Jump to section

SOAR とは

掲載 2022年 5月 11日
URL をコピー

概要

SOAR (Security Orchestration, Automation, and Response) は、IT システムを脅威から保護するために使用される一連の機能を表しています。

SOAR とは、サイバーセキュリティチームが使用する 3 つの主要なソフトウェア機能、すなわち、ケースおよびワークフロー管理、タスクの自動化、そして、脅威インテリジェンスへのアクセス、クエリ、共有を一元化した手段を指します。SOAR という表現は、アナリストグループの Gartner が使い始めました。また、これと同じ概念を他の表現で言い表すセキュリティアナリストもいます。IDC は AIRO (Security Analytics, Intelligence, Response, and Orchestration)、Forrester は SAO (Security Automation and Orchestration と表現しています。

SOAR は通常、組織のセキュリティ・オペレーション・センター (SOC) と連携して実装されます。SOAR プラットフォームは脅威インテリジェンスフィードを監視し、セキュリティ問題があれば自動応答をトリガーします。これにより、IT チームは多数の複雑なシステムにわたって脅威を迅速かつ効率的に緩和できます。

セキュリティ対応を自動化するメリットについて学ぶ

タスクの自動化とオーケストレーション

セキュリティの自動化は、人の手を借りずにセキュリティ運用タスクを実行するプロセスです。セキュリティにおいては、インフラストラクチャが複雑であること、また、インフラストラクチャのさまざまな部分が統合されていない可能性があることから、自動化の必要性が高まっています。しかし、どのタスクを自動化するべきかについては、どう判断すればよいのでしょうか。以下の事項を確認してください。

  1. それはルーチンタスクですか。 定期的に行う必要があるタスクですか。
  2. 単調なタスクですか。 特定の一連のアクションによって正確に完了する必要があるものですか。 
  3. 時間がかかりますか。 この一連のアクションは、チームの時間を大幅に消費するものですか。

これらの質問のいずれかに該当する場合は、おそらく自動化が有効です。人的エラーの削減、効率とスピードの向上、セキュリティインシデントに対する応答の一貫性の向上など、多くのプラスの結果を組織にもたらす可能性があります。

セキュリティ自動化の詳細を読む

セキュリティプロセスを自動化する理由

タスクの自動化の主なメリットは、セキュリティチームの効率が向上し、他の作業に使える時間ができることです。セキュリティのプロはすべての組織のニーズに対応できるほど多くはないため、自動化によってセキュリティチームがより多くのことをより迅速に実行できるようにすれば、この人材ギャップの解消に役立ちます。

セキュリティチームは、EDR (Endpoint Detection and Response) ソフトウェア、ファイアウォール、SIEM (セキュリティ情報およびイベント管理) ソリューションなど、膨大な数のさまざまなツールや製品を扱う必要があります。これらは通常、互いに統合されてはいません。これらすべてを手動で管理すると、問題、リソース構成のミス、整合性のないポリシー適用の検出と修復が遅れ、深刻な攻撃やコンプライアンスの問題に対してシステムが脆弱になります。自動化は、DevSecOps アプローチと同様に、日常業務の効率化だけでなく、プロセス、アプリケーション、インフラストラクチャに最初からセキュリティを統合するためにも役立ちます。

Ponemon Institute によれば、200 日以内にセキュリティ侵害の検出と阻止ができれば、侵害の平均コストが 122 万ドル削減されます。脅威を迅速に検出すれば、セキュリティ侵害の可能性とそれに伴うコストを削減できます。しかし修復が複数のプラットフォームやツールにまたがる場合、その作業は複雑で時間がかかり、エラーも発生しやすくなります。

セキュリティプロセスを手動で行う場合は複雑な IT エコシステムでの脅威の特定に遅れが生じる可能性がありますが、このプロセスを自動化すると、人が介入することなく迅速に脅威を特定、検証、およびエスカレーションすることができます。セキュリティチームは、自動化を使用して応答時間を短縮し、環境内にある影響を受けたすべてのシステムに対して同時に修復を適用できます。

Red Hat の自動化を選ぶ理由

自動化とオーケストレーションの違い

オーケストレーションはプロセスベースであり、自動化はタスクベースです。セキュリティ・オーケストレーションは、応答ワークフローを最適化するために、統合されていないセキュリティツールとシステムを接続して統合する手段です。ツールとシステム、およびそれらを管理するプロセスを接続することで、環境全体の自動化を活用できます。

自動化によってワークフローは単純化できます。しかし、SOAR の最も有益な側面の 1 つである高レベルのセキュリティ・オーケストレーションにはが必要です。オーケストレーションにより、IT チームは自動化されたタスクを実行するプロセスを定義できます。セキュリティプロセスのオーケストレーションにおいて、セキュリティ自動化の内容、理由、時期を決定するのはこれらのチームの人々です。

オーケストレーションの詳細を読む

一元化された脅威インテリジェンス

脅威インテリジェンスとは、組織の資産に対する既存および新たな脅威に関する知識のことです。多くの脆弱性データベースが脅威インテリジェンスのソースとして存在します。CVE リストなどの参照方法を使用すると、データベースやプラットフォーム間でこれらの脆弱性を容易に特定し、共有することができます。脅威インテリジェンス・プラットフォームは、さまざまなフィードからこの知識を収集します。SOAR ツールは、複数の脅威インテリジェンスフィードを使用して、潜在的な脅威を特定します。SOAR は、これらのフィードを統合されたソースに集約します。このソースは、チームがクエリを実行し、自動化タスクをトリガーするために使用できます。

組織的には、SOC がセキュリティ対応の中核ですが、ビジネスを構成する多くの部門との調整やコミュニケーションが難しい場合があります。自動化は部門間の連携を強め、共通言語として機能します。あらゆる部門のすべてのプラットフォームにまたがる自動化ソリューションは、最も緊急のセキュリティ脅威の特定とトリアージを容易にする明確な相互作用のチャネルを確立することができます。

Ansible Automation Platform によるセキュリティ自動化の詳細

DevOps プラクティスにおけるセキュリティのシフトレフト

文化的な変化によって開発プロセスのどの時点でセキュリティを考慮するかを変えることで、セキュリティが向上します。「DevOps」とは、アイデアを開発し、プロダクション環境にデプロイするまでのプロセスを高速化するアプローチを指す用語です。これまで、セキュリティの役割は開発の最終段階にある特定のチームに隔離されていました。開発サイクルが数カ月から数年にも及んでいた時代にはこれで問題ありませんでしたが、現在では、数週間以内でのアプリケーション提供が多くなりました。コラボレーションを重視する DevOps のフレームワークにおいては、セキュリティは最初から最後まで組み込まれ、その責任も共有されます。これは「DevSecOps」と呼ばれます。

DevSecOps によるライフサイクルのモダナイゼーションに関する Web セミナーを見る

DevOps と同様、DevSecOps も文化モデルです。DevSecOps の考え方では、開発プロセス全体を通じてリスク管理が考慮されます。多くの場合、DevSecOps を最初に採用するのはセキュリティ志向の企業です。これは開発者がセキュリティチームと緊密に連携し、開発ライフサイクルのより早い段階で対策を導入する手法であり、「シフトレフト」とも呼ばれます。 

Kubernetes の DevSecOps に関するホワイトペーパーをダウンロード

文化的な基盤が築かれていても、DevSecOps の実装を成功させるには自動化が必要です。この自動化には、ソース管理リポジトリ、コンテナレジストリ、CI/CD パイプライン、API 管理、運用管理および監視などが含まれます。

DevSecOps の実装を成功させるためのチェックリストを入手する

Red Hat のサポート内容

エンタープライズ・オープンソースソフトウェアは、テストとパフォーマンス・チューニングを強化する開発モデルを使用しており、通常はセキュリティチームがサポートします。新たなセキュリティ脆弱性に対応するプロセスと、セキュリティ問題をユーザーに通知するための修復手順でのプロトコルを向上します。これは、IT セキュリティを確実に実行できるようにする、オープンソースの信頼網の強化版です。

Red Hat® Ansible® Automation Platform サブスクリプションを使用すると、さまざまなセキュリティ・ソリューションの自動化、オーケストレーション、統合が可能になり、キュレートされたモジュール、ロール、Playbook を使用して、調整および統一された方法でエンタープライズ全体の脅威に対する調査と応答を単純化することができます。API、SSH、WinRM、およびその他の標準または既存のアクセス方法を使用して、外部アプリケーションを統合することもできます。

Ansible Automation Platform は、インフラストラクチャからアプリケーションまでのフルスタックプロセスを可能にし、すべてをセキュリティ・テクノロジーのレイヤーと調整できるようにします。また、セキュリティ運用チームは Ansible Automation Platform を使用して、SOAR ソリューションなどの他のエンタープライズ・アプリケーションを管理できます。

さらに、オープン・ハイブリッドクラウドにおける Red Hat の専門知識を通じて、サイバー脅威やサイバー攻撃から守るためのクラウドセキュリティの実装に関する独自の視点が得られます。ゼロトラストモデルを採用すると、組織のセキュリティの視点が変わり、セキュリティポリシーを再調整することができます。

関連資料

記事

DevSecOps とは

DevOps によるアジリティと応答性を存分に利用したいのであれば、アプリケーションのライフサイクル全体を通じて重要な役目を果たす IT セキュリティが不可欠です。

記事

クラウドセキュリティの特徴とは

高度なセキュリティ問題は、従来の IT システムとクラウドシステムの両方に影響します。クラウドセキュリティの特徴をご覧ください。

記事

SOAR とは

SOAR とは、セキュリティチームが使用する 3 つの主要なソフトウェア機能を指します。すなわち、ケースおよびワークフロー管理機能、タスクの自動化機能、および脅威インテリジェンスへのアクセス、クエリ、共有を一元化する手段が含まれます。

セキュリティの詳細はこちら

製品

Red Hat Certificate System

ユーザーの ID を管理し、通信の機密性維持を支援するセキュリティ・フレームワーク。

Red Hat Advanced Cluster Security Kubernetes

クラウドネイティブ・アプリケーションのより安全な構築、デプロイ、実行を可能にする、エンタープライズ向けの Kubernetes ネイティブのコンテナ・セキュリティ・ソリューション。

Red Hat Insights

Red Hat インフラストラクチャのセキュリティ、パフォーマンス、可用性に対する脅威の特定と修復に役立つ予測分析サービス。

Red Hat Advanced Cluster Management Kubernetes

Kubernetes クラスタとアプリケーションを制御する、セキュリティポリシーを組み込んだ単一のコンソール。

関連記事

リソース

e ブック

セキュリティ運用センターを単純化する

概要

包括的な DevSecOps ソリューションのデプロイ方法

関連資料

チェックリスト

クラウド・コンピューティングでセキュリティ機能をサポートする 6 つの方法

 

ホワイトペーパー

コンテナおよび Kubernetes セキュリティへの階層型アプローチ

データシート

Red Hat Insights の IT リスクの予測分析

アナリスト資料

日本はオープンvRANのグローバルリー ダー

チェックリスト

仮想無線アクセスネットワーク成長のための3つの重要な検討事項

eブック

2023 年版 Kubernetes のセキュリティの現状に関するレポート

技術の詳細

エンタープライズ向けオープンソースの現状:Red Hat レポート

eブック

ハイブリッドクラウド・セキュリティを強化する