2023 年 6 月 23 日
近年では、業務環境の変化やサイバー攻撃の多様化によって、セキュリティ対策が複雑化しています。その一方で、対処できるセキュリティ人材の不足が問題となっており、従来のようにセキュリティ インシデント発生時に手動で影響範囲を調査し、対策を講じる運用方法は限界に近づいています。こうした問題を解決する方法として注目されているのが SOAR です。
今回は、SOAR が注目されている背景や、セキュリティ運用の自動化によるメリット、導入時のポイントについて解説します。
SOAR は、米国の調査会社ガートナーが提唱したセキュリティの概念です。
まずは、SOAR の概念や混同されやすい SIEM について解説します。
SOAR (Security Orchestration, Automation and Response) とは、セキュリティ運用の自動化および効率化を実現する技術です。
通常、企業では多くのセキュリティ製品が導入されており、各製品から上がってくるアラートを確認し、調査や解析を実施したうえでセキュリティ インシデントに対処します。また、新たなサイバー攻撃に対策するために、それぞれのセキュリティ製品が最新の脅威情報や脆弱性パッチ情報などを収集しています。
SOAR は、これらのセキュリティ運用に欠かせない製品や情報を 1 つに統合し、インシデント発生時の脅威判定や影響範囲の調査、トリアージなどの対応を自動化する技術です。
インシデントが発生した際には、複数のシステムで検知し分析された外部情報を連携 (Orchestration) して判断し、対応 (Response) を進めなければなりません。SOAR は、この一連のプロセスを自動化 (Automation) します。
SOAR と混同されやすい技術に SIEM (Security Information and Event Management) があります。それぞれの特徴は以下のとおりです。
どちらも手動では困難な幅広いログの収集が可能です。ただし、SOAR は収集したログから脅威を判定して初動対応まで自動化するしくみですが、SIEM はログの収集と分析までを行い、対処は含まれません。現在では、SIEM と SOAR の機能をセットにした製品も多くリリースされています。
SOAR が注目される背景には、「業務環境の変化」「サイバー攻撃の多様化」「セキュリティ人材の不足」があります。
新型コロナ ウイルスの流行により、多くの企業においてテレワークが急速に普及しました。それに伴い、悪意のある第三者によるフィッシング メールやマルウェア メール、VPN の脆弱性をねらった攻撃が増加しました。
情報処理推進機構 (IPA) が発表した「情報セキュリティ 10 大脅威 2023 (組織)」によると、2022 年に発生した、社会的に影響が大きかったと考えられる情報セキュリティ事案の 3 位に「テレワークなどのニュー ノーマルな働き方をねらった攻撃」が挙げられています。
さらに、クラウド利用の増加によって監視範囲が拡大し、セキュリティ運用に関連する業務が急増しました。
このような背景から、業務環境の変化によって増加したセキュリティ運用の負担を軽減できる SOAR が注目されています。
業務環境の変化によって、サイバー攻撃も多様化しています。従来のセキュリティ対策は、企業のセキュリティ担当者がシステムを監視し、不正アクセスやサイバー攻撃などのセキュリティ インシデントが発生した際は状況を分析して必要な対策を講じるのが一般的でした。
しかし、企業をねらったサイバー攻撃が巧妙化かつ高度化したことで、さまざまなセキュリティ対策製品の導入が必要となりました。また、リモート ワークが普及し業務環境が変化したため、これまで以上に標準型攻撃が増え、対処に時間がかかることも問題となっています。
SOAR でインシデント発生時の初動対応を自動化することにより、多様化するサイバー攻撃へ迅速に対応できます。
現在日本においては、高度なセキュリティ対策のスキルとノウハウを持ったセキュリティ人材が不足しています。総務省の「サイバー セキュリティ人材育成分科会」の調査によると、「専任の情報セキュリティ担当者がいる」と答えた中小企業はわずか 4% で、「兼任の担当者がいる」企業は 44% 程度です。
また、経済産業省の既存統計調査データを基に推計した「IT 人材の供給動向の予測」では、2030 年には約 80 万人規模で IT 人材の不足が生じると推計されています。
各種セキュリティ対策で取得するログが膨大となる中、対処できるセキュリティ人材は不足しており、手動でシステムを管理する運用方法は限界に近付いています。
SOAR の導入によってできることは以下のとおりです。
複数のセキュリティ製品からログ情報を収集して、サイバー攻撃の意図や傾向などを分析し、サイバー攻撃の脅威を判定します。未知の脆弱性を狙った攻撃に対しての情報も把握するため、サイバー攻撃を未然に防ぐことが可能です。
他の製品と連携してセキュリティ インシデントの影響範囲を調査できるため、作業漏れのリスクを解消できます。
事前にプレイブックと呼ばれるワークフローに、インシデントへの対応手順を登録することで、初動対応を自動化します。手動で行う作業量が大幅に削減するため、作業漏れや作業者ごとの品質のバラつきを解消できます。
SOAR には、インシデント発生時や脅威を検知した際に、対応優先度や復旧の手順などを適切に判断するトリアージ機能があります。情報収集および分析時に何を優先して対処すべきかが明確になるため、セキュリティ リスクにさらされる時間を最小限に抑えることが可能です。
中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載
SOAR を導入することで、企業は以下のようなメリットを得られます。
SOAR がログの収集から脅威判定、初動対応までを実施するため、セキュリティ担当者の負担を軽減できます。
従来のセキュリティ運用では、複数のセキュリティ インシデントが同時に発生した場合、対応優先順の特定や作業手順の確立など、インシデントごとに対応方法の検討が必要でした。SOAR では、プレイブックにインシデントへの対応手順を登録すれば初動対応を自動で実施するため、セキュリティ運用の効率化が見込めます。
セキュリティ インシデントの発生や対応状況などが同一プラットフォームに集約されるため、部門間の壁を超えて情報共有が可能です。関係者は常に最新のセキュリティ リスクを把握できます。
セキュリティ運用にかかる時間を短縮できることもメリットです。従来は、複数のセキュリティ製品からアラートを 1 つずつ確認し、原因の特定や対処を行っていました。SOAR を導入することで、人手を介さずにこの一連の流れを実施できます。新たに確保できた時間を、より専門的な対応に使えるでしょう。
SOAR を導入すれば、社内におけるセキュリティ運用の課題を共有しながら、セキュリティ運用の自動化および効率化を実現できます。しかし、SOAR は種類が豊富なため、どの製品を選ぶべきか迷う方も多いでしょう。
そこで、実際に SOAR を導入する際のポイントを解説します。
すべてのセキュリティ製品やシステムに SOAR が対応できるとは限りません。また、内部開発のセキュリティ ツールを連携したい場合は API を使って連携する必要があります。
まずは、現在運用しているセキュリティ製品やシステムを確認しましょう。
SOAR の特色は製品ごとに異なります。製品によっては、セキュリティ製品を連携してプレイブックを作成するために Perl、Python、Ruby のいずれかでスクリプトを作成する必要があります。そのため、社内の人材やスキルに合った SOAR プラットフォームを選ぶことが重要です。
製品やプラットフォームに応じて、SOAR にはさまざまな機能が実装されています。初めからすべての機能を網羅的に活用しようとせず、導入段階では一部の機能または範囲に限定して運用することが重要です。
SOAR の導入によって、新たなセキュリティの課題が見えてくる可能性もあります。それらを段階的に解決していくことで、自社に適した運用方法を見出せるでしょう。
Microsoft 社では、セキュリティ運用や自動化を実現する以下のようなソリューションを提供しています。
以下では、Microsoft Defender for Business の特徴や機能について紹介します。
Microsoft Defender for Business は、Microsoft 社が提供する中小企業向けのセキュリティ ソリューションです。セキュリティ運用の自動化を実現するための SOAR 機能の一部を提供します。具体的には以下のような機能があります。
上記の機能によりセキュリティ運用を自動化することで、セキュリティ担当者の作業効率化と負担軽減を図れます。
Microsoft Defender for Busines は、Microsoft 365 Business Premium に含まれています。Microsoft 365 Business Premium では、他にも「Microsoft Defender for Endpoint」などのセキュリティ ソリューションで高度な SOAR 機能を提供しています。
SOAR が注目されている背景や、導入するメリットとポイントについて解説しました。
業務環境の変化、サイバー攻撃の多様化、セキュリティ人材の不足といったセキュリティ運用の課題を解決する手段として、SOAR が注目されています。SOAR の概念やしくみを理解したうえで、自社に最適なソリューションを導入することが重要です。
ビジネスクラスの Microsoft 365 を導入している企業であれば、SOAR 機能を一部使える可能性があります。セキュリティ対策の一環として活用を検討してみてはいかがでしょうか。
リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。
これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。
Microsoft Defender for Business カタログ
Web フォームで購入相談
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。
