ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2019/10/15 掲載

SOARとは何か? SOCが「インシデント対応」に注力するための“ツールと組織”を解説

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
年々、サイバー攻撃が凶悪化する中、その被害を食い止める専任組織であるSOC(Security Operation Center:セキュリティ監視センター)を配置する企業も増加している。ただし、SOCが成果を上げるには、自社に合致したセキュリティ確保のプロセスを適切に運用する必要がある。これに合致するセキュリティ体制が「SOAR(Security Orchestration、Automation and Response)」だ。ガートナーでバイス プレジデント アナリストを務めるジェレミー・ドゥエン氏が、SOARの解説とSOCの活動で成果を上げるためのポイントを指南する。
画像
SOCにはどんな環境が必要か?
(Photo/Getty Images)

<目次>
  1. SOCにはどんなセキュリティツールの選択肢があるか
  2. SOCに必要なセキュリティツールの選び方
  3. SOCを強化し続ける体制「SOAR」とは何か
  4. SOARではAIをどのように評価すべきか
  5. SOCがSOARを推進する際の阻害要因は何か
  6. SOCが成果を上げられない3つの理由

SOCにはどんなセキュリティツールの選択肢があるか

 巧妙さを増すサイバー攻撃のいち早い察知と対策に向け、SOCを配置してセキュリティ対策の高度化を目指す企業が増加している。それに伴い、作業を支援する分析/監視ツールも急速に多様化している。たとえば、以下のようなツールだ。

SIEM:Security Information and Event Management(セキュリティ情報およびイベント管理)
UEBA:User and Entity Behavior Analytics(ユーザーおよびエンティティ振る舞い分析)
EDR:Endpoint Detection and Response(エンドポイント検出対応)
NTA:Network Traffic Analysis(ネットワークトラフィック分析)
CASB:Cloud Access Security Broker(クラウド関連のセキュリティ対策)

photo
ガートナー 
バイス プレジデント、アナリスト
ジェレミー・ドゥエン氏
 ただし、「それらを適切に利用できている企業は決して多くない」と指摘するのは、ガートナーでバイス プレジデント アナリストを務めるジェレミー・ドゥエン氏だ。その根本的な原因として同氏が挙げるのが「セキュリティ要件の見極めの不十分さ」である。

「セキュリティの弱点は企業ごとに千差万別です。同様に、SOCで達成したいセキュリティ水準やSOCの体制/スキルレベルも企業ごとに異なります。にもかかわらず、セキュリティ強化を急ぐあまり、ツールの理解が乏しいまま、やみくもに導入を進めている企業が多いのです。これでは、機能とニーズに乖離が生じるのも無理からぬことです」(ドゥエン氏)

SOCに最適なセキュリティツールの選び方

 では、ツールの真価を発揮するには、どのように導入を進めるべきか。第一歩としてドゥエン氏が推奨するのが、SOCの現状把握だ。

 具体的には、「目標」「人材」「プロセス」「ツール」の観点から、SOCで何を、どれほどの水準で保護したいのか。さらに、そのための現状の知識や経験、人材、ツールなどが用意されているかを突き止める。

 そこで、ツールの導入や強化が不可欠と判断されて、初めてツールの検討に取り掛かるわけだ。これにより、不必要なツール導入は必然的に回避される。

 ドゥエン氏によれば、そこでのツールの検討は「攻撃検知のタイミング」と「監視対象」の2軸から検討する必要があるという。

 攻撃の検知はできる限り早いほうが望ましい一方で攻撃検知後、過去にさかのぼっての被害確認も重要だ。また、攻撃手法の多様化により、保護すべき対象もネットワークからエンドポイントまで広がっている。

「そこで、それらの要求への対応度を前述の2軸の観点で評価します。無論、1つのツールですべてをカバーすることは不可能であり、リアルタイムの検知機能を備えた『検知』ツールと、インシデント対応やフォレンジック分析(ファイルやログなどから攻撃の証跡を分析すること)の機能を備えた『保護』ツールを組み合わせて対応することになります。対策では検知が注目されがちですが、被害をくり返さないためには保護も同様に重要です」(ドゥエン氏)

 ドゥエン氏がツール選定の指針として提示したのが、ツールごとの機能を上記に示した「攻撃検知のタイミング」と「監視対象」という2軸のマトリクス図だ。

画像
近代的なSOCには検知機能だけでは不十分であり、準リアルタイムの検知機能を提供するソリューションと、インシデント対応とフォレンジック分析機能を提供するソリューションを組み合わせる必要がある
(出典:ガートナー)

 これによると、最も多くの要求をカバーするのがSIEMで、最も少ないのがCASBだ。これからツールの利用を始めるのであれば、最初にカバー範囲が最も広いツールを導入し、その補完として他のツールを追加するのが、最も効率的だという。

「同時に頭に入れておきたいのが、各ツールは得意分野もそれぞれ異なるということです。製品選定時には、それらを踏まえて自社に合致したものを選ぶ必要があります」(ドゥエン氏)

近代的なSOCツールを活用するメリット
  得意分野 購入すべきタイミング
SIEM
  1. ・広範囲をカバーできる
  2. ・イベントを容易に検索できる
  1. ・ 広範な可視化が必要
  2. ・チーム、サイズがリアルタイム検知要件に適合している
NTA
  1. ・ネットワークの不審な挙動を 検知できる
  2. ・ 実装が容易
  1. ・広範な可視化を既に実現
  2. ・トラフィックへのアクセスが可能
  3. ・ネットワーク内の感染拡大を重視 ― データの流出
UEBA
  1. ・ 防御策が回避されてしまう場合
  2. ・ 不正の疑いのある従業員を 見つけることができる
  1. ・強力なユーザー認証
  2. ・アカウントの不正使用を重視
EDR
  1. ・ワークステーション — サーバ
  2. ・モバイル、ワークフォース (労働支援ツール全般)
  3. ・ 過去の調査
  1. ・エンドポイント・ソリューションを許容できる
  2. ・ツール活用のための専門知識を持つ
  3. ・根本原因を追跡する必要がある
近代的なSOCツールを活用するメリット
(出典:ガートナー)

SOCを強化し続ける「SOAR」とは何か

 SOCの活動ではプロセスも重要だ。サイバー攻撃へ的確に対応するには、検出から、判断、対応、リスクの優先順位付けを通じた現状の体制の見直しまでのサイクルを、できる限り早く回し続ける必要があるからだ。

 こうした体制を実現するための手段として、ガートナーが提唱しているセキュリティ体制が「SOAR(Security Orchestration、Automation and Response)」だ。

 SOARは、セキュリティ運用の自動化と効率化させるための体制である。「セキュリティオーケストレーション(複数システムやツールからのアラートに対し緊急度や優先度を判断すること)」「自動化(事故対応の自動化)」「対応(過去の履歴状況を簡単に調査できるようにすること」の一連のサイクルを回すことで、成果を出すSOC体制を構築できる。

 SOARの特徴は「対応の自動化」にある。SOAR対応をうたう製品の中には、インシデントの際、担当者にどのようにすれば解決に至るかをフローチャートにし、画面に表示してくれるものもある。対応方法が周知されているインシデントが発生することも多く、担当者は、「自動」で解決策を手に入れられるというわけだ。

 こうした、「自動化や効率化」により、専門家集団になりがちなセキュリティ運用人材の不足に対応し、情報セキュリティ対応の属人性を排することを目標に採用する組織が増えている。

画像
セキュリティオーケストレーション、自動化、対応(SOAR)
(出典:ガートナー)

 SOARの実現に向け、有効なSOCを組織するには、これまで示してきたツールをいかに組み合わせるかがポイントとなる。

【次ページ】SOCが成果を上げられない3つの理由

関連タグ

関連コンテンツ

記事
セキュリティ総論

CARTAとは何か? ガートナー提唱のエンドポイント向けセキュリティ体制とは

サイバー攻撃の巧妙化を背景に、エンドポイント・セキュリティの重要性がより一層増している。米ガートナーでシニア ディレクター/アナリストを務めるディオニシオ・ズメール氏は、「エンドポイント向けの対策は以前よりも難しくなっている」と指摘。ガートナーが提唱するエンドポイント向けセキュリティ手法CARTA(Continuous Adaptive Risk and Trust Assessment)を軸に、エンドポイントに関する脅威トレンドやセキュリティツールの動向を解説した。

記事
セキュリティ総論

辻伸弘氏が解説するランサム攻撃動向、「侵入されても発症させない」対策のキモとは

標的型攻撃やランサム攻撃など、企業を標的にしたサイバー攻撃は依然として大きな脅威となっている。さらに、取引関係にあるサプライチェーンや顧客にも攻撃対象は拡大しており、企業はこれらの脅威に対応していかなければならない。そこで、ランサム攻撃をはじめ幅広くサイバー空間の脅威の観測、情報発信を行うSBテクノロジーの辻 伸弘氏と、大興電子通信 セキュリティアドバイザーの中須寛人氏、富士通の斎藤 建氏、丸子正道氏が最新のマルウェア攻撃に対抗するためのポイントを紹介した。

記事
セキュリティ総論

“危険すぎる”国家が主導するサイバー攻撃、ウクライナ侵攻で見えた情報戦の変化とは

ロシア・ウクライナ戦争のさなか、スロバキアのセキュリティベンダーESETが、ロシアによるウクライナへの心理戦や情報操作を目的としたサイバー攻撃を確認・報告している。開戦前後はウクライナのインフラや政府機関を狙う攻撃であったが、戦争が長期化するにつれ、その攻撃にも変化が見られるという。現在は攻撃対象を広げ、その動きは周辺国をも巻き込み始めている。ESET CEOであるリチャード・マルコ氏への取材を交え、ロシアが仕掛けるサイバー攻撃の実態を暴く。

記事
セキュリティ総論

知らなきゃ“大事故”の可能性も、SaaS活用で陥る「6つの落とし穴」回避術

今や一般的になった企業によるSaaS(クラウドサービス)の導入。ユーザー部門にとっては利便性の高いサービスだが、間違った運用によりセキュリティ事故が発生するといったリスクもある。SaaS活用に潜むインシデントとは一体どんなものがあるのか。そしてそれらのインシデントを回避するにはどのような手法が有効なのかを解説する。

記事
セキュリティ総論

ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み

生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。

記事
セキュリティ総論

厳選!「日本のセキュリティ課題凝縮事例」から学ぶ、「インシデントを防ぐ組織」とは

日々、実に多くのセキュリティインシデントが発生している。この危機的な状況を前にして、新たにセキュリティ製品・サービス導入を検討する企業は多いだろう。だがそれ以前に、真の「インシデントが起こらない組織」をつくるためには、まず自社の現状を正確に分析し、既存の資産・資源をフルに活用する姿勢が重要になる。セキュリティの専門家集団として、さまざまな企業・組織に助言やプロジェクト支援を行っている日本シーサート協議会の萩原健太氏が、大阪の病院で発生したインシデント、いわば失敗事例から今すぐ取り組むべきセキュリティ対策の課題について解説する。

記事
セキュリティ総論

中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実

高度化するサイバー攻撃に対して、XDRやSOC、脅威インテリジェンスといったセキュリティ対策が注目されている。しかし、これらの手法やソリューションを導入できる企業は限られている。実際にセキュリティ対策に十分な投資を行えるのは、予算も人員もある大企業だけなのが現状だ。では、いずれも限られる中小規模企業(SMB)はどこまで対応すればよいのだろうか。

イベント・セミナー
オンライン
オンライン

デモでわかる! 脆弱性管理を一元化&効率化しつつセキュリティレベルを向上する方法

脆弱性が放置されると、悪意のある第三者によるサイバー攻撃によってシステムへの侵入をゆるしてしまい情報漏洩やデータ改竄などのインシデントを引き起こす可能性があります。 セキュリティインシデントを回避するために保有するすべてのシステムの脆弱性管理をすることを検討をしても、社内にセキュリティの専門家がいなく人材確保が困難だったり、システムの管理を複数のベンダーに委託しており対応レベルをそろえるのが難しかったり、対応基準を含めて整備しても運用に工数がかかりすぎてしまうなど、さまざまな課題に直面してしまうという声をよく耳にします。 そこで、本セミナーでは、脆弱性対策進捗の記録・管理までを可視化・効率化できる脆弱性管理サービス「SIDfm(エスアイディーエフエム)をご紹介します。 デモで実際の運用のイメージを掴んでいただける内容になっていますので、脆弱性管理を組織で一元化・効率化させる道筋が見えてきます! 無料セミナーですので、ぜひご参加ください!
イベント・セミナー
オンライン
オンライン

Symantec World 2024[アーカイブ]

世界中で高まるサイバーセキュリティの脅威とリスク あらゆるリスクに備える、ゼロトラストの実現 企業のAI・DXによる変革が進展する中、デジタルデバイスやネットワーク、データといった重要なアセットがサイバー攻撃の対象になっています。こうしたリスクに対して、企業はあらゆる攻撃を想定し「ゼロトラスト」で対応することが求められています。こうしたサイバーセキュリティの最新動向とゼロトラストのセキュリティ対策をお届けすべく、オンラインで参加できるシマンテックのサイバーセキュリティセミナーを開催いたします。デバイスセキュリティ、ネットワークセキュリティ、データセキュリティの各セッションをご用意いたしました。シマンテックのゼロトラストの世界をぜひご覧ください。
イベント・セミナー
オンライン
オンライン

DXを加速するゼロトラストセキュリティ 2024 春

世界経済の混乱や、長引くインフレ、依然として残るコロナの影響などの中、企業は生き残りをかけてDXを推進しています。それと同時に、社外から社内のシステムにアクセスすることや、工場外から製造装置に直接アクセスするような機会も増えています。DXの進展やテレワークの普及などによりビジネスのクラウド化がさらに進んだ結果、従来型の「境界型モデル」ではネットワークセキュリティの維持が困難となり、「すべてのトラフィックを疑わしいものとみなす」ゼロトラストセキュリティへの注目が高まっています。境界なきセキュリティが求められる時代にデジタルトラストを確立するにはどうすればよいのでしょうか?当WebセミナーではDXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向性を模索し、ゼロトラストセキュリティに関するさまざま情報を提供してまいります。
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample