概要
SOAR (Security Orchestration, Automation, and Response) は、IT システムを脅威から保護するために使用される一連の機能を表しています。
SOAR とは、サイバーセキュリティチームが使用する 3 つの主要なソフトウェア機能、すなわち、ケースおよびワークフロー管理、タスクの自動化、そして、脅威インテリジェンスへのアクセス、クエリ、共有を一元化した手段を指します。SOAR という表現は、アナリストグループの Gartner が使い始めました。また、これと同じ概念を他の表現で言い表すセキュリティアナリストもいます。IDC は AIRO (Security Analytics, Intelligence, Response, and Orchestration)、Forrester は SAO (Security Automation and Orchestration と表現しています。
SOAR は通常、組織のセキュリティ・オペレーション・センター (SOC) と連携して実装されます。SOAR プラットフォームは脅威インテリジェンスフィードを監視し、セキュリティ問題があれば自動応答をトリガーします。これにより、IT チームは多数の複雑なシステムにわたって脅威を迅速かつ効率的に緩和できます。
SOAR でのケースおよびワークフロー管理
成熟し、確立された SOC を備えている場合も、組織のセキュリティ変革を始めたばかりの場合でも、すべてのセキュリティインシデントをケースとして文書化し、管理することが脆弱性管理のベストプラクティスであるとされています。ケース管理のプラクティスは、インシデントを文書化し、脅威に関する知識を生み出す手段です。これにより、セキュリティの脅威が特定され、リスクに基づいて優先順位が付けられ、調査されます。また、インシデントに対応して収集されたインテリジェンスを文書化し、組織やコミュニティ内で共有することができます。
SOAR テクノロジーには、一般的なユースケース向けに事前構成済みのワークフローが付属していることがよくあります。これらのデフォルトのユースケースが組織の特定のニーズを満たさない場合は、カスタム開発によって要件に適合させることができます。
タスクの自動化とオーケストレーション
セキュリティの自動化は、人の手を借りずにセキュリティ運用タスクを実行するプロセスです。セキュリティにおいては、インフラストラクチャが複雑であること、また、インフラストラクチャのさまざまな部分が統合されていない可能性があることから、自動化の必要性が高まっています。しかし、どのタスクを自動化するべきかについては、どう判断すればよいのでしょうか。以下の事項を確認してください。
- それはルーチンタスクですか。 定期的に行う必要があるタスクですか。
- 単調なタスクですか。 特定の一連のアクションによって正確に完了する必要があるものですか。
- 時間がかかりますか。 この一連のアクションは、チームの時間を大幅に消費するものですか。
これらの質問のいずれかに該当する場合は、おそらく自動化が有効です。人的エラーの削減、効率とスピードの向上、セキュリティインシデントに対する応答の一貫性の向上など、多くのプラスの結果を組織にもたらす可能性があります。
セキュリティプロセスを自動化する理由
タスクの自動化の主なメリットは、セキュリティチームの効率が向上し、他の作業に使える時間ができることです。セキュリティのプロはすべての組織のニーズに対応できるほど多くはないため、自動化によってセキュリティチームがより多くのことをより迅速に実行できるようにすれば、この人材ギャップの解消に役立ちます。
セキュリティチームは、EDR (Endpoint Detection and Response) ソフトウェア、ファイアウォール、SIEM (セキュリティ情報およびイベント管理) ソリューションなど、膨大な数のさまざまなツールや製品を扱う必要があります。これらは通常、互いに統合されてはいません。これらすべてを手動で管理すると、問題、リソース構成のミス、整合性のないポリシー適用の検出と修復が遅れ、深刻な攻撃やコンプライアンスの問題に対してシステムが脆弱になります。自動化は、DevSecOps アプローチと同様に、日常業務の効率化だけでなく、プロセス、アプリケーション、インフラストラクチャに最初からセキュリティを統合するためにも役立ちます。
Ponemon Institute によれば、200 日以内にセキュリティ侵害の検出と阻止ができれば、侵害の平均コストが 122 万ドル削減されます。脅威を迅速に検出すれば、セキュリティ侵害の可能性とそれに伴うコストを削減できます。しかし修復が複数のプラットフォームやツールにまたがる場合、その作業は複雑で時間がかかり、エラーも発生しやすくなります。
セキュリティプロセスを手動で行う場合は複雑な IT エコシステムでの脅威の特定に遅れが生じる可能性がありますが、このプロセスを自動化すると、人が介入することなく迅速に脅威を特定、検証、およびエスカレーションすることができます。セキュリティチームは、自動化を使用して応答時間を短縮し、環境内にある影響を受けたすべてのシステムに対して同時に修復を適用できます。
自動化とオーケストレーションの違い
オーケストレーションはプロセスベースであり、自動化はタスクベースです。セキュリティ・オーケストレーションは、応答ワークフローを最適化するために、統合されていないセキュリティツールとシステムを接続して統合する手段です。ツールとシステム、およびそれらを管理するプロセスを接続することで、環境全体の自動化を活用できます。
自動化によってワークフローは単純化できます。しかし、SOAR の最も有益な側面の 1 つである高レベルのセキュリティ・オーケストレーションには人が必要です。オーケストレーションにより、IT チームは自動化されたタスクを実行するプロセスを定義できます。セキュリティプロセスのオーケストレーションにおいて、セキュリティ自動化の内容、理由、時期を決定するのはこれらのチームの人々です。
一元化された脅威インテリジェンス
脅威インテリジェンスとは、組織の資産に対する既存および新たな脅威に関する知識のことです。多くの脆弱性データベースが脅威インテリジェンスのソースとして存在します。CVE リストなどの参照方法を使用すると、データベースやプラットフォーム間でこれらの脆弱性を容易に特定し、共有することができます。脅威インテリジェンス・プラットフォームは、さまざまなフィードからこの知識を収集します。SOAR ツールは、複数の脅威インテリジェンスフィードを使用して、潜在的な脅威を特定します。SOAR は、これらのフィードを統合されたソースに集約します。このソースは、チームがクエリを実行し、自動化タスクをトリガーするために使用できます。
組織的には、SOC がセキュリティ対応の中核ですが、ビジネスを構成する多くの部門との調整やコミュニケーションが難しい場合があります。自動化は部門間の連携を強め、共通言語として機能します。あらゆる部門のすべてのプラットフォームにまたがる自動化ソリューションは、最も緊急のセキュリティ脅威の特定とトリアージを容易にする明確な相互作用のチャネルを確立することができます。
DevOps プラクティスにおけるセキュリティのシフトレフト
文化的な変化によって開発プロセスのどの時点でセキュリティを考慮するかを変えることで、セキュリティが向上します。「DevOps」とは、アイデアを開発し、プロダクション環境にデプロイするまでのプロセスを高速化するアプローチを指す用語です。これまで、セキュリティの役割は開発の最終段階にある特定のチームに隔離されていました。開発サイクルが数カ月から数年にも及んでいた時代にはこれで問題ありませんでしたが、現在では、数週間以内でのアプリケーション提供が多くなりました。コラボレーションを重視する DevOps のフレームワークにおいては、セキュリティは最初から最後まで組み込まれ、その責任も共有されます。これは「DevSecOps」と呼ばれます。
DevOps と同様、DevSecOps も文化モデルです。DevSecOps の考え方では、開発プロセス全体を通じてリスク管理が考慮されます。多くの場合、DevSecOps を最初に採用するのはセキュリティ志向の企業です。これは開発者がセキュリティチームと緊密に連携し、開発ライフサイクルのより早い段階で対策を導入する手法であり、「シフトレフト」とも呼ばれます。
文化的な基盤が築かれていても、DevSecOps の実装を成功させるには自動化が必要です。この自動化には、ソース管理リポジトリ、コンテナレジストリ、CI/CD パイプライン、API 管理、運用管理および監視などが含まれます。
Red Hat のサポート内容
エンタープライズ・オープンソースソフトウェアは、テストとパフォーマンス・チューニングを強化する開発モデルを使用しており、通常はセキュリティチームがサポートします。新たなセキュリティ脆弱性に対応するプロセスと、セキュリティ問題をユーザーに通知するための修復手順でのプロトコルを向上します。これは、IT セキュリティを確実に実行できるようにする、オープンソースの信頼網の強化版です。
Red Hat® Ansible® Automation Platform サブスクリプションを使用すると、さまざまなセキュリティ・ソリューションの自動化、オーケストレーション、統合が可能になり、キュレートされたモジュール、ロール、Playbook を使用して、調整および統一された方法でエンタープライズ全体の脅威に対する調査と応答を単純化することができます。API、SSH、WinRM、およびその他の標準または既存のアクセス方法を使用して、外部アプリケーションを統合することもできます。
Ansible Automation Platform は、インフラストラクチャからアプリケーションまでのフルスタックプロセスを可能にし、すべてをセキュリティ・テクノロジーのレイヤーと調整できるようにします。また、セキュリティ運用チームは Ansible Automation Platform を使用して、SOAR ソリューションなどの他のエンタープライズ・アプリケーションを管理できます。
さらに、オープン・ハイブリッドクラウドにおける Red Hat の専門知識を通じて、サイバー脅威やサイバー攻撃から守るためのクラウドセキュリティの実装に関する独自の視点が得られます。ゼロトラストモデルを採用すると、組織のセキュリティの視点が変わり、セキュリティポリシーを再調整することができます。