　「SIEMツールは、イベントデータを中央に集約して相互に関連付ける。これにより、独自のリスクプロファイルに基づいてルールセットやしきい値を構成し、最も有意義で高リスクなイベントのアラートのみを生成できる。SIEMツールは無数のデータを解析してノイズを減らし、詳細な調査と対応が必要なサブセットだけにフィルターをかける」

　「SIEMはセキュリティプログラムには絶対欠かせないものだ。他のツールを統合し、インシデント対応能力を次のレベルに高めるための基礎となる」（ヤケンチェック氏）

　リソースに限りがあるセキュリティチームは、SOARの自動化機能の強化によって対応できるイベント量を拡張できる。これまで手作業でしていた構成の更新やルールの変更などを、SOARは特定のイベントタイプに応じて部分的または完全に自動化して実行できるとヤケンチェック氏は言う。

　SOARからメリットを最大限に引き出すには、SIEMツールを導入して適切にチューニングしてからSOARを実装することをヤケンチェック氏は推奨する。この手順でイベントの集約と相関分析を行うことで、セキュリティ侵害イベントに基づいて自動対応するSOARのメカニズムを利用する手段がもたらされるという。

　「SOARをSIEMなしで実装しても、一部サイロ化された自動化が実行される可能性はある。だが、SIEMから生成される追加のイベントコンテキストは失われる。SIEMがなければ、SOARツールを実装することで得られるメリットの全ては実現しない」と同氏は注意を促す。

セキュリティの拡大

　アプリケーションとITインフラの徹底的な監視は、強力なITセキュリティを確保する鍵となる。だが、監視によって得られるデータを使って疑わしいアクティビティーを特定するには徹底的な分析が必要だ。SIEMを土台にSOARを構築すれば、セキュリティプログラムの運用効率を次のレベルに引き上げることができる。

　とはいえ技術だけでは組織を変革することはできない。「技術は効率を高める導管としてのみ機能し、チームが少ない労力で多くのことを実行できるようにする」（ヤケンチェック氏）

　Gartnerによると、セキュリティチームに5人以上のスタッフを抱える組織の30％が2022年末までにセキュリティ運用にSOARツールを使用するようになるという。この比率は2019年時点では5％だった。これは驚くべき急成長だ。ただし、SOARの実装とデプロイを正当化できない小規模ITチームもあるかもしれない。

　セキュリティツールは計り知れないメリットを提供する可能性がある。だが適切な計画と運用体制がなければ、全てのメリットを享受できない恐れがある。セキュリティの優れた洞察が得られる可能性は、進化する脅威に対応して機密データを保護するためのオーケストレーションと自動化と合わせてITセキュリティが最終的に進む方向になるのかもしれない。

補足：SOARの検討事項

　SOARへの投資を最大限に活用するために、IBMのヤケンチェック氏は以下の検討を推奨している。

全体的な目的と期待する結果
ライセンスモデルの理解
一元化されたログ管理あるいはSIEMツール
自動化に適したイベントタイプの完全な理解
SOARツールのプレイブックに組み込む各イベントタイプの応答手順の決定
自動化のためにSOARと統合する既存ツールの特定
継続的なフィードバックと原因分析による既存ツールの洗練と、自動化を促進するフレームワークの作成

TechTargetジャパントップセキュリティ