セキュリティのトレンドをモノにしよう！ ～今日から使えるセキュリティ運用の知識三部作③「SOAR」～

セキュリティのトレンドをモノにしよう！
～今日から使えるセキュリティ運用の知識三部作③「SOAR」～

CISO事業部　長浜 弘和

はじめに

皆さんこんにちは！CISO事業部の長浜です。

今日から使えるセキュリティ運用の知識三部作、今回はいよいよ最終回！
満を持して、私が担当しているソリューションである『SOAR』についてお話ししたいと思います。
今回の話は主にSOC（Security Operation Center）に関わっている方に向けた話となりますが、そうでない方でもためになる話をしたいと思います。

第1部、第2部については以下のリンクからどうぞ。

＜インサイト記事「②「MDR」＞

＜インサイト記事「①「マネージドSIEMサービス」＞

SOARの話に入る前に、まずはSOCの話からしましょう。
多くの組織は24時間365日体制で自組織のセキュリティ上の問題に対処するためのSOCを設置しています。
そして、SOCには自組織のセキュリティ人材やリソースを考慮して、自組織でSOCを構築する場合とアウトソーシングする場合の2種類あります。

しかし、昨今のSOC運用の現場では、様々な課題を抱えています。

• 少ない人手で数多くのアラート対応をこなす必要があり、現場が疲弊している
• 各セキュリティ製品が他の製品と連携できず独立する事で、複数のタブやUIを行き来している
• 高度化する脅威や攻撃に対して対応手順をアップデートする余裕がない
• 対応手順が属人化かつ職人化し、キーマンが退職すると業務を継続できない
• 時間に追われ、本来のインシデント分析業務が出来ていない

また、同様に経営層も様々な課題を抱えています。

• 現場の対応状況が不透明でSOCに対する投資対効果が見えない
• 重大なインシデント発生時に迅速な対応ができるか不安

このような課題を解決するために、SOARソリューションを活用するSOCが増えています。
以上を踏まえて、いよいよSOARについて触れていきましょう。

SOARとは？

それでは第3部、『SOAR』についてご紹介したいと思います。

まずSOARとはSecurity Orchestration, Automation and Responseの略称であり、インシデント対応・オーケストレーションと自動化・脅威インテリジェンス管理機能を一つのプラットフォームに統合したものです。
簡単に言うと、あらゆるセキュリティソリューションをSOARと連携させて、プレイブックと呼ばれるインシデント対応プロセスに沿ってインシデントの調査や分析を効率化・高度化するというものです。

「オーケストレーションって何？」「プレイブックってどういうもの？」という質問をよく受けるのですが、その言葉の通りオーケストラをイメージしてみるとわかりやすいと思います。

オーケストラの指揮者＝SOARプラットフォーム、

指揮者が持っているフルスコア（全てのパートがまとめて書かれている譜面）＝プレイブック、

各演奏者＝あらゆるセキュリティソリューション

と考えてみて下さい。

指揮者はフルスコアをもとに指揮棒を振り、各演奏者に指示を飛ばします。
それに従って各演奏者は自分のパートを演奏することで、1つの曲を演奏出来ますよね。 

つまり、
あらゆるセキュリティソリューションをSOARと連携させて＝指揮者が各演奏者の中核となって指示を飛ばす
プレイブックと呼ばれるインシデント対応プロセスに沿って＝譜面に沿って各パートが演奏する
インシデントの調査や分析を効率化・高度化する＝1つの曲を演奏出来る

ここの「指揮者が各演奏者の中核となって指示を飛ばす」という状態こそがオーケストレーションという事になります。

何となくイメージ出来たでしょうか？

基本的にSOARソリューションというのは、上記に加えてインシデント管理や脅威情報管理のプラットフォームがあるものを指します。
これらの機能をフル活用する事で、SOC運用の大半を効率化・高度化してくれるのがSOARです。

SOARは変わり続けている

そんなSOARですが、実は考え方やあり方は少しずつ変化し続けてきています。

そもそもSOARは2015年に誕生したものですが、当時は「Security Operation, Analytics and Reporting」の略とされていました。
つまりインシデント管理と分析の為のソリューションであり、本来オーケストレーションや自動化といった考え方はありませんでした。
そこから運用の利便性や効率を上げる為に様々な機能を追加する形で進化し、2017年に改めて現在の形「Security Orchestration, Automation and Response」と定義されたのです。

図4. SOARの変遷

私はよく「SOARって自動化ツールでしょ？」という意見を耳にします。

これには異を唱えたいと思います。

確かに自動化機能はありますが、それはあくまでセキュリティ運用を効率化・高度化するという目的を達成するための手段に過ぎません。
インシデント管理プラットフォームというベースの上に、調査対応を効率化するための自動化機能があるといった形です。
私の経験上、最初から自動化目的でSOARを導入しようとするとうまくいかないパターンが多いです。

しかしながら、昨今ではSOARのあり方が更に変わってきています。
様々なSIEMやXDRにオーケストレーションと自動化の機能が組み込まれるようになり、それらはしばしば「SOAR機能がある」と言われています。
これは2020年頃から様々なSOARベンダーの買収が盛んに行われ（表1参照）、その技術が既存のセキュリティ製品に統合された事による結果であると考えられます。
これにより単独ソリューションであるSOARに対する関心が薄まりつつある...というのが昨今のSOARの実態です。

2019年2月	Palo Alto NetworksがDemistoを買収
2020年1月	FireEyeがCloudvisoryを買収
2020年3月	FortinetがCyberSponseを買収
2020年4月	SwimlaneがSyncurityを買収
2020年7月	Micro FocusがATAR Labsを買収
2021年3月	Sumo LogicがDFLabsを買収
2021年9月	LogpointがSecBIを買収
2021年12月	SentinelOneとTorqが合併
2022年1月	GoogleがSiemplifyを買収
2022年9月	DevoがLogicHubを買収
2022年8月	Open TextがMicro Focusを買収
2023年2月	Trend MicroがAnlyzを買収

表1. SOARベンダーの買収状況

SOAR導入に際して考慮すべきこと

確かに既存製品に組み込まれたオーケストレーションと自動化機能で自組織内のセキュリティ運用が賄えるのであれば、単独ソリューションであるSOARは必要ないかもしれません。
例えば自組織のSOCが未成熟である場合やSOCをアウトソーシングしている場合はそのような形に落ち着くでしょう。

ですが、あくまで自動化は手段にすぎない事を忘れてはいけません。

つまり、オーケストレーションと自動化が組み込まれているだけではSOARの要件を完全には満たしていないので、機能面や拡張性では単独ソリューションであるSOARの方に分があります。
単独ソリューションであるSOARは、ベンダーの垣根を越えた統合プラットフォームがあるため幅広いセキュリティ製品の連携が可能であり、他にも脅威情報管理機能や様々なセキュリティ運用を効率化する機能により、セキュリティ運用を更に高度化する事が期待されます。

そのため、成熟したSOCが構築出来ている組織や、SOCのマネージドサービスを行うMSSP（Managed Security Service Provider）などは単独ソリューションであるSOARの導入を検討してみると良いでしょう。
最初の作り込みに時間をかける必要はありますが、結果的にSOARは前段で挙げた課題を解決し、SOC運用の大半を効率化・高度化してくれる救世主になってくれます。

おわりに

以上がSOARについてのご紹介でした。

そして『今日から使えるセキュリティ運用の知識三部作』の連載はこれにて完結となります！
この三部作を読んでセキュリティのトレンドをモノにして、自社のセキュリティ対策強化に繋げていきましょう。

最後までお読み頂きありがとうございました！

そして弊社では今回ご紹介したSOARソリューションであるCortex XSOARの導入・運用支援サービスを提供しています。
是非下記リンクよりサービス内容をご覧頂き、もしご興味がありましたらリンク先のお問い合わせフォームにてご連絡下さい！

Cortex XSOAR導入・運用支援サービス │セキュリティソリューション導入支援│CISOサービス｜サービス一覧｜DX戦略・セキュリティコンサルのアイディルートコンサルティング株式会社 (daj.jp)

【プロフィール】

執筆者：長浜 弘和（ながはま ひろかず）

2020年にアイディルートコンサルティング株式会社（IDR）の前身であるデジタルアーツコンサルティング株式会社に中途入社。国内有数のSOARエンジニアとしてSOAR導入/運用支援プロジェクトに多数従事し、様々なセキュリティソリューションと連携したPlayBookを作成。また、SOARソリューションの有識者としてセキュリティセミナーにも登壇。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。