全2回　セキュリティ運用自動化のススメ——「SIEM」「SOAR」入門 インシデントの初期対応を自動化する「SOAR」の基礎知識

前回は、膨大なログデータを自動で収集・分析し、セキュリティインシデントの兆候を早期に検知する「SIEM」というソリューションについて解説しました。しかし、SIEMを導入しても、その後のプロセスが手動のままではインシデントに対する迅速な対処は困難です。そこで今回は、脅威検知後の初動対応を自動化・効率化する「SOAR」について紹介します。

SOARの機能と導入メリット

SOAR（Security Orchestration, Automation and Response）とは、その名の通り、セキュリティ運用における「連携（Orchestration）」「自動化（Automation）」「対応（Response）」を支えるソリューションです。API（Application Programming Interface）を介してさまざまなシステムやセキュリティ機器と連携し、セキュリティリスクに関わる初期調査やインシデント対応のプロセスを自動化・効率化します。

具体的には、主に次のような業務プロセスを自動化・効率化します。

・アラートの収集・統合

複数のシステムやサービス、セキュリティ機器などから得られるアラートや脅威情報を自動で集約し、一元管理します。

・脅威の判定

収集した情報を「脅威インテリジェンス」（既知の攻撃情報をまとめたデータベース）と照合し、脅威の有無や自社への影響度合いを自動で判定します。

・対応優先度の決定（トリアージ）

検知されたインシデントや脅威に対して、どれから優先的に対応すべきかを自動で判断します。従来のように人手でアラートを精査・分類する必要がなくなります。

・初期対応

関係者への通知（メールなど）に加え、不審なファイルの隔離・削除、感染の疑いがある端末のネットワーク遮断、不審なアカウントの一時停止といった初動対応を、人の手を介さずに自動で実行します。

なお、こうしたSOARの自動対応は、事前に定義する「プレイブック」に基づいて実行されます。プレイブックとは、特定の出来事（トリガー）が発生した際に、どのような対応を取るかをワークフロー形式で記述した手順書です。ただし、対応フローによっては完全自動化が適さないものもあるため、ケースに応じて人の判断を組み込むことも必要です。

SOARの主な機能（イメージ）

SOARの導入により、セキュリティ運用を次のように高度化させることができます。

・セキュリティリスクの拡大抑制

セキュリティインシデントの調査時間の短縮や迅速な初期対応により、被害の拡大を最小限に抑えることが可能です。

・属人化の解消と対応品質の向上

自動化により対応が平準化され、特定の担当者のスキルや経験に依存せず、一定の品質で一貫した対応が可能になります。

・ナレッジ共有の促進

発生したインシデントと対応履歴が1つのプラットフォーム上に自動記録されるため、組織内の知見として容易に蓄積・活用できます。

・担当者の負担軽減と重要業務へのシフト

担当者は煩雑な定型業務から解放され、未知の脅威の分析や戦略的なセキュリティ強化策の検討など、より高度かつ重要な業務に集中できるようになります。

また近年では、AIや機械学習を活用して潜在的な脅威を明らかにするなど、より高度なセキュリティ運用を実現ツールも登場しています。

「ゼロトラスト」の要となるSIEM＋SOAR連携

SOARは単体でも導入できますが、第1回記事で紹介したSIEMと連携して活用されるケースが一般的であり、効果的です。SIEMが各種システムからログを収集・分析してアラートを発報し、そのアラートをトリガーとしてSOARが初期対応を自動で実行することで、検知から対応までのプロセスをシームレスに自動化することができるためです。

さらに、SOARにはSIEMが発報したアラートを自動で精査し、誤検知や優先度の低いアラートを自動でクローズする機能が備わっており、SIEM単体での運用に比べて、担当者の負荷を大幅に軽減できます。最近では『Google SecOps』のような、SIEMとSOARの機能を統合したプラットフォームも登場しています。

また、DX（デジタルトランスフォーメーション）が一般化し、多くの企業でシステムやアプリケーションのクラウド移行が進む中、「ゼロトラスト」というセキュリティ対策が注目を集めていますが、そのゼロトラスト環境の実現においても、SIEMとSOARの連携は重要な役割を担います。

ゼロトラストセキュリティは「すべてを信用しない」をコンセプトに、すべてのデバイス、ユーザー、通信、ネットワークを常に監視・検証するセキュリティモデルです。SIEMによるネットワーク全体の継続的な監視と異常検知、SOARによる脅威が拡大する前の迅速な封じ込めにより、「常時監視」と「即時対応」というゼロトラストの要件を満たすことができます。

ゼロトラストについては↓の記事で詳しく解説しています。
《連載:第1回》 誰もがゼロトラストに無関心ではいられない｜SmartStage

セキュリティ運用自動化をIT部門変革の土台に

以上、セキュリティ運用自動化を支える2つのソリューション、SIEMとSOARの基礎知識を紹介しました。

サイバー攻撃の巧妙化・多様化を含め、企業を取り巻くセキュリティリスクは今後一層高まっていくと予想されます。こうした状況にもかかわらず、従来通りの人手に依存したセキュリティ運用に固執していては、IT部門が企業価値の向上に貢献する組織へと進化することはますます難しくなっていくでしょう。

たしかに、SIEMとSOAR導入のハードルは、費用面においても技術面においても決して低くはありません。しかし本文で見てきたように、これらの仕組みを導入することで、担当者は煩雑で負担の大きい定型業務から解放され、より高度なセキュリティ分析や戦略的な業務に集中できる環境が整います。

そうした意味で、SIEMとSOARを活用したセキュリティ運用の自動化は、IT部門（企業によってはセキュリティ部門）そのものの在り方を変えるための土台ともなり得ます。変革を志すIT部門であれば、今こそ真剣に検討すべきテーマと言えるでしょう。