SOAR(Security Orchestration, Automation and Response)とは、サイバー攻撃のインシデント対応やセキュリティ運用を自動化する機能やソリューションのことです。 ベンダーがあらかじめ設定したルールや、ユーザが定義したプレイブックを基に、一定の条件が満たされた際の作業プロセスを自動的に処理し、運用者の業務負荷を削減します。
SOARは、ベンダーがあらかじめ設定したルールや、ユーザが定義したプレイブック(一定の条件が満たされたときに、スクリプト上で規定されたアクションを実行する一連のフローのリスト)に基づいて、処理を行います。あらかじめ想定された状況とそれに対する処理を自動で行うことで、セキュリティ運用者を支援します。例えば、重要な情報が保存されたサーバに対して、一定期間内に不特定多数の通信が発生した際に通信を遮断する。また、マルウェアの感染やコマンド&コントロール(C&C)サーバへのアクセスが発生している端末を隔離ネットワークに遮断するなどの対応を自動的に行います。
SOARが必要となった背景には、「サイバー攻撃の兆候を見つけた際、即座に対応する必要がある」、「セキュリティ運用者の業務負荷が増加している」ことなどが挙げられます。
・サイバー攻撃の兆候を見つけた際、即座に対応する必要がある
サイバー攻撃は24時間365日、いつ行われるかわかりません。サイバー攻撃の兆候を監視するSOCを持つ法人組織もありますが、兆候があった際に、自動的に対処する方がセキュリティ上も、運用上も望ましいと言えます。例えば、既知のマルウェア感染やコマンド&コントロール(C&C)サーバへのアクセスが発生している端末を隔離ネットワークに遮断するといったことを基本方針とすれば、その後、脅威が法人組織内に拡散される懸念を抑えることが出来ます。それ以外にも、過去に行われた自社に対するサイバー攻撃の兆候などからプレイブックを作成しておき、自動化することで、サイバー攻撃をより迅速に防ぐことができます。
・セキュリティ運用者の業務負荷が増加している
トレンドマイクロの調査では、1000台のデバイスからわずか7日間で12.5億ものログが収集されます※1。しかし、この中には他社や同業界に行われたサイバー攻撃に近しいものや、過去に自社に対して行われたサイバー攻撃に類似するものも存在します。例えば、マルウェアに感染するエンドポイントが約1か月に10台程度見つかった場合、その都度対応方針を決めたり、対応したりすると、セキュリティ運用者の手間がかかってしまいます。最初の数回を踏まえて、それ以降のインシデントは対応を自動化することで、セキュリティ運用者の業務負荷を抑制できます。
※1 トレンドマイクロで検証した1,000デバイス/7日間のサンプルデータから算出。
こうした背景から、今あるリソースでセキュリティ運用を効率化することをどう支援するか?に着目して登場した技術が、SOARです。
SIEMは、PC、サーバ、プロキシ、ファイアウォール、セキュリティ対策製品などのログやイベントを集約し、意味あるものとして可視化するための製品です。SOARは、SIEMで収集した情報などをもとに、あらかじめ設定したルールに基づき、ある特定の動作(一定時間内に特定のサーバに対して多数のアクセスがあるなど)が発生した際、自動的に対処を行う製品です。XDRは、サイバー攻撃の事後対処として、脅威がユーザ環境に万が一侵入した際に、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う製品です。膨大なログ情報を機械的に処理してノイズを除去し、真に対応が必要なアラートのみを抽出することで近年、注目を集めています。
SOARは、スクリプトの設定に関する細かい条件設定や、API連携できる製品・サービスが幅広く、経験豊富なセキュリティ運用者が継続的に設定をメンテナンスできる環境が整っているケースでは効果を発揮できるでしょう。XDRの中にはSOARと連携できるものもありますので、サイバー攻撃の検知に関する専門性をXDRで補いつつ、SOARで幅広い製品と連携し、対応を自動化するという使い方もあるでしょう。