セキュリティ・オーケストレーション、オートメーション、レスポンス(SOAR)

セキュリティ・オーケストレーション、自動化、レスポンス(SOAR)とは何か?

SOAR(Security Orchestration, Automation, and Response)とは、統合された互換性のあるソフトウェア・ソリューションのシステムのことで、組織がサイバーセキュリティのデータ収集とインシデント対応を自動化し、その過程でセキュリティ運用の効率を向上させることを可能にする。 

多くの点で、SOARはセキュリティ情報・イベント管理(SIEM)の進化を象徴している。外部脅威インテリジェンス、エンドポイント・セキュリティ・ソリューション、脆弱性スキャナ、行動分析、侵入検知など、サードパーティ・ソースからのイベント・ログやデータを統合します。また、アナリティクスを活用することで、セキュリティ・チームに、キュレーションされたアラートとともに定義された調査パスを提供し、サイバー・インシデントに対するより効率的できめ細かな対応を可能にします。 

SOARの構成要素

その名の通り、SOARは3つの主要コンポーネントで構成されている。 

1.セキュリティ・オーケストレーション

オーケストレーションとは、エコシステム内の様々なツールを、社内外を問わず接続し統合することである。これは通常、組み込みの統合機能、カスタム構築の統合、またはアプリケーション・プログラミング・インターフェース(API)を介して実現される。オーケストレーションの中核的な目的は、各ソリューションによって生成されたアラートとデータを単一のストリームに統合することです。

2.セキュリティ・オートメーション

セキュリティの自動化は、SOARが真に他と一線を画すところです。通常、セキュリティ・オーケストレーションによって生成される膨大な量のデータを取り込み、分析するには、大規模な手作業による分析が必要です。しかし、人工知能と機械学習を活用することで、SOARソリューションはその作業の大部分を人間の手から解放します。 

プレイブック(基本的には、事前に定義されたプロセス、応答、および手順のコレクション)を活用することにより、SOARは、ログ分析、アラートの優先順位付け、ユーザーアクセス管理、および脅威検出を含む多くのタスクを自動化することができます。

3.セキュリティ対応

オーケストレーションと自動化は、SOARの第3の柱であるレスポンスの基礎を形成する。ここで、SOARプラットフォームの人的要素が活躍する。アナリストは、統合された単一ビューのダッシュボードを通じて、セキュリティ脅威に対する組織の対応を計画、管理、調整することができます。これには、インシデントが解決した後に通常発生する、報告、レビュー、ケース管理、インテリジェンスの共有プロセスが含まれます。 

SOARのメリット

SOARの主な利点は以下の通り: 

  • より迅速で効果的なインシデントの検知、管理、対応
  • より良い、より正確な脅威情報
  • 複雑さとオーバーヘッドの削減
  • 人間のアナリストを手作業や低レベルの脅威から解放し、より多くのことを達成できるようにする。
  • 自動化による拡張性
  • 標準化されたプレイブックによるセキュリティ運用の合理化
  • 脅威データの一元管理、簡素化
  • ITチーム間のコラボレーションの改善
  • 事故後の情報共有と報告の容易化
  • 組織全体のリアルタイムな可視化

SOARの能力

ガートナーは2015年にSOARという言葉を制定した。当時は、Security Operations, Analytics, and Reportingの 略であったその後、アナリストは現在の定義に更新し、SOARソリューションの必須要件も定めている: 

脆弱性の是正を支援し、形式化されたワークフロー、レポーティング、 コラボレーション機能を提供する。脆弱性管理、ワークフロー、インシデント管理、ケース管理、監査・ロギング機能、レポーティングを含む機能を備えたセキュリティインシデント対応プラットフォームを組み込む。

組織がセキュリティインシデントへの対応を計画、管理、追跡、調整する方法をサポートする。ワークフローの自動化、統合、プレイブックとプレイブック管理、データ収集、ログ分析、アカウントライフサイクル管理など、セキュリティオーケストレーションと自動化を組み込む。

ワークフロー、プロセス、ポリシー実行、レポーティングの自動化とオーケストレーションをサポートする。集計、分析、配信、可視化、コンテキストの濃縮を含む脅威インテリジェンスプラットフォームを組み込む。

SOARの使用例

SOARの潜在的なユースケースは膨大である。なぜなら、SOARソリューションは通常、さまざまなプラットフォームを統合しているため、それらのツールで実現可能なことは何でも実現できるからだ。とはいえ、SOARには比較的ユニークな使用例がいくつかある : 

  • 広大な脅威ランドスケープにおける脅威インテリジェンスの調整
  • ケース管理の合理化
  • 脆弱性の管理、検出、緩和
  • リスク管理と修復の自動化
  • プロアクティブな脅威ハンティング
  • アラートの調整と優先順位付け
  • 証明書管理
  • 高度なマルウェア検出と分析

SOARとSIEMの比較

SOARは多くの点でSIEMの進化形であり、両者には大きな共通点がある。どちらも複数のソースからデータを収集・集約するように設計されており、より効果的で合理的なインシデント対応プロセスを実現することを目的としている。一部の人々は、この2つの用語を同じ意味で使い始めている。 

さらに水を濁しているのは、SOARのような機能を自社のソリューションに組み込み始めているベンダーがいることだ。これはSIEMベンダーに限った話ではない。Endpoint Detection and Response(EDR)やExtended Detection and Response(XDR)を含む複数のセキュリティ・ソリューションがSOARを採用している。 

このような傾向にもかかわらず、SIEMとSOARがどのように異なるかを理解することは重要である。

まず第一に、収集データの範囲である。SIEMソリューションが様々な内部ソースからインテリジェンスを収集するのに対し、SOARツールはさらに一歩進んでいる。複数の外部ソースやサードパーティソースを組み込んでおり、通常、データ収集においてよりリアルタイムの情報を特徴としている。  

CylanceGUARD 24x7x365 サイバーセキュリティ

大企業も中小企業も、増え続けるデバイスと戦っており、それぞれが攻撃対象として増えている。同時に、ほとんどの企業はサイバーセキュリティのスキル・ギャップとリソース不足に直面している。サイバーセキュリティの人材確保は、中小企業にとって特に厄介な問題です。

人間中心のサブスクリプション型24時間365日マネージドXDRサービス、 CylanceGUARD®が具現化する包括的な専門知識を融合し、CylanceGUARD 、企業が必要とする専門知識とサポートを提供します。 BlackBerry® Cybersecurity Servicesによる AI ベースのエンドポイントプロテクション (EPP) を組み合わせています。 CylancePROTECT®による継続的な認証と分析 CylancePERSONAによる継続的な認証と分析、 ® によるデバイス上での脅威の検知と修復が可能です。 CylanceOPTICS®.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーを企業に提供します。

詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース