企業活動の中で多く利用されているITシステム。その環境は従来からあるデータセンタに加え、クラウド環境のサービスを利用したもの、また 働き方改革 や、 新型コロナウィルス感染症 の拡大を防ぐ対策としての テレワーク 化など、システムの活用範囲が広がるにつれ複雑なものとなっています。
そして、そのシステムを狙うサイバー攻撃もまた同様に複雑化且つ巧妙化しています。
その対策として、守るシステムに合わせた様々なセキュリティ機器や製品を導入していると思います。
それに対応するセキュリティ担当者達。その対応は煩雑且つ複雑なものとなってきています。
そこで近年、注目をあびている「 SOAR 」について、どういうものなのか確認していきます。
SOAR は、米国の調査会社Gartner社により、「Security Orchestration, Automation and Response」の頭文字を取って概念づけられた用語です。
SOAR は、文字通り以下3つの要素で構成されています。
セキュリティ統合として、守る目的別に導入されている様々なセキュリティ機器、製品にて検知されたセキュリティイベント、公開される脅威情報やパッチ情報等、それぞれを収取し、予め定義されたワークフロー(プレイブック)に照らしわせて実行するタスクを決定します。
文字通り自動化として、 セキュリティイベントが誤検知であるか否かの判断、対応優先度付けや、セキュリティインシデントの対応方法決定者への承認依頼、その対応(セキュリティ機器の設定更新など)の実行など、これまでセキュリティエンジニアが対応していた一定の作業を自動化します。
セキュリティイベント、インシデントを管理するチケットの発行、対応記録や、ダッシュボードやレポート作成により可視化し、調査を容易なものとします。
SOAR を構成する3つの要素を重ね合わせることで、セキュリティ運用の効率化と、より速い対応を実現することが出来ます。
一つの例として「Security Orchestration」として、プレイブックにより決定された対応タスクとそのフロー、そのプレイブックに合致するセキュリティイベントの対応を、実行と設定することで対応までを自動 「Automation」 で実行させることも可能となります。
又、「Response」として、プレイブックにて定義されているものをチャートとして表示することも可能となり、各工程などで承認をすることで、処理を進めるということも可能になります。
IT要件の複雑化と共に様々なセキュリティイベントが発生し、加えてサイバー攻撃は進化し続けています。
そしてそれらを対応する為、セキュリティエンジニアを増やすなど対応も行っていたと思います。
しかし、エンジニアそれぞれの知識、技術による格差なども発生し、俗人化しているところなどもあるのではないでしょうか。
こういった状況から、セキュリティ運用は下記課題に直面しています。これらを解決するのに有効なのが SOAR になります。
● 多様なセキュリティ機器、製品からくるセキュリティイベントの調査など、運用業務の増加により、対応が遅れることもあるかと思います。
SOAR により、対応優先度を自動でつけ対応することで、優先度の高いインシデントから早く対応が可能になります。
● 運用業務が増加するものの対応できる運用人財は不足し、一人で対応する業務も増え煩雑になり、正しい対応ができないということもあるかと思います。
SOAR ではプレイブックで定義されたイベントを自動で対応することも可能であり、これまで運用担当者が実施していた作業を削減することも可能となります。
● 運用者の技術格差により、対応速度の違いや、対応可能な一人の運用者にすべてが集中するなんてこともあるかと思います。
プレイブックで対応方針が確定でき、それぞれをチャートで確認するなどで、対応が簡素かされることで知識、技術の共有化が可能となります。
セキュリティ運用の課題を解決する為、SOAR を活用することが必要なことは明らかだと思います。
今では SOAR 製品も存在しています。セキュリティ運用の効率化、そしてその効果を可視化する SOAR 製品の導入は今後広まりを見せるのではないでしょうか。
しかし、こうした SOAR を用いたセキュリティ対策、それには高いコストがかかることも多くあります。
その為、セキュリティ対策になかなか投資ができない企業もあるかと思います。
そんな中で、セキュリティ機器や製品を導入するだけで対応しようという考えもありますが、そこで出来ることには限界があります。ITが進化するにつれ、サイバー攻撃も進化し、その対応の為、それなったセキュリティ機器を導入することは必要です。さらにその機器を正しく運用できないことにはその効果も発揮できず、コストに見合った成果が得られないということも多いと思います。
その為、セキュリティ運用は専門企業へ委託することをお勧めします。
そしてセキュリティ専門企業は、当然のことながら、こうした効率化する概念、ソリューションを常に導入し、実現し、各企業で利用しやすいサービス価格で提供することが、必要になるのではないでしょうか。
[blogcard url=” http://cyberfortress.jp/contact/ “]
Written by CYBERFORTRESS, INC.
Tweet