概要
SOAR (Security Orchestration, Automation, and Response) は、IT システムを脅威から保護するために使用される一連の機能、とりわけ脅威と脆弱性の管理、セキュリティ運用の自動化、インシデント対応での効率化と自動化を支援する技術を表しています。
また SOAR は、セキュリティチームが使用する 3 つの主要なソフトウェア機能 (ケースおよびワークフロー管理、タスクの自動化、および脅威インテリジェンスへのアクセス、クエリ、共有を一元化する手段) としても言及されます。SOAR という表現は、アナリストグループの Gartner が使い始めました。また、これと同じ概念を他の表現で言い表すセキュリティアナリストもいます。IDC は AIRO (Security Analytics, Intelligence, Response, and Orchestration)、Forrester は SAO (Security Automation and Orchestration) と表現しています。
SOAR は通常、組織のセキュリティ・オペレーション・センター (SOC) と連携して実装されます。SOAR プラットフォームは脅威インテリジェンスフィードを監視し、セキュリティ問題があれば自動応答をトリガーします。これにより、IT チームは多数の複雑なシステムにわたって脅威を迅速かつ効率的に緩和できます。
Red Hat Ansible Automation Platform を使い始める
SOAR でのケースおよびワークフロー管理
セキュリティ・オペレーション・センター (SOC) が成熟し、確立されている場合も、組織のセキュリティ変革を始めたばかりの場合でも、すべてのセキュリティインシデントをケースとして文書化し、管理することが脆弱性管理のベストプラクティスであるとされています。ケース管理のプラクティスは、インシデントを文書化し、脅威に関する知識を生み出す手段です。これにより、セキュリティの脅威が特定され、リスクに基づいて優先順位が付けられ、調査されます。また、インシデントに対応して収集されたインテリジェンスを文書化し、組織やコミュニティ内で共有することができます。
SOAR テクノロジーには、一般的なユースケース向けのワークフローが事前に設定されていることがよくあります。これらのデフォルトのユースケースが組織の特定のニーズを満たさない場合は、カスタム開発によって要件に適合させることができます。
タスクの自動化とオーケストレーション
セキュリティの自動化は、人の手を借りずにセキュリティ運用タスクを実行するプロセスです。セキュリティにおいては、インフラストラクチャが複雑であること、また、インフラストラクチャのさまざまな部分が統合されていない可能性があることから、自動化の必要性が高まっています。しかし、どのタスクを自動化するべきかについては、どう判断すればよいのでしょうか。以下の事項を確認してください。
- それはルーチンタスクですか。定期的に行う必要があるタスクですか。
- 単調なタスクですか。特定の一連のアクションによって正確に完了する必要があるものですか。
- 時間がかかるタスクですか。この一連のアクションは、チームの時間を大幅に消費するものですか。
これらの質問のいずれかに該当する場合は、おそらく自動化が有効です。人的エラーの削減、効率とスピードの向上、セキュリティインシデントに対する応答の一貫性の向上など、多くのプラスの結果を組織にもたらす可能性があります。
セキュリティプロセスを自動化する理由
タスクの自動化の主なメリットは、セキュリティチームの効率が向上し、他の作業に使える時間ができることです。セキュリティのプロはすべての組織のニーズに対応できるほど多くはないため、自動化によってセキュリティチームがより多くのことをより迅速に実行できるようにすれば、この人材ギャップの解消に役立ちます。
セキュリティチームは、EDR (Endpoint Detection and Response) ソフトウェア、ファイアウォール、SIEM (Security Information and Event Management) ソリューションなど、膨大な数のさまざまなツールや製品を扱う必要があります。これらは通常、相互に統合されてはいません。これらすべてを手動で管理すると、問題、リソース構成のミス、整合性のないポリシー適用の検出と修復が遅れ、深刻な攻撃やコンプライアンスの問題に対してシステムが脆弱になります。自動化は、DevSecOps アプローチと同様に、日常業務の効率化だけでなく、プロセス、アプリケーション、インフラストラクチャに最初からセキュリティを統合するためにも役立ちます。
Ponemon Institute によれば、200 日以内にセキュリティ侵害の検出と阻止ができれば、侵害の平均コストが 122 万ドル削減されます。脅威を迅速に検出すれば、セキュリティ侵害の可能性とそれに伴うコストを削減できます。しかし修復が複数のプラットフォームやツールにまたがる場合、その作業は複雑で時間がかかり、エラーも発生しやすくなります。
セキュリティプロセスを手動で行う場合は、複雑な IT エコシステムでの脅威の特定に遅れが生じる可能性がありますが、このプロセスを自動化すると、人が介入することなく迅速に脅威を特定、検証、およびエスカレーションすることができます。セキュリティチームは、自動化を使用して応答時間を短縮し、複数の環境にある影響を受けたすべてのシステムに対して修復を同時に適用できます。
自動化とオーケストレーションの違い
オーケストレーションはプロセスベースであり、自動化はタスクベースです。セキュリティ・オーケストレーションは、応答ワークフローを最適化するために、統合されていないセキュリティツールとシステムを接続して統合する手段です。ツールとシステム、およびそれらを管理するプロセスを接続することで、環境全体の自動化を活用できます。
自動化によってワークフローは単純化できます。しかし、SOAR の最も有益な側面の 1 つである高レベルのセキュリティ・オーケストレーションには人が必要です。オーケストレーションにより、IT チームは自動化されたタスクを実行するプロセスを定義できます。セキュリティプロセスのオーケストレーションにおいて、セキュリティ自動化の内容、理由、時期を決定できるのはこれらのチームの人々です。
一元化された脅威インテリジェンス
脅威インテリジェンスとは、組織の資産に対する既存および新たな脅威に関する知識のことです。多くの脆弱性データベースが脅威インテリジェンスのソースとして存在します。CVE リストなどの参照方法により、データベースやプラットフォーム間でこれらの脆弱性を容易に特定し、共有することができます。脅威インテリジェンス・プラットフォームは、さまざまなフィードからこの知識を収集します。SOAR ツールは、複数の脅威インテリジェンスフィードを使用して、潜在的な脅威を特定します。SOAR は、これらのフィードを統合されたソースに集約します。このソースは、チームがクエリを実行し、自動化タスクをトリガーするために使用できます。
組織的には、セキュリティ・オペレーション・センター (SOC) がセキュリティ対応の中核ですが、ビジネスを構成する多くの部門との調整やコミュニケーションが難しい場合があります。そこで、自動化は部門間の連携を強め、共通言語として機能します。あらゆる部門のすべてのプラットフォームにまたがる自動化ソリューションは、最も緊急度の高いセキュリティ脅威の特定とトリアージ (優先付け) を容易にする、対話の明確なチャネルを確立することができます。
Red Hat のサポート内容
エンタープライズ向けオープンソース・ソフトウェアでは、テストとパフォーマンス・チューニングを強化する開発モデルが使用されています。通常は、それをサポートするセキュリティチームが、新しいセキュリティの脆弱性に対応するためのプロセスと、修正手順でセキュリティの問題についてユーザーに通知するためのプロトコルを使用します。これにより、IT セキュリティを確実に実行できるようにする、強化されたオープンソースの信頼網の利用が可能になります。
Red Hat® Ansible® Automation Platform を使用することの具体的なメリットは以下のようになります。まず、さまざまなセキュリティ・ソリューションを自動化して統合し、キュレートされたモジュール、ロール、Playbook を使用して、調整および統一された方法でエンタープライズ全体の脅威に対する調査と応答を単純化することができます。API、SSH、WinRM、およびその他の標準または既存のアクセス方法を使用して、外部アプリケーションを統合することもできます。
さらに Ansible Automation Platform は、インフラストラクチャからアプリケーションまでのフルスタックプロセスを可能にし、すべてをセキュリティ・テクノロジーのレイヤーと調整できるようにします。また、セキュリティ運用チームは Ansible Automation Platform を使用して、SOAR ソリューションなどの他のエンタープライズ・アプリケーションを管理できます。
