面倒なセキュリティ運用を自動化する「SOAR」とは、歴史と主な4つの機能――ゼロトラストの自動化と連携：働き方改革時代の「ゼロトラスト」セキュリティ（21）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストにおける自動化と連携、SOARについて解説する。

[仲上竜太，ニューリジェンセキュリティ]

　働き方改革に始まり、デジタルトランスフォーメーション（DX）やコロナ禍での感染症対策といった多様なニーズは、テレワークやクラウドの利活用などデジタルな働き方を大きく変化させました。物理的なオフィスや紙といった制約からいつでも、どこでも働ける環境が整い、急激に変化した新しい働き方は既に定着したと考えられます。

　NIST（米国立標準技術研究所）の「SP800-207」で示された「ゼロトラストアーキテクチャ」や、Forrester Researchの提唱した「拡張ゼロトラスト」といったゼロトラストの考え方は、権限の最小化と強制的な認証、可視化による分析の強化によって、新しいデジタルの働き方に求められるセキュリティの在り方として注目されました。

　本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、ゼロトラストアーキテクチャによるセキュリティの要素として、データを中心として人、デバイス、ワークロード（システムやアプリケーション）、ネットワークのセキュリティを高める方法と、それらの活動状態から得られるログデータによる可視化と分析を紹介してきました。

　今回は、可視化と分析に基づく対処、サイバー攻撃へのレスポンスや日々の運用強化につながる、ゼロトラストにおける自動化と連携について解説します。

さまざまなセキュリティ機能を統合するオーケストレーション

　情報システムを複数のセキュリティ機器で多面的にサイバー攻撃から防御する「多層防御」「ディフェンスインデプス」の考え方はゼロトラスト以前からサイバーセキュリティの基礎となるものです。

　次世代ファイアウォールやIDS/IPS（不正侵入検知システム／不正侵入防止システム）、サンドボックス、メール保護、デバイス保護といった個別の機能が複数のセキュリティアプライアンスやクラウドサービスとして提供されており、それぞれの機器やサービスが個別の管理機能やダッシュボードを備えています。

　情報システムのセキュリティ状態を可視化するSIEM（Security Information and Event Management）は、これらの機器が検知したログを収集し、情報システム内に潜むセキュリティインシデントの発見や分析に役立ちます。

　多くのセキュリティオペレーションセンター（SOC）では、SIEMの検知状況を監視し、不正アクセスの痕跡や疑いのあるアクティビティー（セキュリティシステムが検知した痕跡や行動履歴）の詳細な調査やセキュリティインシデントへの対処が、限られたセキュリティ担当者やアナリストによって運用されています。

　セキュリティ機器から大量にレポートされる、インシデントにつながらないアラートや誤検知などの分類に忙殺されながら、いつ来るとも分からないサイバー攻撃の兆候を見逃さないよう緊張感を保ち続けるのは容易ではありません。

　セキュリティ担当者による運用を支援し、自律的にセキュリティが保たれた健全な状態を維持する仕組みが「SOAR」というセキュリティ製品です。

時代によって定義が変化した「SOAR」

　SOARの概念は、2015年にGartnerによって提唱されました。

　当時は「Security Orchestration, Analytics and Reporting（セキュリティの連携、分析とレポート）」の略語として定義されていました。さまざまなセキュリティ機器と連携して自動的に分析し、インシデントレスポンスのためのヒントをセキュリティ担当者にレポートする役割を担っていたのです。

　企業内のネットワークの状態をSIEMによる可視化で健全性を確認し、インシデントの兆候をSOARによって見つけ出し、よりアクティブなインシデントレスポンスによってサイバー攻撃の被害を最小化する目的で活用されていました。

　セキュリティ機器やサービスの進化によって、APIによる機能連携が強化されると、SOARは「Security Orchestration, Automation and Response（セキュリティの連携、自動化と対処）」に進化します。

　インシデントの兆候をレポートするだけでなく、セキュリティ機器と連携して自動的にインシデントレスポンスを行い、セキュリティ担当者の負担を大幅に軽減する機能を提供できるようになりました。

　ディフェンスインデプス、そして「アタックサーフェース」が広がる現在のデジタルワーク環境に対応した情報システムは、多様なセキュリティ製品やサービス、機能が動いています。現代のSOARは、それらのセキュリティ機器やサービスとAPIによって連携され、情報の収集、分析にとどまらず、不審な通信の遮断やユーザーの排除、ネットワークの分離、端末の遮断など、従来セキュリティ担当者が個別に行っていた操作をアラートの分析結果に基づいて自動的に実行してくれます。

SOARの代表的な機能1：トリアージとインシデントレスポンス