必ずしもSIEMとSOAR両方を導入しなければならないわけではない。企業の性質によって必要なツールは異なる。自社に必要なのはSIEMなのかSOARなのか。
前編(SIEMとSOAR――何がどう違うのか、何ができるのか)では、SIEMとSOARの目的や機能、メリットなどの違いを基礎から解説した。後編では、SIEMを導入すべき企業、SOARを選択すべき企業の判断基準を紹介する。
SOARは1/10/60チャレンジの答えなのだろうか。
アプリケーションやネットワークの資産に限りのある企業や報告を受けることを主な目的とする企業は恐らくSIEMだけで十分だ。そう話すのはTurnkey Consultingのトム・バナブルズ氏(アプリケーションおよびサイバーセキュリティディレクター)だ。
検知したイベントに基づく自動アクションを実装する必要がある企業、毎回同じ方法で実行しなければならない対応のプレイブックが求められる企業にとってはSOARの重要性が高まっているとバナブルズ氏は考える。あるPCが思いもしない場所にあるサーバ(通常のパターンとは異なるサーバ)との通信を突然開始した場合、SOARツールがあればその脅威の性質に応じてそのPCをシステムから分離したり、特定ポートでの通信を無効化したりできると同氏は言う。
あまり規模が大きくないSOCもある。だが自動化すれば、SOCの規模を問わずインシデントの修復に専念したり詳細に分析したりできる。全てのアラートを一つずつ監視してサービスレベル内でアクションを実行する時間的余裕がチームになければ、インシデントにタイムリーに対応できない恐れがあるとバナブルズ氏は指摘する。
「SOARツールを正しく実装すれば、複数のセキュリティプラットフォームやツールから情報を引き出し、脅威インテリジェンスプラットフォーム、SIEM、UEBA(User and Entity Behavior Analytics)を統合してIoC(Indicators of Compromise)を自動的に特定できる。SOARツールがなければ、SOCのアナリストが何時間もかけてIoCを特定することになる」(バナブルズ氏)
セキュリティ情報を取得すれば、疑わしい行動や悪意のある行動に人間が気付く前に対応し、阻止することが可能になる。「自動化のレベルによっては、分析や応答から大量の誤検知を取り除き、アナリストの貴重な時間を節約できる」(バナブルズ氏)
SOARが提供する自動化に大きなメリットがあるとしても、まだSIEMには利用価値があるとバナブルズ氏は言う。「SOARへの入力情報として、必要なイベントとログの取り込みだけでなく大量のデータを簡単に処理するSIEMツールは、サービスデスクのチケット発行の指標や予測、リアルタイムのKPI(主要業績指標)ダッシュボード、クロスプラットフォームのコンプライアンスとリスクのレポートなど、他のビジネス分野にもツールをデプロイできることを意味する」
サービスデスクの担当者が、ログに記録された全てのチケットをトリアージして問題の根本原因や指標を特定するのは難しい。だが「強力なSIEMツールなら、素早く傾向を把握して他のデータソースとの相関関係を調べ、さらに注意が必要なことについての明確な証拠を提供できる」と同氏は話す。
自社の規模と確立済みのセキュリティプロセスに基づいて投資を決めることをバナブルズ氏は勧める。ベンチマークの業界標準として導入が急速に進んでいるNIST(米国立標準技術研究所)のサイバーセキュリティフレームワークは、サイバーセキュリティ保護を「特定」「保護」「検知」「対応」「回復」の5つに分割している。
「この分類に基づくと、SIEMは『特定』と『保護』の領域の効果と効率の測定に適している。『検知』と『対応』に対応するのはSOARだ」(バナブルズ氏)
バナブルズ氏の経験によれば、追加のサポートを必要とするかどうかを評価する際のもう一つの有益な指標は、SOCのアクティビティーとワークロードだという。SIEMツールが取り込んだアラートの調査や対応にチームの時間の大半が費やされているなら、SOARツールを検討すべきだとバナブルズ氏は推奨する。
「意味のあるイベントを捉えるのに悪戦苦闘している場合、処理するデータが膨大にある場合、ツールが膨大な誤検知を生成する場合、インシデント管理プロセスをまだ定めていない場合は、SIEMとそのログ収集、イベント管理のプロセスを強化するのが賢明な投資だ」と同氏は話す。
SOARに関するマーケットガイドを書いたGartnerの執筆者は、SOARツール導入の主な障害はセキュリティ運用チームのプロセスと手続きの欠如、またはその成熟度の低さにあると警告する。
フランシス氏が指摘するように、SOARツールでは構成が必要になる。「デフォルトの構成が出発点になる。だがSOARではプレイブックや定義済みのワークフローが生成されないので、自動化に向けてこれらを微調整しなければならない」
「SOARツールで対応するには、ファイアウォール、DNSサーバ、プロキシを再構成する方法や自社の環境でホストを分離する方法をツールが把握しなければならない。ただし、SOARの運用期間が長くなるほど多くのことをアナリストの介在なしで迅速に実行できるようになる」
セキュリティツールの購入が成功するかどうかは、自社の現状分析と脅威とリスクの状況把握によって決まる。自動処理と手動処理の長所と短所を対比し、それぞれの価値を判断することをバナブルズ氏は促す。
「特定の要件を理解すれば、不要な機能への出費を防ぐことができる。『最適な』システムを個別に選択することも可能だ。そうすれば、単一サプライヤーモデルを選んで機能不足に陥ることなく、各分野で高度なソリューションを得ることができる」(バナブルズ氏)
Copyright © ITmedia, Inc. All Rights Reserved.
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
フィッシングは、IDやパスワード、クレジットカード情報などの窃取を目的としたサイバー攻撃のことだ。電子メールを使用した手口が代表的だが、SMSや電話、QRコードなどを利用したものもある。これらの攻撃から自社を守るには?
サイバー攻撃が巧妙化している。「フィッシング」の手口では、従来の電子メールやSMSにとどまらず、新たな手法が確認されている。音声やQRコードを使ったフィッシングの概要およびその対策方法について、3分動画で紹介する。
フィッシングは、ユーザーのIDやパスワード、クレジットカード情報などを窃取する手段として知られている。昨今では、この進化系ともいえる「AiTM攻撃(中間者攻撃)」が確認されている。AiTM攻撃の概要と対策を2分弱の動画で紹介する。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/3D_generator
