必ずしもSIEMとSOAR両方を導入しなければならないわけではない。企業の性質によって必要なツールは異なる。自社に必要なのはSIEMなのかSOARなのか。
前編(SIEMとSOAR――何がどう違うのか、何ができるのか)では、SIEMとSOARの目的や機能、メリットなどの違いを基礎から解説した。後編では、SIEMを導入すべき企業、SOARを選択すべき企業の判断基準を紹介する。
SOARは1/10/60チャレンジの答えなのだろうか。
アプリケーションやネットワークの資産に限りのある企業や報告を受けることを主な目的とする企業は恐らくSIEMだけで十分だ。そう話すのはTurnkey Consultingのトム・バナブルズ氏(アプリケーションおよびサイバーセキュリティディレクター)だ。
検知したイベントに基づく自動アクションを実装する必要がある企業、毎回同じ方法で実行しなければならない対応のプレイブックが求められる企業にとってはSOARの重要性が高まっているとバナブルズ氏は考える。あるPCが思いもしない場所にあるサーバ(通常のパターンとは異なるサーバ)との通信を突然開始した場合、SOARツールがあればその脅威の性質に応じてそのPCをシステムから分離したり、特定ポートでの通信を無効化したりできると同氏は言う。
あまり規模が大きくないSOCもある。だが自動化すれば、SOCの規模を問わずインシデントの修復に専念したり詳細に分析したりできる。全てのアラートを一つずつ監視してサービスレベル内でアクションを実行する時間的余裕がチームになければ、インシデントにタイムリーに対応できない恐れがあるとバナブルズ氏は指摘する。
「SOARツールを正しく実装すれば、複数のセキュリティプラットフォームやツールから情報を引き出し、脅威インテリジェンスプラットフォーム、SIEM、UEBA(User and Entity Behavior Analytics)を統合してIoC(Indicators of Compromise)を自動的に特定できる。SOARツールがなければ、SOCのアナリストが何時間もかけてIoCを特定することになる」(バナブルズ氏)
セキュリティ情報を取得すれば、疑わしい行動や悪意のある行動に人間が気付く前に対応し、阻止することが可能になる。「自動化のレベルによっては、分析や応答から大量の誤検知を取り除き、アナリストの貴重な時間を節約できる」(バナブルズ氏)
SOARが提供する自動化に大きなメリットがあるとしても、まだSIEMには利用価値があるとバナブルズ氏は言う。「SOARへの入力情報として、必要なイベントとログの取り込みだけでなく大量のデータを簡単に処理するSIEMツールは、サービスデスクのチケット発行の指標や予測、リアルタイムのKPI(主要業績指標)ダッシュボード、クロスプラットフォームのコンプライアンスとリスクのレポートなど、他のビジネス分野にもツールをデプロイできることを意味する」
サービスデスクの担当者が、ログに記録された全てのチケットをトリアージして問題の根本原因や指標を特定するのは難しい。だが「強力なSIEMツールなら、素早く傾向を把握して他のデータソースとの相関関係を調べ、さらに注意が必要なことについての明確な証拠を提供できる」と同氏は話す。
自社の規模と確立済みのセキュリティプロセスに基づいて投資を決めることをバナブルズ氏は勧める。ベンチマークの業界標準として導入が急速に進んでいるNIST(米国立標準技術研究所)のサイバーセキュリティフレームワークは、サイバーセキュリティ保護を「特定」「保護」「検知」「対応」「回復」の5つに分割している。
「この分類に基づくと、SIEMは『特定』と『保護』の領域の効果と効率の測定に適している。『検知』と『対応』に対応するのはSOARだ」(バナブルズ氏)
バナブルズ氏の経験によれば、追加のサポートを必要とするかどうかを評価する際のもう一つの有益な指標は、SOCのアクティビティーとワークロードだという。SIEMツールが取り込んだアラートの調査や対応にチームの時間の大半が費やされているなら、SOARツールを検討すべきだとバナブルズ氏は推奨する。
「意味のあるイベントを捉えるのに悪戦苦闘している場合、処理するデータが膨大にある場合、ツールが膨大な誤検知を生成する場合、インシデント管理プロセスをまだ定めていない場合は、SIEMとそのログ収集、イベント管理のプロセスを強化するのが賢明な投資だ」と同氏は話す。
SOARに関するマーケットガイドを書いたGartnerの執筆者は、SOARツール導入の主な障害はセキュリティ運用チームのプロセスと手続きの欠如、またはその成熟度の低さにあると警告する。
フランシス氏が指摘するように、SOARツールでは構成が必要になる。「デフォルトの構成が出発点になる。だがSOARではプレイブックや定義済みのワークフローが生成されないので、自動化に向けてこれらを微調整しなければならない」
「SOARツールで対応するには、ファイアウォール、DNSサーバ、プロキシを再構成する方法や自社の環境でホストを分離する方法をツールが把握しなければならない。ただし、SOARの運用期間が長くなるほど多くのことをアナリストの介在なしで迅速に実行できるようになる」
セキュリティツールの購入が成功するかどうかは、自社の現状分析と脅威とリスクの状況把握によって決まる。自動処理と手動処理の長所と短所を対比し、それぞれの価値を判断することをバナブルズ氏は促す。
「特定の要件を理解すれば、不要な機能への出費を防ぐことができる。『最適な』システムを個別に選択することも可能だ。そうすれば、単一サプライヤーモデルを選んで機能不足に陥ることなく、各分野で高度なソリューションを得ることができる」(バナブルズ氏)
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/3D_generator
