SOARを活用するための必要条件SIEMとSOARの連携【後編】

SOARは多くの処理を自動化し、セキュリティスタッフの工数を削減する。しかしSOARを活用するためには条件がある。

2021年11月11日 08時00分 公開
[Cliff SaranComputer Weekly]

 前編(SIEMを機能させるための必要条件)では、SIEMを機能させるための注意点とSIEMにSOARを加えるメリットについて解説した。後編では、SOARを活用するためにすべきポイントを紹介する。

セキュリティ対応の自動化

 ISACAの元社長で現在はIBMのジェイソン・ヤケンチェック氏(サイバーセキュリティおよびバイオメトリクスプラクティスのアソシエートパートナー)によると、SOARツールの実装はセキュリティ運用チームによる効果的なインシデント対応のための重要な能力になるという。

 「セキュリティ侵害イベントは飛躍的に増加し続けている。自社を成功に導くには適切なコンポーネントが必要だ」(ヤケンチェック氏)

 ウェナム氏と同様、ヤケンチェック氏もSOARツールを最大限に生かすにはSIEMが必要になると考えている。

iStock.com/Blue Planet Studio

 この2つのセキュリティツールは、ますます高度化し、増え続ける脅威に対応するのに不可欠な補完機能を提供する。両者の違いと長所を理解して、それぞれをいつ、どのように実装するかを戦略的に決定することが重要だとヤケンチェック氏は語る。

 「SIEMツールは、イベントデータを中央に集約して相互に関連付ける。これにより、独自のリスクプロファイルに基づいてルールセットやしきい値を構成し、最も有意義で高リスクなイベントのアラートのみを生成できる。SIEMツールは無数のデータを解析してノイズを減らし、詳細な調査と対応が必要なサブセットだけにフィルターをかける」

 「SIEMはセキュリティプログラムには絶対欠かせないものだ。他のツールを統合し、インシデント対応能力を次のレベルに高めるための基礎となる」(ヤケンチェック氏)

 リソースに限りがあるセキュリティチームは、SOARの自動化機能の強化によって対応できるイベント量を拡張できる。これまで手作業でしていた構成の更新やルールの変更などを、SOARは特定のイベントタイプに応じて部分的または完全に自動化して実行できるとヤケンチェック氏は言う。

 SOARからメリットを最大限に引き出すには、SIEMツールを導入して適切にチューニングしてからSOARを実装することをヤケンチェック氏は推奨する。この手順でイベントの集約と相関分析を行うことで、セキュリティ侵害イベントに基づいて自動対応するSOARのメカニズムを利用する手段がもたらされるという。

 「SOARをSIEMなしで実装しても、一部サイロ化された自動化が実行される可能性はある。だが、SIEMから生成される追加のイベントコンテキストは失われる。SIEMがなければ、SOARツールを実装することで得られるメリットの全ては実現しない」と同氏は注意を促す。

セキュリティの拡大

 アプリケーションとITインフラの徹底的な監視は、強力なITセキュリティを確保する鍵となる。だが、監視によって得られるデータを使って疑わしいアクティビティーを特定するには徹底的な分析が必要だ。SIEMを土台にSOARを構築すれば、セキュリティプログラムの運用効率を次のレベルに引き上げることができる。

 とはいえ技術だけでは組織を変革することはできない。「技術は効率を高める導管としてのみ機能し、チームが少ない労力で多くのことを実行できるようにする」(ヤケンチェック氏)

 Gartnerによると、セキュリティチームに5人以上のスタッフを抱える組織の30%が2022年末までにセキュリティ運用にSOARツールを使用するようになるという。この比率は2019年時点では5%だった。これは驚くべき急成長だ。ただし、SOARの実装とデプロイを正当化できない小規模ITチームもあるかもしれない。

 セキュリティツールは計り知れないメリットを提供する可能性がある。だが適切な計画と運用体制がなければ、全てのメリットを享受できない恐れがある。セキュリティの優れた洞察が得られる可能性は、進化する脅威に対応して機密データを保護するためのオーケストレーションと自動化と合わせてITセキュリティが最終的に進む方向になるのかもしれない。

補足:SOARの検討事項

 SOARへの投資を最大限に活用するために、IBMのヤケンチェック氏は以下の検討を推奨している。

  • 全体的な目的と期待する結果
  • ライセンスモデルの理解
  • 一元化されたログ管理あるいはSIEMツール
  • 自動化に適したイベントタイプの完全な理解
  • SOARツールのプレイブックに組み込む各イベントタイプの応答手順の決定
  • 自動化のためにSOARと統合する既存ツールの特定
  • 継続的なフィードバックと原因分析による既存ツールの洗練と、自動化を促進するフレームワークの作成

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news150.jpg

「猛暑」「米騒動」「インバウンド」の影響は? 2024年に最も売り上げが伸びたものランキング
小売店の推定販売金額の伸びから、日用消費財の中で何が売れたのかを振り返るランキング...

news110.jpg

Netflixコラボが止まらない 「イカゲーム」シーズン2公開で人気爆上がり必至のアプリとは?
Duolingoは言語学習アプリとNetflixの大人気ドラマを結び付けたキャンペーンを展開。屋外...

news199.jpg

Yahoo!広告における脱デモグラフィックの配信・分析を実現 電通が「DESIRE Targeting」を提供開始
電通の消費者研究プロジェクトチームは、消費者を理解し、Yahoo!広告の配信や分析を実施...