開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2019/10/15

SOARとは何か? SOCが「インシデント対応」に注力するための“ツールと組織”を解説

年々、サイバー攻撃が凶悪化する中、その被害を食い止める専任組織であるSOC(Security Operation Center:セキュリティ監視センター)を配置する企業も増加している。ただし、SOCが成果を上げるには、自社に合致したセキュリティ確保のプロセスを適切に運用する必要がある。これに合致するセキュリティ体制が「SOAR(Security Orchestration、Automation and Response)」だ。ガートナーでバイス プレジデント アナリストを務めるジェレミー・ドゥエン氏が、SOARの解説とSOCの活動で成果を上げるためのポイントを指南する。

画像
SOCにはどんな環境が必要か?
(Photo/Getty Images)


SOCにはどんなセキュリティツールの選択肢があるか

 巧妙さを増すサイバー攻撃のいち早い察知と対策に向け、SOCを配置してセキュリティ対策の高度化を目指す企業が増加している。それに伴い、作業を支援する分析/監視ツールも急速に多様化している。たとえば、以下のようなツールだ。

SIEM:Security Information and Event Management(セキュリティ情報およびイベント管理)
UEBA:User and Entity Behavior Analytics(ユーザーおよびエンティティ振る舞い分析)
EDR:Endpoint Detection and Response(エンドポイント検出対応)
NTA:Network Traffic Analysis(ネットワークトラフィック分析)
CASB:Cloud Access Security Broker(クラウド関連のセキュリティ対策)

photo
ガートナー 
バイス プレジデント、アナリスト
ジェレミー・ドゥエン氏
 ただし、「それらを適切に利用できている企業は決して多くない」と指摘するのは、ガートナーでバイス プレジデント アナリストを務めるジェレミー・ドゥエン氏だ。その根本的な原因として同氏が挙げるのが「セキュリティ要件の見極めの不十分さ」である。

「セキュリティの弱点は企業ごとに千差万別です。同様に、SOCで達成したいセキュリティ水準やSOCの体制/スキルレベルも企業ごとに異なります。にもかかわらず、セキュリティ強化を急ぐあまり、ツールの理解が乏しいまま、やみくもに導入を進めている企業が多いのです。これでは、機能とニーズに乖離が生じるのも無理からぬことです」(ドゥエン氏)

SOCに最適なセキュリティツールの選び方

 では、ツールの真価を発揮するには、どのように導入を進めるべきか。第一歩としてドゥエン氏が推奨するのが、SOCの現状把握だ。

 具体的には、「目標」「人材」「プロセス」「ツール」の観点から、SOCで何を、どれほどの水準で保護したいのか。さらに、そのための現状の知識や経験、人材、ツールなどが用意されているかを突き止める。

 そこで、ツールの導入や強化が不可欠と判断されて、初めてツールの検討に取り掛かるわけだ。これにより、不必要なツール導入は必然的に回避される。

 ドゥエン氏によれば、そこでのツールの検討は「攻撃検知のタイミング」と「監視対象」の2軸から検討する必要があるという。

 攻撃の検知はできる限り早いほうが望ましい一方で攻撃検知後、過去にさかのぼっての被害確認も重要だ。また、攻撃手法の多様化により、保護すべき対象もネットワークからエンドポイントまで広がっている。

「そこで、それらの要求への対応度を前述の2軸の観点で評価します。無論、1つのツールですべてをカバーすることは不可能であり、リアルタイムの検知機能を備えた『検知』ツールと、インシデント対応やフォレンジック分析(ファイルやログなどから攻撃の証跡を分析すること)の機能を備えた『保護』ツールを組み合わせて対応することになります。対策では検知が注目されがちですが、被害をくり返さないためには保護も同様に重要です」(ドゥエン氏)

 ドゥエン氏がツール選定の指針として提示したのが、ツールごとの機能を上記に示した「攻撃検知のタイミング」と「監視対象」という2軸のマトリクス図だ。

画像
近代的なSOCには検知機能だけでは不十分であり、準リアルタイムの検知機能を提供するソリューションと、インシデント対応とフォレンジック分析機能を提供するソリューションを組み合わせる必要がある
(出典:ガートナー)

 これによると、最も多くの要求をカバーするのがSIEMで、最も少ないのがCASBだ。これからツールの利用を始めるのであれば、最初にカバー範囲が最も広いツールを導入し、その補完として他のツールを追加するのが、最も効率的だという。

「同時に頭に入れておきたいのが、各ツールは得意分野もそれぞれ異なるということです。製品選定時には、それらを踏まえて自社に合致したものを選ぶ必要があります」(ドゥエン氏)

近代的なSOCツールを活用するメリット
  得意分野 購入すべきタイミング
SIEM
  1. ・広範囲をカバーできる
  2. ・イベントを容易に検索できる
  1. ・ 広範な可視化が必要
  2. ・チーム、サイズがリアルタイム検知要件に適合している
NTA
  1. ・ネットワークの不審な挙動を 検知できる
  2. ・ 実装が容易
  1. ・広範な可視化を既に実現
  2. ・トラフィックへのアクセスが可能
  3. ・ネットワーク内の感染拡大を重視 ― データの流出
UEBA
  1. ・ 防御策が回避されてしまう場合
  2. ・ 不正の疑いのある従業員を 見つけることができる
  1. ・強力なユーザー認証
  2. ・アカウントの不正使用を重視
EDR
  1. ・ワークステーション — サーバ
  2. ・モバイル、ワークフォース (労働支援ツール全般)
  3. ・ 過去の調査
  1. ・エンドポイント・ソリューションを許容できる
  2. ・ツール活用のための専門知識を持つ
  3. ・根本原因を追跡する必要がある
近代的なSOCツールを活用するメリット
(出典:ガートナー)

SOCを強化し続ける「SOAR」とは何か

 SOCの活動ではプロセスも重要だ。サイバー攻撃へ的確に対応するには、検出から、判断、対応、リスクの優先順位付けを通じた現状の体制の見直しまでのサイクルを、できる限り早く回し続ける必要があるからだ。

 こうした体制を実現するための手段として、ガートナーが提唱しているセキュリティ体制が「SOAR(Security Orchestration、Automation and Response)」だ。

 SOARは、セキュリティ運用の自動化と効率化させるための体制である。「セキュリティオーケストレーション(複数システムやツールからのアラートに対し緊急度や優先度を判断すること)」「自動化(事故対応の自動化)」「対応(過去の履歴状況を簡単に調査できるようにすること」の一連のサイクルを回すことで、成果を出すSOC体制を構築できる。

 SOARの特徴は「対応の自動化」にある。SOAR対応をうたう製品の中には、インシデントの際、担当者にどのようにすれば解決に至るかをフローチャートにし、画面に表示してくれるものもある。対応方法が周知されているインシデントが発生することも多く、担当者は、「自動」で解決策を手に入れられるというわけだ。

 こうした、「自動化や効率化」により、専門家集団になりがちなセキュリティ運用人材の不足に対応し、情報セキュリティ対応の属人性を排することを目標に採用する組織が増えている。

画像
セキュリティオーケストレーション、自動化、対応(SOAR)
(出典:ガートナー)

 SOARの実現に向け、有効なSOCを組織するには、これまで示してきたツールをいかに組み合わせるかがポイントとなる。

【次ページ】SOCが成果を上げられない3つの理由

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!