面倒なセキュリティ運用を自動化する「SOAR」とは、歴史と主な4つの機能――ゼロトラストの自動化と連携:働き方改革時代の「ゼロトラスト」セキュリティ(21)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストにおける自動化と連携、SOARについて解説する。
働き方改革に始まり、デジタルトランスフォーメーション(DX)やコロナ禍での感染症対策といった多様なニーズは、テレワークやクラウドの利活用などデジタルな働き方を大きく変化させました。物理的なオフィスや紙といった制約からいつでも、どこでも働ける環境が整い、急激に変化した新しい働き方は既に定着したと考えられます。
NIST(米国立標準技術研究所)の「SP800-207」で示された「ゼロトラストアーキテクチャ」や、Forrester Researchの提唱した「拡張ゼロトラスト」といったゼロトラストの考え方は、権限の最小化と強制的な認証、可視化による分析の強化によって、新しいデジタルの働き方に求められるセキュリティの在り方として注目されました。
本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、ゼロトラストアーキテクチャによるセキュリティの要素として、データを中心として人、デバイス、ワークロード(システムやアプリケーション)、ネットワークのセキュリティを高める方法と、それらの活動状態から得られるログデータによる可視化と分析を紹介してきました。
今回は、可視化と分析に基づく対処、サイバー攻撃へのレスポンスや日々の運用強化につながる、ゼロトラストにおける自動化と連携について解説します。
さまざまなセキュリティ機能を統合するオーケストレーション
情報システムを複数のセキュリティ機器で多面的にサイバー攻撃から防御する「多層防御」「ディフェンスインデプス」の考え方はゼロトラスト以前からサイバーセキュリティの基礎となるものです。
次世代ファイアウォールやIDS/IPS(不正侵入検知システム/不正侵入防止システム)、サンドボックス、メール保護、デバイス保護といった個別の機能が複数のセキュリティアプライアンスやクラウドサービスとして提供されており、それぞれの機器やサービスが個別の管理機能やダッシュボードを備えています。
情報システムのセキュリティ状態を可視化するSIEM(Security Information and Event Management)は、これらの機器が検知したログを収集し、情報システム内に潜むセキュリティインシデントの発見や分析に役立ちます。
多くのセキュリティオペレーションセンター(SOC)では、SIEMの検知状況を監視し、不正アクセスの痕跡や疑いのあるアクティビティー(セキュリティシステムが検知した痕跡や行動履歴)の詳細な調査やセキュリティインシデントへの対処が、限られたセキュリティ担当者やアナリストによって運用されています。
セキュリティ機器から大量にレポートされる、インシデントにつながらないアラートや誤検知などの分類に忙殺されながら、いつ来るとも分からないサイバー攻撃の兆候を見逃さないよう緊張感を保ち続けるのは容易ではありません。
セキュリティ担当者による運用を支援し、自律的にセキュリティが保たれた健全な状態を維持する仕組みが「SOAR」というセキュリティ製品です。
時代によって定義が変化した「SOAR」
SOARの概念は、2015年にGartnerによって提唱されました。
当時は「Security Orchestration, Analytics and Reporting(セキュリティの連携、分析とレポート)」の略語として定義されていました。さまざまなセキュリティ機器と連携して自動的に分析し、インシデントレスポンスのためのヒントをセキュリティ担当者にレポートする役割を担っていたのです。
企業内のネットワークの状態をSIEMによる可視化で健全性を確認し、インシデントの兆候をSOARによって見つけ出し、よりアクティブなインシデントレスポンスによってサイバー攻撃の被害を最小化する目的で活用されていました。
セキュリティ機器やサービスの進化によって、APIによる機能連携が強化されると、SOARは「Security Orchestration, Automation and Response(セキュリティの連携、自動化と対処)」に進化します。
インシデントの兆候をレポートするだけでなく、セキュリティ機器と連携して自動的にインシデントレスポンスを行い、セキュリティ担当者の負担を大幅に軽減する機能を提供できるようになりました。
ディフェンスインデプス、そして「アタックサーフェース」が広がる現在のデジタルワーク環境に対応した情報システムは、多様なセキュリティ製品やサービス、機能が動いています。現代のSOARは、それらのセキュリティ機器やサービスとAPIによって連携され、情報の収集、分析にとどまらず、不審な通信の遮断やユーザーの排除、ネットワークの分離、端末の遮断など、従来セキュリティ担当者が個別に行っていた操作をアラートの分析結果に基づいて自動的に実行してくれます。
SOARの代表的な機能1:トリアージとインシデントレスポンス
現代のSOARに求められる大きな役割が、セキュリティ機器と連携した自律的なトリアージとインシデントレスポンスです。
従来セキュリティ担当者が都度行っていた、ログの突き合わせによって脅威を判定するトリアージの自動化は、誤検知や日常的に発生する軽微なアラートの対応が不要になるので、セキュリティ運用の負担を大きく軽減します。
さらにSOARでは、脅威情報ソースからサイバー攻撃の痕跡となる情報を収集し、常に最新の攻撃動向からインシデントを見つけ出します。脅威に応じて被害の軽減につながる設定変更や遮断を自動的に行うインシデントレスポンスでは、網羅的な検知とAPIによる連携によって人間よりも迅速な判断と対処が可能になりました。
SOARの代表的な機能2:インシデント状況の共有
深刻なサイバー攻撃によってインシデントレスポンスが大規模になると、セキュリティ担当部署だけでなく社内外の関係者への情報共有が欠かせません。被害に遭った機器のフォレンジックデータや社内の多岐にわたるログデータを分析しながら、随時、経営層にも理解可能なレポートを提供するのは、インシデントレスポンスの現場にとって大きな負担となります。
個人情報漏えいなど重大なセキュリティインシデントに発展した場合、事故発生の検知時点から追加調査結果に基づく対処まで、インシデントレスポンス活動の時系列での記録が求められます。
多くのSOARではインシデントの検知、発生から複数のセキュリティ機器の証跡を記録したタイムラインの生成が可能です。サイバー攻撃の被害に遭った際のインシデントレスポンスの活動状況が1画面で共有できるので、対応に当たるセキュリティ担当者やチームはもちろん、社内外の関係者とのリアルタイムの情報共有が容易になります。
セキュリティ担当者が内部の関係者に情報共有する報告書にかける時間を削減できれば、本来すべきインシデントへの対処に多くの時間をかけられ、より早期の被害沈静化が期待できます。
SOARの代表的な機能3:セキュリティ活動の可視化
自動的なインシデントの検知と対処によるセキュリティ担当者の負荷軽減に重きを置くSOARでは、セキュリティ担当者による対応作業時間の記録や工程の記録によって、セキュリティチーム全体のパフォーマンスを可視化します。
多くのSOAR製品のダッシュボードでは、日常的なインシデント対応作業時間を基にしたパフォーマンスメーターが表示されており、この機能を活用すると、作業のボトルネックの分析や担当領域の調整など、従来難しかったセキュリティチーム全体の効率化が可能になります。
SOARの導入によって省力化できた時間が表示される製品もあり、このような機能を利用すると、SOARのインシデントレスポンスにおける費用面での効果検証も可能です。
SOARの代表的な機能4:プレイブックによる、きめ細かな自動化
SOARは、多くのセキュリティ機器のAPIに対応して自動で連携しますが、企業や組織によって運用している機器の組み合わせは異なります。そこでSOARは、セキュリティ担当者による分析を基に、インシデントの発生種類ごとにあらかじめ「どのような機器の機能を操作するか」を決定する「プレイブック」を作成できます。
プレイブックは、セキュリティ機器が発するアラートだけでなく、通信ログの内容やデータの中身やメールの本文、アクセスしたURLなど情報システム内でやりとりされるあらゆるデータを対象にシナリオを作成します。
例えば従業員が悪性URLリストに掲載されたアドレスにアクセスした場合、そのURLの危険度に応じてメッセージによる警告からネットワークの強制遮断まで、企業や組織のポリシーに応じてあらかじめレスポンスの内容を記述できるので、プレイブックの作り込みによって組織のコンプライアンスに基づいたセキュリティ運用を実現します。
自動化と統合を担うSOARとゼロトラスト
ランサムウェアやフィッシング、ビジネスメール詐欺といった、デジタルワーク環境におけるサイバー攻撃の被害が連日報道されています。コロナ禍による経済状況の変化は、サイバー攻撃エコシステムの強化と国境を越えた匿名での暗号通貨取引によって、金銭目的のサイバー攻撃者の増加と無差別化を引き起こしました。働き方の自由度と利便性が高まった半面、テレワークやクラウド、デジタルでのやりとりが業務の大半を占めるようになり、ますますデータの分散が進んでいます。
ゼロトラストはこれらの環境に対応したセキュリティの考え方ですが、ゼロトラストアーキテクチャ実現の過程でセキュリティ機器の運用範囲は従来に増して広がり、さらに重要さを増したといえます。
そこで昨今では、SOARそのものの機能と運用をサービスとして提供するMDR(Managed Detection and Response)も登場してきています。多様な領域のセキュリティ製品やサービスが進化と発展を遂げながら機能の統合が進む中、SOARもUEBA(User and Entity Behavior Analytics)との統合やAIの導入などによって進化が進んでいます。その先には、アイデンティティーの強化と強制的な認証、全体の可視化と自律対処による、サイバー攻撃に対して高い耐性を持った情報システムが登場してセキュリティが透過的になる日が近づいているのかもしれません。
サイバー攻撃という悪意との戦いに終わりはありませんが、攻撃者優位の非対称が少しずつですが変わりつつあるように思います。
筆者紹介
仲上竜太
ニューリジェンセキュリティ株式会社
CTO 兼 クラウドセキュリティ事業部 副部長
ラックと野村総合研究所の合弁によるクラウドセキュリティ企業、ニューリジェンセキュリティ株式会社のCTOを務める傍ら、進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行う。
デジタルトラストナビゲーター。家では夜な夜なクラフトビールを片手にメタバースでの生活を過ごしている。
Copyright © ITmedia, Inc. All Rights Reserved.