SOARは多くの処理を自動化し、セキュリティスタッフの工数を削減する。しかしSOARを活用するためには条件がある。
前編(SIEMを機能させるための必要条件)では、SIEMを機能させるための注意点とSIEMにSOARを加えるメリットについて解説した。後編では、SOARを活用するためにすべきポイントを紹介する。
ISACAの元社長で現在はIBMのジェイソン・ヤケンチェック氏(サイバーセキュリティおよびバイオメトリクスプラクティスのアソシエートパートナー)によると、SOARツールの実装はセキュリティ運用チームによる効果的なインシデント対応のための重要な能力になるという。
「セキュリティ侵害イベントは飛躍的に増加し続けている。自社を成功に導くには適切なコンポーネントが必要だ」(ヤケンチェック氏)
ウェナム氏と同様、ヤケンチェック氏もSOARツールを最大限に生かすにはSIEMが必要になると考えている。
この2つのセキュリティツールは、ますます高度化し、増え続ける脅威に対応するのに不可欠な補完機能を提供する。両者の違いと長所を理解して、それぞれをいつ、どのように実装するかを戦略的に決定することが重要だとヤケンチェック氏は語る。
「SIEMツールは、イベントデータを中央に集約して相互に関連付ける。これにより、独自のリスクプロファイルに基づいてルールセットやしきい値を構成し、最も有意義で高リスクなイベントのアラートのみを生成できる。SIEMツールは無数のデータを解析してノイズを減らし、詳細な調査と対応が必要なサブセットだけにフィルターをかける」
「SIEMはセキュリティプログラムには絶対欠かせないものだ。他のツールを統合し、インシデント対応能力を次のレベルに高めるための基礎となる」(ヤケンチェック氏)
リソースに限りがあるセキュリティチームは、SOARの自動化機能の強化によって対応できるイベント量を拡張できる。これまで手作業でしていた構成の更新やルールの変更などを、SOARは特定のイベントタイプに応じて部分的または完全に自動化して実行できるとヤケンチェック氏は言う。
SOARからメリットを最大限に引き出すには、SIEMツールを導入して適切にチューニングしてからSOARを実装することをヤケンチェック氏は推奨する。この手順でイベントの集約と相関分析を行うことで、セキュリティ侵害イベントに基づいて自動対応するSOARのメカニズムを利用する手段がもたらされるという。
「SOARをSIEMなしで実装しても、一部サイロ化された自動化が実行される可能性はある。だが、SIEMから生成される追加のイベントコンテキストは失われる。SIEMがなければ、SOARツールを実装することで得られるメリットの全ては実現しない」と同氏は注意を促す。
アプリケーションとITインフラの徹底的な監視は、強力なITセキュリティを確保する鍵となる。だが、監視によって得られるデータを使って疑わしいアクティビティーを特定するには徹底的な分析が必要だ。SIEMを土台にSOARを構築すれば、セキュリティプログラムの運用効率を次のレベルに引き上げることができる。
とはいえ技術だけでは組織を変革することはできない。「技術は効率を高める導管としてのみ機能し、チームが少ない労力で多くのことを実行できるようにする」(ヤケンチェック氏)
Gartnerによると、セキュリティチームに5人以上のスタッフを抱える組織の30%が2022年末までにセキュリティ運用にSOARツールを使用するようになるという。この比率は2019年時点では5%だった。これは驚くべき急成長だ。ただし、SOARの実装とデプロイを正当化できない小規模ITチームもあるかもしれない。
セキュリティツールは計り知れないメリットを提供する可能性がある。だが適切な計画と運用体制がなければ、全てのメリットを享受できない恐れがある。セキュリティの優れた洞察が得られる可能性は、進化する脅威に対応して機密データを保護するためのオーケストレーションと自動化と合わせてITセキュリティが最終的に進む方向になるのかもしれない。
SOARへの投資を最大限に活用するために、IBMのヤケンチェック氏は以下の検討を推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。