SOARを活用するための必要条件SIEMとSOARの連携【後編】

SOARは多くの処理を自動化し、セキュリティスタッフの工数を削減する。しかしSOARを活用するためには条件がある。

2021年11月11日 08時00分 公開
[Cliff SaranComputer Weekly]

 前編(SIEMを機能させるための必要条件)では、SIEMを機能させるための注意点とSIEMにSOARを加えるメリットについて解説した。後編では、SOARを活用するためにすべきポイントを紹介する。

セキュリティ対応の自動化

 ISACAの元社長で現在はIBMのジェイソン・ヤケンチェック氏(サイバーセキュリティおよびバイオメトリクスプラクティスのアソシエートパートナー)によると、SOARツールの実装はセキュリティ運用チームによる効果的なインシデント対応のための重要な能力になるという。

 「セキュリティ侵害イベントは飛躍的に増加し続けている。自社を成功に導くには適切なコンポーネントが必要だ」(ヤケンチェック氏)

 ウェナム氏と同様、ヤケンチェック氏もSOARツールを最大限に生かすにはSIEMが必要になると考えている。

iStock.com/Blue Planet Studio

 この2つのセキュリティツールは、ますます高度化し、増え続ける脅威に対応するのに不可欠な補完機能を提供する。両者の違いと長所を理解して、それぞれをいつ、どのように実装するかを戦略的に決定することが重要だとヤケンチェック氏は語る。

 「SIEMツールは、イベントデータを中央に集約して相互に関連付ける。これにより、独自のリスクプロファイルに基づいてルールセットやしきい値を構成し、最も有意義で高リスクなイベントのアラートのみを生成できる。SIEMツールは無数のデータを解析してノイズを減らし、詳細な調査と対応が必要なサブセットだけにフィルターをかける」

 「SIEMはセキュリティプログラムには絶対欠かせないものだ。他のツールを統合し、インシデント対応能力を次のレベルに高めるための基礎となる」(ヤケンチェック氏)

 リソースに限りがあるセキュリティチームは、SOARの自動化機能の強化によって対応できるイベント量を拡張できる。これまで手作業でしていた構成の更新やルールの変更などを、SOARは特定のイベントタイプに応じて部分的または完全に自動化して実行できるとヤケンチェック氏は言う。

 SOARからメリットを最大限に引き出すには、SIEMツールを導入して適切にチューニングしてからSOARを実装することをヤケンチェック氏は推奨する。この手順でイベントの集約と相関分析を行うことで、セキュリティ侵害イベントに基づいて自動対応するSOARのメカニズムを利用する手段がもたらされるという。

 「SOARをSIEMなしで実装しても、一部サイロ化された自動化が実行される可能性はある。だが、SIEMから生成される追加のイベントコンテキストは失われる。SIEMがなければ、SOARツールを実装することで得られるメリットの全ては実現しない」と同氏は注意を促す。

セキュリティの拡大

 アプリケーションとITインフラの徹底的な監視は、強力なITセキュリティを確保する鍵となる。だが、監視によって得られるデータを使って疑わしいアクティビティーを特定するには徹底的な分析が必要だ。SIEMを土台にSOARを構築すれば、セキュリティプログラムの運用効率を次のレベルに引き上げることができる。

 とはいえ技術だけでは組織を変革することはできない。「技術は効率を高める導管としてのみ機能し、チームが少ない労力で多くのことを実行できるようにする」(ヤケンチェック氏)

 Gartnerによると、セキュリティチームに5人以上のスタッフを抱える組織の30%が2022年末までにセキュリティ運用にSOARツールを使用するようになるという。この比率は2019年時点では5%だった。これは驚くべき急成長だ。ただし、SOARの実装とデプロイを正当化できない小規模ITチームもあるかもしれない。

 セキュリティツールは計り知れないメリットを提供する可能性がある。だが適切な計画と運用体制がなければ、全てのメリットを享受できない恐れがある。セキュリティの優れた洞察が得られる可能性は、進化する脅威に対応して機密データを保護するためのオーケストレーションと自動化と合わせてITセキュリティが最終的に進む方向になるのかもしれない。

補足:SOARの検討事項

 SOARへの投資を最大限に活用するために、IBMのヤケンチェック氏は以下の検討を推奨している。

  • 全体的な目的と期待する結果
  • ライセンスモデルの理解
  • 一元化されたログ管理あるいはSIEMツール
  • 自動化に適したイベントタイプの完全な理解
  • SOARツールのプレイブックに組み込む各イベントタイプの応答手順の決定
  • 自動化のためにSOARと統合する既存ツールの特定
  • 継続的なフィードバックと原因分析による既存ツールの洗練と、自動化を促進するフレームワークの作成

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 ゾーホージャパン株式会社

システムに侵入され深刻な被害も、サービスアカウントの不正利用をどう防ぐ?

サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。

製品資料 ゾーホージャパン株式会社

“人間ではない”サービスアカウントに潜む、3つのセキュリティリスクとは?

サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。

製品資料 Splunk Services Japan合同会社

デジタル決済の普及で金融犯罪や不正行為が急増、被害を防ぐために必要なものは

eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。

製品資料 Splunk Services Japan合同会社

金融犯罪を未然に防止、システムが複雑化する中で取るべき対策とその実装方法

金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。

製品資料 グーグル合同会社

ゼロトラストセキュリティのハードルを下げる、“ブラウザ”ベースという視点

クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/04/16 UPDATE

  1. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「隰セ�サ隰ヲ�ス�ス遯カ諛キ蠎カ騾カ蟯ゥツ€譏エ窶イ30�ス�ス�ク蟶卍€ツ€驕橸スシ邵コ蛛オ竊醍クコ荳岩�邵コ�」邵コ貅ス螳倬р�ェ髢��ス�ス髫ア�、驍ゑソス
  2. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「邵コ�ョ陷企�醍�闔会ス・闕ウ鄙ォ窶イ遯カ諛岩旺邵コ�ョ關難スオ陷茨ス・驍ィ迹夲スキ�ッ遯カ譏エ�定ャ費スェ騾包スィ遯カ陬慊€謌奇スヲ遏ゥ邃�クコ譁撰シ�ケァ蠕娯螺郢晢スェ郢ァ�ケ郢ァ�ッ邵コ�ィ邵コ�ッ�ス�ス
  3. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「鬮ョ�ス螻ョBlack Basta邵コ�ョ闔ィ螟奇スゥ�ア邵コ譴ァ�オ竏晢ソス邵イツ€隴丞シア�臥クコ荵昶�邵コ�ェ邵コ�」邵コ貊灘愛隰ヲ�スツ€�ス�ス遯カ諛域た鬮サ�ウ遯カ�ス
  4. 霎滂ス。隴∝生縲堤クイ蠕後◎郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�クコ�ョ郢晏干ホ溽クイ髦ェ�帝€カ�ョ隰厄ソス笳狗ケァ驫€ツ€諛翫′郢晢スウ郢晢スゥ郢ァ�、郢晢スウ陝�スヲ驗吝�縺慕ケ晢スシ郢ァ�ケ遯カ�ス5鬩包スク
  5. 雎悟カコ�サ蛟・�樒クコ貅假ス芽屁�ス邵コ�ョWeb郢ァ�オ郢ァ�、郢晏現縲定屐蛟カ�コ�コ隲��ス�ス�ア郢ァ雋橸ソス陷牙ク呻シ�邵コ�ヲ邵コ貅ェツ€陬慊€霈斐Ψ郢ァ�。郢晢スシ郢晄コ佩ヲ郢ァ�ー邵コ�ョ隰�唱蜩ィ邵コ�ィ邵コ�ッ
  6. 邵イ謔滂ソス陜趣スィ陋ケ謔カ��邵コ陂悠邵イ髦ェ窶イ200�ス�ス�「蜉アツ€ツ€騾墓サ難ソスAI邵コ�ァ雎鯉スセ雎シ�ォ邵コ蜷カ�狗ェカ諞コ陬ク郢晢ソス�ス郢晢スォ遯カ譏エ�ス陞ウ貊難ソス
  7. 邵イ逾 ̄N邵イ髦ェ窶イ陷奇スア鬮ッ�コ邵コ�ェ騾�ソス鄂ー邵コ�ィ邵イ蜈УNA邵イ蜥イ�ァ�サ髯ヲ蠕鯉ソス陋サ�ゥ霓、�ケ邵コ�ッ�ス貅伉€ツ€IAM邵コ�ョ闕ウ�サ髫補�繝ィ郢晢スャ郢晢スウ郢晏ウィ竏ェ邵コ�ィ郢ァ�ス
  8. 陝�クサ�ス雋ょ現竏ゥ邵コ�ョ邵イ驛。ASE邵イ蟠趣スヲ迢怜ウゥ邵コ蜉ア�ゑソス貅伉€ツ€郢晞亂繝」郢晏現ホ。郢晢スシ郢ァ�ッ郢ァ�サ郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�クコ�ョ遯カ�ス3陞滂スァ陷榊供鬮�ェカ�ス
  9. 陝キ�エ陷ソ�ス2000闕ウ�ス�ス驍丞、イ�シ貅伉€ツ€邵イ譬優邵コ�ィ郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ驍ゑス。騾�ソスツ€髦ェ縲定ア「�サ髴�亂笘�ケァ荵昶螺郢ァ竏夲ソス髫ア讎奇スョ螟奇スウ�ス�ス�シ邵コ�ッ
  10. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「隰セ�サ隰ヲ�ス�定愾蜉ア��邵コ�ヲ郢ァ繧�€迹夲スコ�ォ闔会ス」鬩・莉」�定ャセ�ッ隰�シ費ス冗クコ�ェ邵コ荳岩�邵コ�」邵コ貅伉€髦ェ�ス邵コ�ッ邵コ�ェ邵コ諛環ー

SOARを活用するための必要条件:SIEMとSOARの連携【後編】 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。