インシデント対応を自動化するSOAR

SOAR (Security Orchestration, Automation and Response) は、SIEM（Security Information and Event Management）と同様Gartner社によって提唱された言葉で、セキュリティインシデントに対応するためのソリューションスタックです。

SOARのスタックは、標準化されたインシデント対応のアクティビティを定義し、プライオリティ付けや自動化によって、セキュリティ対応の効率化を実現します。

SOAR の最も重要な機能は次の3つです。
　・脅威と脆弱性の管理･･･脆弱性の修復をサポートし、ワークフローやレポートなどを提供 　・セキュリティインシデント対応･･･セキュリティインシデントへの対応を計画し、管理、追跡、調整方法をサポート
　・セキュリティ運用自動化･･･ワークフロー、プロセス、ポリシーの実行などの自動化とオーケストレーション

近年、RPAも盛んになりセキュリティの運用に携わる部門では、セキュリティオーケストレーションと自動化のSOA(security orchestration and automation）への関心が高まり、その恩恵を得たいという気運が盛り上がってきております。
よって、多くの企業がSOARのサービスを活用して、社内のセキュリティとイベント管理で使用してきたSIEMソフトウェアを増強しようという動きがあります。SIEMとSOARスタックの両方が、あらゆる機器やシステムからログなどのセキュリティ関連データを集約する一方で、ベンダが提供するSOARサービスはより広範な内部および外部アプリケーションとの統合を実現してくれるようです。
SIEMでは、インシデント情報やログのデータが一元管理でき、ツールを使用すれば1つのダッシュボードで見ることができましたが、インシデントに関連する対応のアクションは人間が行うことが基本でした。それに加え、SOARでは、インシデントについての優先順位付けや、対応プロセスやレポーティングなどをフローに従って自動化するところまで踏み込んでいます。

今後、RPAによって事務系にまでソフトウェアロボットが活躍しだすと、運用管理すべきシステムが数多くなります。
そのためのセキュリティ対策に携わる運用担当者不足の問題に対応するためには、圧倒的な運用効率化が必要で、どれだけセキュリティインシデントの対応を自動化できるかがカギとなります。

---

[タグ]　用語 トレンド 監視

[関連]