SOARを活用するための必要条件SIEMとSOARの連携【後編】

SOARは多くの処理を自動化し、セキュリティスタッフの工数を削減する。しかしSOARを活用するためには条件がある。

2021年11月11日 08時00分 公開
[Cliff SaranComputer Weekly]

 前編(SIEMを機能させるための必要条件)では、SIEMを機能させるための注意点とSIEMにSOARを加えるメリットについて解説した。後編では、SOARを活用するためにすべきポイントを紹介する。

セキュリティ対応の自動化

 ISACAの元社長で現在はIBMのジェイソン・ヤケンチェック氏(サイバーセキュリティおよびバイオメトリクスプラクティスのアソシエートパートナー)によると、SOARツールの実装はセキュリティ運用チームによる効果的なインシデント対応のための重要な能力になるという。

関連記事


 「セキュリティ侵害イベントは飛躍的に増加し続けている。自社を成功に導くには適切なコンポーネントが必要だ」(ヤケンチェック氏)

 ウェナム氏と同様、ヤケンチェック氏もSOARツールを最大限に生かすにはSIEMが必要になると考えている。

iStock.com/Blue Planet Studio

 この2つのセキュリティツールは、ますます高度化し、増え続ける脅威に対応するのに不可欠な補完機能を提供する。両者の違いと長所を理解して、それぞれをいつ、どのように実装するかを戦略的に決定することが重要だとヤケンチェック氏は語る。

 「SIEMツールは、イベントデータを中央に集約して相互に関連付ける。これにより、独自のリスクプロファイルに基づいてルールセットやしきい値を構成し、最も有意義で高リスクなイベントのアラートのみを生成できる。SIEMツールは無数のデータを解析してノイズを減らし、詳細な調査と対応が必要なサブセットだけにフィルターをかける」

 「SIEMはセキュリティプログラムには絶対欠かせないものだ。他のツールを統合し、インシデント対応能力を次のレベルに高めるための基礎となる」(ヤケンチェック氏)

 リソースに限りがあるセキュリティチームは、SOARの自動化機能の強化によって対応できるイベント量を拡張できる。これまで手作業でしていた構成の更新やルールの変更などを、SOARは特定のイベントタイプに応じて部分的または完全に自動化して実行できるとヤケンチェック氏は言う。

 SOARからメリットを最大限に引き出すには、SIEMツールを導入して適切にチューニングしてからSOARを実装することをヤケンチェック氏は推奨する。この手順でイベントの集約と相関分析を行うことで、セキュリティ侵害イベントに基づいて自動対応するSOARのメカニズムを利用する手段がもたらされるという。

 「SOARをSIEMなしで実装しても、一部サイロ化された自動化が実行される可能性はある。だが、SIEMから生成される追加のイベントコンテキストは失われる。SIEMがなければ、SOARツールを実装することで得られるメリットの全ては実現しない」と同氏は注意を促す。

セキュリティの拡大

 アプリケーションとITインフラの徹底的な監視は、強力なITセキュリティを確保する鍵となる。だが、監視によって得られるデータを使って疑わしいアクティビティーを特定するには徹底的な分析が必要だ。SIEMを土台にSOARを構築すれば、セキュリティプログラムの運用効率を次のレベルに引き上げることができる。

 とはいえ技術だけでは組織を変革することはできない。「技術は効率を高める導管としてのみ機能し、チームが少ない労力で多くのことを実行できるようにする」(ヤケンチェック氏)

 Gartnerによると、セキュリティチームに5人以上のスタッフを抱える組織の30%が2022年末までにセキュリティ運用にSOARツールを使用するようになるという。この比率は2019年時点では5%だった。これは驚くべき急成長だ。ただし、SOARの実装とデプロイを正当化できない小規模ITチームもあるかもしれない。

 セキュリティツールは計り知れないメリットを提供する可能性がある。だが適切な計画と運用体制がなければ、全てのメリットを享受できない恐れがある。セキュリティの優れた洞察が得られる可能性は、進化する脅威に対応して機密データを保護するためのオーケストレーションと自動化と合わせてITセキュリティが最終的に進む方向になるのかもしれない。

補足:SOARの検討事項

 SOARへの投資を最大限に活用するために、IBMのヤケンチェック氏は以下の検討を推奨している。

  • 全体的な目的と期待する結果
  • ライセンスモデルの理解
  • 一元化されたログ管理あるいはSIEMツール
  • 自動化に適したイベントタイプの完全な理解
  • SOARツールのプレイブックに組み込む各イベントタイプの応答手順の決定
  • 自動化のためにSOARと統合する既存ツールの特定
  • 継続的なフィードバックと原因分析による既存ツールの洗練と、自動化を促進するフレームワークの作成

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ
会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news175.png

製造業の8割が既存顧客深耕に注力 最もリソースを割いている施策は?
ラクスは、製造業の営業・マーケティング担当者500人を対象に、新規開拓や既存深耕におけ...

news105.jpg

「生成AIで作った広告」が物議 そのとき、コカ・コーラはどう動いた?
生成AIを広告制作に活用し、議論を呼んだCoca-Cola。この経験から何を学んだのか。

news028.jpg

新規顧客獲得と既存顧客のLTV向上、それぞれのCRO(コンバージョン率最適化)について
連載第4回の今回は、新規顧客の獲得と既存顧客のLTV(顧客生涯価値)、それぞれのCRO(コ...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方