ログイン / 登録 アカウント

セキュリティ

SOAR とは

Jump to section

SOAR (Security Orchestration, Automation, and Response) は、IT システムを脅威から保護するために使用される一連の機能を表しています。

SOAR とは、セキュリティチームが使用する 3 つの主要なソフトウェア機能、すなわち、ケースおよびワークフロー管理、タスクの自動化、そして、脅威インテリジェンスへのアクセス、クエリ、共有を一元化した手段を指します。SOAR という表現は、アナリストグループの Gartner が使い始めました。また、SOAR を他の用語で表現するアナリストもおり、IDC は、この概念を AIRO (Security Analytics, Intelligence, Response, and Orchestration) と呼んでいます。Forrester は、同じ機能を説明するものとして SAO (Security Automation and Orchestration) を使用しています。 

SOAR は通常、組織のセキュリティ・オペレーション・センター (SOC) と連携して実装されます。SOAR プラットフォームは、脅威インテリジェンスのフィードを監視し、自動応答をトリガーしてセキュリティの問題を緩和します。

SOAR でのケースおよびワークフロー管理

成熟し、確立された SOC を備えている場合も、組織のセキュリティ変革を始めたばかりの場合でも、すべてのセキュリティインシデントをケースとして文書化し、管理することがベストプラクティスであるとされています。ケース管理のプラクティスは、インシデントを文書化し、脅威に関する知識を生み出す手段です。これにより、セキュリティの脅威が特定され、リスクに基づいて優先順位が付けられ、調査されます。また、インシデントに対応して収集されたインテリジェンスを文書化し、組織やコミュニティ内で共有することができます。 

SOAR テクノロジーには、一般的なユースケース向けに事前構成済みのワークフローが付属していることがよくあります。これらのデフォルトのユースケースが組織の特定のニーズを満たさない場合は、カスタム開発によって要件に適合させることができます。

タスクの自動化とオーケストレーション

セキュリティの自動化は、人の手を借りずにセキュリティ運用タスクを実行するプロセスです。セキュリティにおいては、インフラストラクチャが複雑であること、また、インフラストラクチャの一部が統合されていない可能性があることから、自動化の必要性が高まっています。しかし、どのタスクを自動化するべきかについては、どう判断すればよいのでしょうか。以下の事項を確認してください。

  1. それはルーチンタスクですか。定期的に行う必要があるタスクですか。
  2. 単調なタスクですか。特定の一連のアクションによって正確に完了する必要があるものですか。 
  3. 時間がかかりますか。この一連のアクションは、チームの時間を大幅に消費するものですか。

これらの質問のいずれかに該当する場合は、おそらく自動化が有効です。人的エラーの削減、効率とスピードの向上、応答の一貫性の向上など、多くのプラスの結果を組織にもたらす可能性があります。

セキュリティプロセスを自動化する理由

タスクの自動化の主なメリットは、セキュリティチームの効率が向上し、他の作業に使える時間ができることです。自動化は、組織が業界の人材ギャップに対処するのに役立ちます。簡単に言えば、組織のニーズをすべて満たすには、セキュリティのプロフェッショナルが足りません。セキュリティタスクを自動化すれば、チームはより多くのことを、より迅速に実行できるようになります。

セキュリティチームは、おそらくは互いに統合されていない、膨大な数のさまざまなツールや製品に取り組まなければなりません。これらすべてを手動で管理すると、問題、リソース構成のミス、整合性のないポリシー適用の検出と修復が遅れ、深刻な攻撃やコンプライアンスの問題に対してシステムが脆弱になります。自動化は、DevSecOps アプローチと同様に、日常業務の効率化だけでなく、プロセス、アプリケーション、インフラストラクチャに最初からセキュリティを統合するためにも役立ちます。セキュリティの自動化をフルにデプロイすることで、侵害の平均コストを 95% 削減することも可能です。

脅威を早期検出すると、組織がセキュリティ侵害を被る可能性が低下し、侵害が発生してもそれに伴うコストを低減できます。200 日以内にセキュリティ侵害の検出と阻止ができれば、侵害の平均コストが 122 万ドル削減されます。手動によるプロセスは、複雑な IT 環境で脅威の特定を遅らせ、ビジネスを脆弱なままにすることがあります。セキュリティプロセスに自動化を適用すると、手作業を行わずに脅威を速やかに特定、検証、エスカレートできます。

しかし、複数のプラットフォームやツールにわたって修正を行うのは複雑で時間がかかり、エラーが生じやすくなります。セキュリティチームは自動化を使用して、環境内にある影響を受けたすべてのシステムに対して同時かつ即座に修復を適用し、インシデントへの対応を迅速化できます。

自動化とオーケストレーションの違い

セキュリティ・オーケストレーションは、プロセスを最適化するために、統合されていないセキュリティツールとシステムを接続して統合する手段です。ツールとシステムを接続することで、環境全体の自動化を活用できます。オーケストレーションはプロセスベースであり、自動化はタスクベースです。オーケストレーションと自動化の主な違いは人です。SOAR の価値の大部分は、高レベルのセキュリティ・オーケストレーションにあります。オーケストレーションにより、チームは自動化されたタスクを実行するプロセスを定義できます。セキュリティプロセスのオーケストレーションにおいて、セキュリティ自動化の内容、理由、時期を決定するのはこれらのチームの人々です。

一元化された脅威インテリジェンス

脅威インテリジェンスとは、組織の資産に対する既存および新たな脅威に関する知識のことです。多くの脆弱性データベースが脅威インテリジェンスのソースとして存在します。CVE リストなどの参照方法を使用すると、データベースやプラットフォーム間でこれらの脆弱性を容易に特定し、共有することができます。脅威インテリジェンス・プラットフォームは、さまざまなフィードからこの知識を収集します。SOAR ツールは、複数の脅威インテリジェンスフィードを使用して、潜在的な脅威を特定します。SOAR は、これらのフィードを統合されたソースに集約します。このソースは、チームがクエリを実行し、自動化タスクをトリガーするために使用できます。

組織的には、SOC がセキュリティ対応の中核ですが、ビジネスを構成する多くの部門との調整やコミュニケーションが難しい場合があります。自動化は部門間の連携を強め、共通言語として機能します。あらゆる部門のすべてのプラットフォームにまたがる自動化ソリューションは、セキュリティの脅威に対処する際に明確な相互作用のチャネルを確立することができます。

Red Hat の強み

エンタープライズ向け オープンソース・ソフトウェアでは、テストとパフォーマンス・チューニングを強化する開発モデルが使用されています。通常は、それをサポートするセキュリティチームが、新しいセキュリティの脆弱性に対応するためのプロセスと、修正手順でのセキュリティの問題についてユーザーに通知するためのプロトコルを使用します。これは、IT セキュリティを確実に実行できるようにする、オープンソースの信頼網の強化版です。

Red Hat® Ansible® Automation Platform を使用すると、さまざまなセキュリティ・ソリューションを自動化して統合し、キュレートされたモジュール、ロール、Playbook を使用して、調整および統一された方法でエンタープライズ全体の脅威に対する調査と応答を単純化することができます。API、SSH、WinRM、およびその他の標準または既存のアクセス方法を使用して、外部アプリケーションを統合することもできます。

Red Hat Ansible は、インフラストラクチャからアプリケーションまでのフルスタックプロセスを可能にし、すべてをセキュリティ・テクノロジーのレイヤーと調整できるようにします。また、セキュリティチームは Red Hat Ansible を使用して、SOAR ソリューションなどの他のエンタープライズ・アプリケーションを管理できます。

Red Hat のツールを使用して、人材を活用しましょう

Red Hat Ansible Automation Platform

エージェントレスの自動化プラットフォーム。

Red Hat Insights

Red Hat® Enterprise Linux® 環境のセキュリティ、コンプライアンス、および構成のリスクを特定して修復します。