SOARを活用するための必要条件：SIEMとSOARの連携【後編】

SOARは多くの処理を自動化し、セキュリティスタッフの工数を削減する。しかしSOARを活用するためには条件がある。

[Cliff Saran，Computer Weekly]

　前編（SIEMを機能させるための必要条件）では、SIEMを機能させるための注意点とSIEMにSOARを加えるメリットについて解説した。後編では、SOARを活用するためにすべきポイントを紹介する。

セキュリティ対応の自動化

　ISACAの元社長で現在はIBMのジェイソン・ヤケンチェック氏（サイバーセキュリティおよびバイオメトリクスプラクティスのアソシエートパートナー）によると、SOARツールの実装はセキュリティ運用チームによる効果的なインシデント対応のための重要な能力になるという。

関連記事

• SIEMとSOAR――何がどう違うのか、何ができるのか
• SIEMの活用にはAIOpsが必要な理由
• AIを生かしたインテリジェントなセキュリティ対策

　「セキュリティ侵害イベントは飛躍的に増加し続けている。自社を成功に導くには適切なコンポーネントが必要だ」（ヤケンチェック氏）

　ウェナム氏と同様、ヤケンチェック氏もSOARツールを最大限に生かすにはSIEMが必要になると考えている。

iStock.com/Blue Planet Studio

　この2つのセキュリティツールは、ますます高度化し、増え続ける脅威に対応するのに不可欠な補完機能を提供する。両者の違いと長所を理解して、それぞれをいつ、どのように実装するかを戦略的に決定することが重要だとヤケンチェック氏は語る。

　「SIEMツールは、イベントデータを中央に集約して相互に関連付ける。これにより、独自のリスクプロファイルに基づいてルールセットやしきい値を構成し、最も有意義で高リスクなイベントのアラートのみを生成できる。SIEMツールは無数のデータを解析してノイズを減らし、詳細な調査と対応が必要なサブセットだけにフィルターをかける」

　「SIEMはセキュリティプログラムには絶対欠かせないものだ。他のツールを統合し、インシデント対応能力を次のレベルに高めるための基礎となる」（ヤケンチェック氏）

　リソースに限りがあるセキュリティチームは、SOARの自動化機能の強化によって対応できるイベント量を拡張できる。これまで手作業でしていた構成の更新やルールの変更などを、SOARは特定のイベントタイプに応じて部分的または完全に自動化して実行できるとヤケンチェック氏は言う。

　SOARからメリットを最大限に引き出すには、SIEMツールを導入して適切にチューニングしてからSOARを実装することをヤケンチェック氏は推奨する。この手順でイベントの集約と相関分析を行うことで、セキュリティ侵害イベントに基づいて自動対応するSOARのメカニズムを利用する手段がもたらされるという。

　「SOARをSIEMなしで実装しても、一部サイロ化された自動化が実行される可能性はある。だが、SIEMから生成される追加のイベントコンテキストは失われる。SIEMがなければ、SOARツールを実装することで得られるメリットの全ては実現しない」と同氏は注意を促す。

セキュリティの拡大

　アプリケーションとITインフラの徹底的な監視は、強力なITセキュリティを確保する鍵となる。だが、監視によって得られるデータを使って疑わしいアクティビティーを特定するには徹底的な分析が必要だ。SIEMを土台にSOARを構築すれば、セキュリティプログラムの運用効率を次のレベルに引き上げることができる。

　とはいえ技術だけでは組織を変革することはできない。「技術は効率を高める導管としてのみ機能し、チームが少ない労力で多くのことを実行できるようにする」（ヤケンチェック氏）

　Gartnerによると、セキュリティチームに5人以上のスタッフを抱える組織の30％が2022年末までにセキュリティ運用にSOARツールを使用するようになるという。この比率は2019年時点では5％だった。これは驚くべき急成長だ。ただし、SOARの実装とデプロイを正当化できない小規模ITチームもあるかもしれない。

　セキュリティツールは計り知れないメリットを提供する可能性がある。だが適切な計画と運用体制がなければ、全てのメリットを享受できない恐れがある。セキュリティの優れた洞察が得られる可能性は、進化する脅威に対応して機密データを保護するためのオーケストレーションと自動化と合わせてITセキュリティが最終的に進む方向になるのかもしれない。

補足：SOARの検討事項

　SOARへの投資を最大限に活用するために、IBMのヤケンチェック氏は以下の検討を推奨している。

• 全体的な目的と期待する結果
• ライセンスモデルの理解
• 一元化されたログ管理あるいはSIEMツール
• 自動化に適したイベントタイプの完全な理解
• SOARツールのプレイブックに組み込む各イベントタイプの応答手順の決定
• 自動化のためにSOARと統合する既存ツールの特定
• 継続的なフィードバックと原因分析による既存ツールの洗練と、自動化を促進するフレームワークの作成