SOARとは

SOAR（セキュリティのオーケストレーション、自動化と対応 ） は、組織のサイバーセキュリティポスチャを強化するために開発されたソフトウェアプログラムの集合体です。SOARプラットフォームを利用することで、セキュリティアナリストチームは、セキュリティ情報および管理システム、脅威インテリジェンスプラットフォームといったさまざまなソースからのセキュリティデータをモニタリングできるようになります。

SOARプラットフォームを使用することで、セキュリティチームは効率を向上させて、対応時間を改善することができます。脅威情報を収集し、日常的な対応を自動化して、より複雑な脅威をトリアージすることで、人の介入の必要性を最小限に抑えます。

SOARの目標は何か

Gartnerが提唱したSOARという用語には、脅威および脆弱性管理、セキュリティインシデント対応、セキュリティ運用の自動化という、3つのソフトウェア機能が含まれています。SOARプラットフォームの全体的な目標は、脅威に関連するデータを収集し、脅威への対応を自動化することです。

SOARソリューションでは、人間による手動での介入と機械学習テクノロジーの両方を活用して、受信したセキュリティデータを分析し、インシデント対応アクションに優先順位を付けます。

SOARの1つ目の要素は、セキュリティのオーケストレーションです。これは、セキュリティツールが連携しながら、互いに通信できるようにすることで、セキュリティプロセスを合理化します。このデータを1か所に集めることで、一元化されたセキュリティ対応が可能になります。

2つ目の要素である自動化では、人間の介入なしでタスクが実行されます。最後の要素である対応は、セキュリティチームが自動化された対応または人間による介入のいずれかによって、脅威を無効化できるようにします。

SOARの主な機能

SOARソリューションは、インシデント対応業務に優先順位を付けて標準化することで、複数のセキュリティチームが協力してインシデントを調査し、管理できるようにします。自動化によって処理できるワークフローは、プレイブックで定義された、標準化された対応プロセスに従います。

SOARプラットフォームはベンダーによって異なりますが、すべて次の主要機能を備えている必要があります。

• オーケストレーション：SOARソリューションによって、ファイアウォールや侵入検知ツールといった、セキュリティツールや生産性ツール間の接続が容易になります。
• 自動化：SOARソリューションは、セキュリティアラートや侵入の可能性の特定といった、標準のサイバーセキュリティワークフローを自動化できます。
• 対応：SOARプラットフォームは、自動化されたプロセスと手動プロセスの両方と連携して、セキュリティの脅威に適切なタイミングで対応できるようにします。
• 統合：SOARプラットフォームは、さまざまな補完的なセキュリティ製品と連携して、組織の全般的なセキュリティポスチャを支えます。

SOARツールを使用する理由

セキュリティチームは、マルウェアやフィッシングなどの大量の脅威に日常的に立ち向かっています。米国労働省の副CIOであるLou CharlierがFedTechに語ったところによれば、同省では毎月7,700万件のEメールをブロックしているとのことです。

サイバーセキュリティの自動化は、この絶え間なく襲ってくる脅威を管理するために重要です。機械学習プラットフォームは、過去のデータから学習し、独立して動作して、人間のリソースが自動化できないタスクに対処できるようにすることで、インシデント対応を改善できます。

SOARツールは、脅威が発生する前に予測することによっても、インシデント対応を改善します。ネットワーク上のスマートデバイスの数が増加するにつれ、ハッカーのエントリポイントも増えています。

サイバーレジリエンスが高い銀行などの機関は、SOARシステムを使用して、個々のデバイスからのデータを取り込み、エクスプロイトが発生する前に、潜在的なセキュリティの脅威に迅速に対応しています。

SOARツールを使用すべき状況

SOARソリューションを検討する前に、組織の全般的なセキュリティポスチャを確認することが重要です。組織はまず、標準化されたプレイブックと対応ワークフローのライブラリを備えた、堅牢なセキュリティ運用を確立する必要があります。

セキュリティ運用が完全に確立されたら、SOARなどの高度なセキュリティツールを使用して、確立したセキュリティプロセスを自動化することを検討できます。

SOARとSIEM（セキュリティ情報およびイベント管理）の関係とは

SIEM（セキュリティ情報およびイベント管理） ソフトウェアは、組織からログデータを収集し、そのログデータを使用してインシデントおよびイベントを特定、分類、分析します。

SIEMソフトウェアには、次の2つの主な目標があります。

• セキュリティインシデントおよびイベントを報告する。ソフトウェアは、失敗したログインやマルウェアアクティビティといったイベントデータを含むレポートを提供できます。
• 潜在的なセキュリティの問題に関するアラートを送信する。ソフトウェアは、設定されたパラメータを使用して、イベントが潜在的なセキュリティの問題かどうかを判別できます。

SOARとSIEMの違い

SOARソリューションとSIEMソリューションは、セキュリティ運用において異なる役割を担います。SIEMソフトウェアソリューションの唯一の目的は、アラートを収集して、調査のためにセキュリティ担当者に送信することです。

SOARツールは、セキュリティの問題に関するデータを使用して対応を自動化します。またSOARでは人工知能を使用して、将来の同様の脅威を予測して対応します。

SOARとSIEMの併用

セキュリティ担当者の多くが、SOARツールとSIEMツールの両方を使用しています。これら2つのプラットフォームは補完的であり、セキュリティ運用全体で連携できます。

これらの関係は、アシスタントとマネージャーのようなものです。SIEMソリューションは、ログを収集して相関付けし、アラートとしての要件を満たすログを特定します。これは、SOARプラットフォームにはない、ログリポジトリと分析機能を備えています。

SOARプラットフォームとSIEMプラットフォームを併用する場合、SOARがSIEMからデータを受け取り、解決を主導します。SOARは、セキュリティチームが関連情報を収集してアラートに対応するための中心的な場所として機能します。

SOARがない場合、セキュリティチームはSIEM外部のさまざまなインターフェースを使用しなければなりません。SOARとSIEMを併用すれば、これらのプラットフォームが連携して、詳しい調査を行って解決する必要があるアラートはどれかを知らせてくれるので、セキュリティチームは効率的に対応を行えます。

SOARと他の製品

セキュリティチームがSOARとSIEMを併用することでメリットを得られるのと同様に、他のセキュリティ製品もSOARの機能を基盤に構築できます。例えば、専用の脅威インテリジェンスプラットフォームを使用して、SOARソリューションの脅威調査機能を強化することを考えてみましょう。

脅威インテリジェンスプラットフォームは、複数のソースから脅威データを収集して処理するソリューションです。既知のマルウェアなどの脅威に関する詳細な情報をセキュリティチームに提供します。SOARプラットフォームは、脅威インテリジェンスプラットフォームからの情報を使用して、重大な脅威に対して必要な戦略と解決策を導くことができます。

SOARの独自の機能とは

要約すると、SOARプラットフォームには、次の4つの独自の機能があります。

• プレイブックと自動化：SOARは、セキュリティの自動化とプレイブックの使用を通じて、セキュリティチームが収集したデータを使用して運用を効率化するのに役立ちます。
• 脅威の優先順位付け：SOARは、セキュリティチームがアラートに優先順位を付けてグループ化し、脅威検知と調査をより効率的に行うのに役立ちます。
• レポート作成と分析：SOARプラットフォームは、セキュリティチームが組織の傾向を特定するのに役立つレポートを生成できます。
• セキュリティダッシュボード：SOARプラットフォームは、セキュリティチームが協力してアラートをモニタリングし、対応するための中央ダッシュボードとして機能します。

次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください

SIEMとログ管理のための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon^®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。