「SOAR」導入はなぜ失敗する？ 知っておくべき“成否の分け目”：似て非なるSIEMとSOAR【後編】

インシデント対処の自動化を支援する「SOAR」の導入の成否を分けるのは、ツールの性能ではなく、企業の「成熟度」にある。自社がSOARを使いこなせるかどうかの見極め方と、使いこなすためのポイントとは。

[Cliff Saran，TechTarget]

　ログを監視するSIEM（Security Information and Event Management）などのセキュリティツールが発するアラートは、必ずしも正確ではない。サイバー攻撃の巧妙化と相まって、セキュリティ運用担当者やSOC（Security Operation Center）のアナリストは、日々膨大なデータに追われている。この課題に対し、インシデント対処を自動化するSOAR（Security Orchestration, Automation and Response）は強力な武器になり得る。ただしツールの性能を過信し、自社のニーズやセキュリティ運用体制を見誤ると、投資が失敗に終わりかねない。

　SOCアナリストを救い、SOARを“宝の持ち腐れ”にしないために考慮すべき点は何か。SOARの導入タイミングやSIEMとの使い分け方、導入を成功させるための条件を解説する。

SOARを導入すべき企業とは？

併せて読みたいお薦め記事

連載：似て非なるSIEMとSOAR

• 前編：「SIEM」と「SOAR」は何が違う？　“アラート疲れ”から抜け出す一手

セキュリティツールの選び方

• 「SIEM」「SOAR」「XDR」は何が違う？　自社に合うツールを選ぶ10ステップ
• いまさら聞けない「SIEM」「SOAR」「XDR」の役割と活用シーン

　セキュリティコンサルティング企業Turnkey Consultingでアプリケーションおよびサイバーセキュリティ担当ディレクターを務めるトム・ベナブルズ氏は、まずSIEMで十分な利用シーンについて言及する。監視対象のアプリケーションやネットワークの範囲が限定的であったり、レポート作成が主な目的であったりする企業であれば、SIEM単体で事足りる場合がほとんどだという。

　一方で、検出したイベントに応じてアクションを自動実行する必要がある場合や、毎回同じ手順での対処が求められる場合には、SOARが欠かせないとベナブルズ氏は考える。例えば、あるマシンが普段とは異なるサーバと突然通信を始めた場合、SOARはそのマシンを基幹システムから隔離したり、脅威の性質に応じて特定の通信ポートを無効化したりといった対処を自動で実行できる。

　全てのアラートを監視し、定められた時間内に対処する余裕がなければ、インシデントを迅速に食い止めることは難しい。自動化は、人員や予算などのリソースが限られたSOCを、そうした時間的制約から解放し、本来注力すべきインシデントの修復や詳細分析に専念できる体制の実現を後押しする。

　SOARを正しく導入すれば、企業が運用する複数のセキュリティツールから情報を集約し、脅威インテリジェンスやSIEM、エンドユーザーとシステムの異常な行動を検出するUEBA（User and Entity Behavior Analytics）などのツールと連携できるようになる。「これによって、従来はSOCアナリストが数時間を要していた侵害の痕跡の特定を、自動で瞬時に実行できるようになる」とベナブルズ氏は解説する。

　このようにさまざまなセキュリティ情報を集約することで、SOARは人間が異常に気付く前に、悪意のある振る舞いを阻止できる。ベナブルズ氏は、「ツール同士が緊密に連携した自動化は、SOCアナリストが誤検知の対処に追われる時間を減らし、貴重な時間を守ることに貢献する」と、その利点を強調する。

　SOARによる自動化には複数の利点がある一方で、ベナブルズ氏はSIEMが企業内で果たすべき役割は依然として大きいと主張する。SIEMはイベントデータやログデータを収集してSOARのデータ源になるだけではなく、強力なデータ処理能力を他の業務に応用することもできる。同氏はその例として、IT部門のヘルプデスクに寄せられる問い合わせや障害情報の分析、リアルタイムで更新するKPI（重要業績評価指標）ダッシュボード、複数のシステムを横断したコンプライアンス（法令順守）やリスクの報告を挙げる。

　多忙なヘルプデスクで、人間が全てのインシデントをトリアージ（優先順位付け）して、根本的な原因やより大きな問題の兆候を見つけ出すのは困難だ。「強力なSIEMは、インシデントデータに潜む傾向を迅速に捉え、他のデータと関連付けて分析することで、注意を払うべき事象の根拠を明示する」とベナブルズ氏は語る。

いつ投資に踏み切るべきか

　ベナブルズ氏は投資の決定について、企業全体や既存のセキュリティプロセスに基づいて実施することを推奨する。例えばNIST（米国国立標準技術研究所）の「Cybersecurity Framework」は、サイバーセキュリティ対策を「特定」「防御」「検出」「対処」「復旧」の5段階で定義している。「特定および防御の有効性や効率性を測るにはSIEMが、検出と対処の強化はSOARが担う領域だ」と同氏は言う。

　ベナブルズ氏の経験では、SOCチームの業務内容や作業負荷もツール導入の判断材料になる。もしSOCチームがSIEMのアラートの調査や対処に業務時間の大半を費やしているのであれば、セキュリティの意思決定者はSOARの導入を検討すべきだと同氏は説明する。

　一方で、意味のある情報の抽出に苦労している、処理すべきデータが多過ぎる、大量の誤検知に悩まされている、インシデント管理プロセス自体が未定義であるといった問題を抱えている企業は、SIEMの機能や関連プロセスを強化する方が賢明だとベナブルズ氏は付け加える。調査会社Gartnerも、SOAR導入の主な障壁が「セキュリティ運用チームにおけるプロセス自体の欠如や未熟さ」にあると指摘している。

設定作業も重要

　航空会社Airbusのサイバーセキュリティ部門でCTO（最高技術責任者）を務めるパディー・フランシス氏は、SOARの導入には大掛かりな設定作業が伴うことについて、次のように言及する。「初期設定のままでは不十分であり、プレイブック（インシデントの検出から封じ込めに至るまでの判断や対処手順をまとめたもの）に合わせてワークフローを調整する必要がある。SOARが自動で手順を生み出すわけではない」

　企業は自社のシステムに応じて、ファイアウォールやDNS（ドメインネームシステム）サーバ、プロキシなどを再設定したり、ホストを隔離したりする方法を、SOARに学習させる必要がある。「そうした初期設定は必要ではあるが、長期的に見れば、SOARはSOCアナリストの作業を減らし、より迅速なインシデント対処を実現する」とフランシス氏は語る。

　セキュリティ製品の導入が成功するかどうかは、企業が自社の現状を分析し、脅威やリスクの状況をいかに正しく理解しているかにかかっている。ベナブルズ氏はセキュリティ専門家に対し、自動化と手作業の長所と短所を比較検討し、どこにどれだけの価値を置くのかを見極めるよう促す。

　「自社の要件を正しく見極めれば、不要な機能への投資は避けられる。単一ベンダーの総合的なセキュリティ製品では機能面で妥協しなければいけない場合もあるが、分野ごとに最適なツールを選べば、各領域で高度な対策を実現できる見込みがある」（ベナブルズ氏）