SOARとは?意味やメリット、導入の流れを解説
「SOARって聞いたことはあるけど、正直よく分からない…」 そんな方でも大丈夫。このコラムでは、SOARとは何か、SIEMとはどう違うのか、どんなことができるのかを、わかりやすく解説していきます。
SOARとは?意味や読み方を解説
SOAR(Security Orchestration, Automation, and Response)とは?
SOAR(ソアー)とは、サイバー攻撃の防止と応答を自動化する一連のサービス、またはツールを指す用語です。
現在、多くの企業がサイバー攻撃の増加に伴い、セキュリティ業務の負担を大幅に軽減し、セキュリティ対応を迅速化する仕組みとしてSOARに注目しています。
SOARは次の3つの要素で構成されます:
- Orchestration(オーケストレーション):ツール同士をつなぎ、連携を自動化
- Automation(オートメーション):アラートに対する対応を自動化
- Response(レスポンス):インシデントに素早く対応
SOARとSIEMの違いは?
SOARとよく比較される用語にSIEM(Security Information and Event Management)があります。どちらもセキュリティ運用を支えるツールですが、それぞれ担う役割は異なります。
SIEMは脅威を「見つける」ツールで、ログを集めて分析し、アラートを出す役割です。
SOARは見つけた脅威に「対応する」ツールで、アラートに基づいて具体的な処置を自動で実行します。
上記のようにSIEMとSOARにはそれぞれの重要な役割があるため、両者を組み合わせた運用が非常に効果的です。
実際にセキュリティ対策の最前線では両者の連携が前提になってきています。
【サービス紹介資料】
Microsoft Sentinelの製品概要をわかりやすく解説した後、弊社が提供するMicrosoft Sentinel活用支援サービスの詳細についてご紹介している資料です。
お気軽にダウンロードください。
SOARの主な機能
検出した脅威に対し「対応する」ツールであるSOARですが、具体的にはどのようなことを行っているのでしょうか。
SOARを構成する3つの要素である、①Orchestration(オーケストレーション)、②Automation(オートメーション)、③Response(レスポンス)が、実際には以下のような製品機能と対応しています。
①セキュリティツールの統合・連携
Orchestration(オーケストレーション)の要素として、SOARは様々なセキュリティ製品同士をつなげ、それらと連携した一括制御を提供する機能を持ちます。
セキュリティ製品間でのデータ操作を統一することで、セキュリティイベントの相関分析や対応の一元化を行うことが可能になります。
②アラートの自動分析・分類
Automation(オートメーション)の要素として、SOARは①にて連携したセキュリティ製品からのアラートの自動分析や分類を行います。主にはSIEMなどのセキュリティ製品から送られてくる膨大なアラートはルールベースまたはAIを使って自動で分析・分類されます。
この際、以前はセキュリティ担当者が手動で行っていた誤検知や既知のノイズの除去についても自動で行うことが可能です。
③検知後対応を自動化
Response(レスポンス)の要素として、SOARはインシデントやアラートが発生した際の対応を自動で実行します。
具体的な検知後対応は事前に定義しておく必要がありますが、多くの場合SOAR製品には「プレイブック」と呼ばれるインシデントに対してどのような対応をするかを記載したテンプレートが用意されているため、それらをカスタムすることで最適な検知後対応を実現することができます。
SOAR導入のメリット
SOARには、セキュリティ運用の自動化を実現する様々な機能がありますが、実際にその機能を用いてどのような課題を解決できるのか、SOARによるセキュリティ対応の自動化例と共に、そのメリットを説明します。
インシデント対応のスピード感向上
たとえば、あるアカウントに対し不審なログインを検出した際、既存の対応フローでは、担当者がサインインログを確認し重大度を判断、その後関連する製品のアカウントを一時停止し、管理者へ通知といった流れの対応を行います。
これらの対応フローをSOARのプレイブック機能により事前定義しておくことで、一連の対応を自動化することができます。
これによりセキュリティアナリストの作業時間が大幅に削減され、インシデント対応のスピード感が向上すると同時に、特に不正ログインといった攻撃の場合には、影響が広がる前に初動対応を自動で行うことで、被害を最小限に抑えることができます。
人材負荷の軽減
日々の業務においては、組織の内外で膨大な数のメールがやり取りされています。その中にはフィッシングメールと呼ばれる個人情報を不正に入手することを目的とした詐欺メールが含まれています。
これらのフィッシングメールや前述した不審なサインインログのアラートの重要度を、SOARはルールベースやAIを使用し自動で分析・分類を行います。
これにより、セキュリティ運用において担当者が誤検知や重要度の低いアラートに対応し、判断を行っていた時間を減らすことができます。
また、フィッシングメールと判断されたメールはその後の対応まで定義しておくことで、担当者は確認すべき重要なアラートだけに集中でき、判断ミスや見落としのリスクも減らせます。
組織対応の「標準化」
これまでのセキュリティ対応を担う人材には、高度なセキュリティ製品知識と、多様化するサイバー攻撃の情報把握が必要となっており、組織内での対応が属人的になってしまうケースがありました。
SOARによるアラートの自動分析・分類の機能により、このような属人的な判断の部分が減り、
プレイブック
をベースとした対応フローが整理されることによって、組織内でのセキュリティ対応を標準化することができます。
また、これらの組織対応はテンプレートを基にして柔軟にカスタマイズすることが可能になっており、組織の運用に合わせた最適な設計を行うことで、結果として組織全体のセキュリティ運用工数を減らすことも期待できます。
【サービス紹介資料】
Microsoft Sentinelの製品概要をわかりやすく解説した後、弊社が提供するMicrosoft Sentinel活用支援サービスの詳細についてご紹介している資料です。
お気軽にダウンロードください。
TISのSOAR導入支援ソリューション
TISでは、様々なSOAR製品を扱ったセキュリティ運用の導入支援サービスを提供しています。
例えば、Microsoft社の「Microsoft Sentinel」、Palo Alto Networks社の「cortex XSIAM」、Google社の「Google Security Operations」などが挙げられます。
どれも非常に魅力的な製品ではありますが、その中でも今回は「Microsoft Sentinel」のSOAR機能についてご紹介したいと思います。
1. Microsoft Sentiel
SOARを最大限に活かすには、脅威を「見つける」役割を担うSIEMとの連携が重要です。
そこで活用されているのが、「Microsoft Sentinel」です。
「Microsoft Sentinel」は、AI と自動化を活用したクラウドネイティブSIEMとSOARに加え、UEBA機能(ユーザーとエンティティの行動分析)によりお客様のセキュリティ運用の高度化を実現することが可能なソリューションです。
本コラムでは、そんな「Microsoft Sentinel」の気になるSOARの機能について紹介していきます。
1.1 オートメーションルール
Microsoft Sentinel におけるSOAR機能の一つ目はオートメーションルール(Automation Rules)です。
オートメーションルールは、インシデント発生時にそのインシデントの属性(重大度、発生元、エンティティなど)に基づいて、あらかじめ定義された条件とアクションのセットを自動実行する仕組みです。後述する「プレイブック」の実行をアクションとして選択することも可能になっており、より複雑な条件分岐と詳細なインシデント対応を実現することができます。また、GUIベースで作成・管理でき、複数のルールを順序付けて適用できるのも特長です。
<オートメーションルールの作成画面イメージ>
主なオートメーションルールの設定項目は、実行のトリガー、条件、アクションになります。
例えば、重大度が「中」以上であるインシデントが発生した際に、担当者を割り当てる、または特定のプレイブックを実行するなどの一連の対応作業を自動で実行することができます。
1.2 プレイブック
Microsoft Sentinel におけるSOAR機能の二つ目はプレイブック(PlayBook)です。
プレイブック(PlayBook)とは、Microsoft Sentinelにおけるインシデントやアラートをトリガーに、事前に定義した一連のアクションを自動実行する仕組みです。
オートメーションルールよりも詳細な条件分岐や繰り返し処理など高度な処理ロジックを定義することができます。
また、Microsoft Sentinel には、事前構築とテスト済みのプレイブックテンプレートが用意されているため、すぐに利用開始することも、テンプレートを基にニーズに合わせてカスタマイズすることも可能です。
<プレイブックの作成画面イメージ>
プレイブックの作成には、Azure Logic Apps ロジックデザイナーというツールを使用します。トリガーとアクションをドラッグ&ドロップや設定メニューで組み合わせることができ、直感的に構築することができます。これにより、ノーコード/ローコードで処理フローを設計できます。
この画面イメージでは、インシデント発生時に重大度が「高」である場合は担当者へ直接メールで通知を行い、重大でない場合は接続済みのTeamsにチャットとして記録するなどといった処理フローを設計しています。
【サービス紹介資料】
Microsoft Sentinelの製品概要をわかりやすく解説した後、弊社が提供するMicrosoft Sentinel活用支援サービスの詳細についてご紹介している資料です。
お気軽にダウンロードください。
Microsoft Sentinelについてもっと詳しく知りたい
TISでは、このMicrosoft Sentinelを使ったセキュリティ運用の導入支援サービスを提供しています。
提供可能なサービスの特徴、価格、導入ステップのイメージなどの詳細に関しては、以下のページをご参照ください。