人データの侵害発生から72時間以内に監督機関へ通知することが義務付けられています。この規則に対応するには、早期段階で侵害を検知し、速やかに通知を行えるような環境を整備しておくことが必要です。人材不足で悩まされている日本企業にとって、これは特に大きな課題です。
【5分で解説】いよいよ施行開始、「GDPR」で日本企業が対応すべきポイント
【事例】GDPRで制裁金が課せられたケースと求められるセキュリティ対策
このように、セキュリティ運用部隊では各担当者の生産性が尚更求められています。この問題を解消できると期待されているのが、SOARなのです。
SOAR導入によるセキュリティ運用業務効率化
それでは、セキュリティ運用業務にSOARを導入することによってどのような改善点が期待できるのでしょうか。以下三点、ポイントをご紹介いたします。
■ ポイント① : インシデント対処を自動化できる
SOARは、組織内の各種セキュリティ機器及び外部の脅威情報提供サービスと連携することにより、インシデント対処の自動化を実現します。
まず、発生が想定されるインシデントへの対応手順を「プレイブック」と呼ばれるデジタルワークフローに組み込んでおきます。例えば、フィッシングメール対処用のプレイブックを作成する場合、以下のような作業を組み込むことができます(図3)。
図3. フィッシングメール対処用のプレイブックイメージ(NRIセキュア作成)
すると、フィッシングメール受信時にはこのプレイブックが選択され、プレイブック作成時に組み込んでおいた条件に沿って内容が実行されます。
プレイブックを活用すると、手動で行わなければならない作業量が減るため、対応がスピードアップされます。また、運用担当者は低レベルアラートや偽陽性の初期調査に時間を費やさずに済み、本来集中すべき分析作業に身を置くことができます。
■ ポイント② : あらゆる業務プロセスを同一プラットフォームで完結できる
SOARはインシデント対処に関連するあらゆる業務プロセスを一つのプラットフォームに集約します。例えば、関係者へのインシデント情報共有や、証拠の管理等といった作業もSOARのプラットフォーム上で実行可能です。
重要度の高いインシデント発生時には必ず関係者への連絡が必要です。関係者への情報共有手段はメール又は電話が現在主流ですが、これらには「誤送信のリスクがある」、「毎回連絡するのに手間がかかる」等といった欠点があります。関係者への情報共有作業をSOARのプラットフォームに統合すれば、情報を自動的に連携することができ、メール誤送信のリスクを防げます。
また、インシデント対処の際には証拠を残しておく必要がありますが、実はこちらもSOARのプラットフォーム上で行うことができます。SOARでは、インシデントに対して行われた作業がすべて自動的に記録されるため、後から容易に確認できます。また、製品によっては、特に記録に残しておきたいものをワンクリックで証拠掲示板にピン留めするという機能も付いています。
■ ポイント③ : セキュリティ運用部隊のパフォーマンスを確認できる
更に、SOARではインシデント対処における組織のパフォーマンスが測定され、ダッシュボード上で確認できます。
セキュリティ運用のパフォーマンスを妨げてしまう要因は多数あります。例えば、「担当者間での作業分担が公平でない」、「対応すべきインシデントの優先順位が付けられていない」、「作業スピードの遅い担当者がいる」等が挙げられます。しかし、品質向上を図る際、運用部隊の状況把握がしっかりとできていないとボトルネックの特定は困難です。
SOARでは、各担当者の作業が記録され、作業時間や作業分担等のパフォーマンスインジケータが自動的に集計されます。これらのデータをダッシュボードに表示することにより、インシデント対応状況が可視化され、改善計画が立てやすくなります。
おわりに
このように、SOARにはセキュリティ運用を効率化するための機能がたくさん含まれています。これらをうまく利用することにより、運用部隊での生産性が高まり、人材不足への対策として有効であると考えられます。
自動化できるものは自動化してしまい、インシデント対応の担当者はより高度な専門性を必要とされる業務に専念するべきです。SOARをはじめとし、今後もセキュリティ業務の再構築に向けた動きが多く見られるのではないでしょうか。