導入すべきはSIEMかSOARか――企業の性質によって異なる判断基準：SIEMかSOARか【後編】

必ずしもSIEMとSOAR両方を導入しなければならないわけではない。企業の性質によって必要なツールは異なる。自社に必要なのはSIEMなのかSOARなのか。

[Cliff Saran，Computer Weekly]

　前編（SIEMとSOAR――何がどう違うのか、何ができるのか）では、SIEMとSOARの目的や機能、メリットなどの違いを基礎から解説した。後編では、SIEMを導入すべき企業、SOARを選択すべき企業の判断基準を紹介する。

関連記事

• 「SOAR」と「SIEM」の違いとは？　セキュリティ業務を効率化する2大手段
• SIEMの活用にはAIOpsが必要な理由

特別編集ブックレット

• ITセキュリティにおけるAI導入戦略ガイド

デプロイする時機

　SOARは1／10／60チャレンジの答えなのだろうか。

　アプリケーションやネットワークの資産に限りのある企業や報告を受けることを主な目的とする企業は恐らくSIEMだけで十分だ。そう話すのはTurnkey Consultingのトム・バナブルズ氏（アプリケーションおよびサイバーセキュリティディレクター）だ。

　検知したイベントに基づく自動アクションを実装する必要がある企業、毎回同じ方法で実行しなければならない対応のプレイブックが求められる企業にとってはSOARの重要性が高まっているとバナブルズ氏は考える。あるPCが思いもしない場所にあるサーバ（通常のパターンとは異なるサーバ）との通信を突然開始した場合、SOARツールがあればその脅威の性質に応じてそのPCをシステムから分離したり、特定ポートでの通信を無効化したりできると同氏は言う。

　あまり規模が大きくないSOCもある。だが自動化すれば、SOCの規模を問わずインシデントの修復に専念したり詳細に分析したりできる。全てのアラートを一つずつ監視してサービスレベル内でアクションを実行する時間的余裕がチームになければ、インシデントにタイムリーに対応できない恐れがあるとバナブルズ氏は指摘する。

iStock.com/3D_generator

　「SOARツールを正しく実装すれば、複数のセキュリティプラットフォームやツールから情報を引き出し、脅威インテリジェンスプラットフォーム、SIEM、UEBA（User and Entity Behavior Analytics）を統合してIoC（Indicators of Compromise）を自動的に特定できる。SOARツールがなければ、SOCのアナリストが何時間もかけてIoCを特定することになる」（バナブルズ氏）

　セキュリティ情報を取得すれば、疑わしい行動や悪意のある行動に人間が気付く前に対応し、阻止することが可能になる。「自動化のレベルによっては、分析や応答から大量の誤検知を取り除き、アナリストの貴重な時間を節約できる」（バナブルズ氏）

　SOARが提供する自動化に大きなメリットがあるとしても、まだSIEMには利用価値があるとバナブルズ氏は言う。「SOARへの入力情報として、必要なイベントとログの取り込みだけでなく大量のデータを簡単に処理するSIEMツールは、サービスデスクのチケット発行の指標や予測、リアルタイムのKPI（主要業績指標）ダッシュボード、クロスプラットフォームのコンプライアンスとリスクのレポートなど、他のビジネス分野にもツールをデプロイできることを意味する」

　サービスデスクの担当者が、ログに記録された全てのチケットをトリアージして問題の根本原因や指標を特定するのは難しい。だが「強力なSIEMツールなら、素早く傾向を把握して他のデータソースとの相関関係を調べ、さらに注意が必要なことについての明確な証拠を提供できる」と同氏は話す。

投資の決定

　自社の規模と確立済みのセキュリティプロセスに基づいて投資を決めることをバナブルズ氏は勧める。ベンチマークの業界標準として導入が急速に進んでいるNIST（米国立標準技術研究所）のサイバーセキュリティフレームワークは、サイバーセキュリティ保護を「特定」「保護」「検知」「対応」「回復」の5つに分割している。

　「この分類に基づくと、SIEMは『特定』と『保護』の領域の効果と効率の測定に適している。『検知』と『対応』に対応するのはSOARだ」（バナブルズ氏）

　バナブルズ氏の経験によれば、追加のサポートを必要とするかどうかを評価する際のもう一つの有益な指標は、SOCのアクティビティーとワークロードだという。SIEMツールが取り込んだアラートの調査や対応にチームの時間の大半が費やされているなら、SOARツールを検討すべきだとバナブルズ氏は推奨する。

　「意味のあるイベントを捉えるのに悪戦苦闘している場合、処理するデータが膨大にある場合、ツールが膨大な誤検知を生成する場合、インシデント管理プロセスをまだ定めていない場合は、SIEMとそのログ収集、イベント管理のプロセスを強化するのが賢明な投資だ」と同氏は話す。

　SOARに関するマーケットガイドを書いたGartnerの執筆者は、SOARツール導入の主な障害はセキュリティ運用チームのプロセスと手続きの欠如、またはその成熟度の低さにあると警告する。

重要な構成

　フランシス氏が指摘するように、SOARツールでは構成が必要になる。「デフォルトの構成が出発点になる。だがSOARではプレイブックや定義済みのワークフローが生成されないので、自動化に向けてこれらを微調整しなければならない」

　「SOARツールで対応するには、ファイアウォール、DNSサーバ、プロキシを再構成する方法や自社の環境でホストを分離する方法をツールが把握しなければならない。ただし、SOARの運用期間が長くなるほど多くのことをアナリストの介在なしで迅速に実行できるようになる」

　セキュリティツールの購入が成功するかどうかは、自社の現状分析と脅威とリスクの状況把握によって決まる。自動処理と手動処理の長所と短所を対比し、それぞれの価値を判断することをバナブルズ氏は促す。

　「特定の要件を理解すれば、不要な機能への出費を防ぐことができる。『最適な』システムを個別に選択することも可能だ。そうすれば、単一サプライヤーモデルを選んで機能不足に陥ることなく、各分野で高度なソリューションを得ることができる」（バナブルズ氏）