ビジネスや社会生活にITが欠かせない時代になったことで、適切なセキュリティ対策は企業や組織にとって避けて通れない課題になっています。この課題に組織的に取り組むため、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)を設置するケースも増えています。またセキュリティへの取り組みを推進するため、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を任命する組織も多くなっています。
独立行政法人 情報処理推進機構(IPA)が2020年3月に公開した「企業のCICO等やセキュリティ対策推進に関する実態調査」によれば、専任のCICO等を任命している企業はまだ7.5%に過ぎませんが、兼任のCICO等を任命している企業は92.5%に上り、両者を合わせると100%に達しています。またCICO等を支援するCSIRTに1名以上の専任メンバーを配置している企業は約30%、1名以上の兼任メンバーを配置している企業は約70%となっています。
このような取り組みが進んでいる一方で、複数の課題にも直面しています。その中で最も多いのが「リスクの見える化が困難/不十分である」(45.7%)であり、「インシデント発生に備えた準備が不十分である」(34.6%)、「担当者の専門知識が不足している」(30.0%)が続いています。つまり、人員は配置しているものの、十分な知識やスキルを持つ人材を確保することは難しく、その活動を支援する仕組みも不十分な企業が少なくないことが見て取れます。
もちろんリスクの可視化に関しては、すでにさまざまなソリューションが提供されており、それらを導入する企業や組織も増えています。その代表格が、セキュリティイベント情報を集中管理するための「SIEM(Security Information and Event Management)」であり、それをさらに発展させた「UEBA(User and Entity Behavior Analytics)」も最近は注目度が高くなっています。しかし担当者のスキル不足などの理由から、これらのツールを使いこなせていないケースも少なくありません。
このような問題を解決する上で、大きな効果を発揮すると期待されているのが、「SOAR(Security Orchestration, Automation and Response)」と呼ばれるセキュリティソリューションです。
SOARも他の多くのセキュリティ用語と同様に、Gartner社による造語です。最初に登場したのは2015年ですが、その当時は「Security Operations, Analytics, and Reporting」の略とされていました。その後、同社は2017年にその定義を改めて明確化。前述のように「Security Orchestration, Automation and Response」となったのです。
ではSOARとは具体的にどのようなものなのでしょうか。Gartner社が2017年11月に提供したレポートによれば、SOARは大きく3つの要素を統合したものだと定義されています。それらは「Security Automation and Orchestration(SOA:セキュリティの自動化とオーケストレーション)」「Security Incident Response Platforms(SIR:セキュリティインシデント対応のプラットフォーム)」「Threat Intelligence Platforms(TIP:脅威インテリジェンスのプラットフォーム)」です。
これだけの説明ではわかりにくいかもしれませんが、注目すべきポイントは大きく2点あります。第1は、インシデントの発生から検知、情報収集、判断までのオペレーションを、単一プラットフォームに統合することで、標準的なフレームワークを提供できるということ。第2は、各種セキュリティ機器や外部の脅威情報提供サービスをオーケストレーション機能で連携させることで、セキュリティオペレーションそのものを自動化できるということです。SOARのセキュリティオーケストレーションでは、インシデントへの対応手順を記述した「Playbook」を作成することができ、それに従った処理を自動的に進められるようになっています。
またセキュリティオペレーションが単一プラットフォーム上で完結していれば、そこに対応状況の記録を残すことで、オペレーションの良し悪しを後から評価することも可能です。セキュリティオペレーションの効率や効果を定量的に測定することで、継続的な改善を行うことも容易になるのです。
このようなソリューションを導入することで、セキュリティインシデントに対する適切な対応を、より迅速に行うことが可能になります。また標準化や自動化によって属人性も排除しやすくなり、ヒューマンエラーに起因するリスクも低減できます。さらに人材不足への対応策としても有効だと考えられます。
総務省が2018年12月に公表したレポートによれば、日本における情報セキュリティ人材は、2020年には20万人近く不足すると予測されています。このような人材不足に対応するためにも、SOARの積極的な検討が必要だと言えるでしょう。
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら