TOPセキュリティ > SOARの導入に向けた5つのヒント(上)

セキュリティ

SOARの導入に向けた5つのヒント(上)

2021/05/31

Josh Fruhlinger CSO

 SOAR(Security Orchestration, Automation, and Response)は、比較的新しい種類のセキュリティプラットフォームである。企業が導入している多種多様なセキュリティ製品を連携させ、それぞれから得られる情報を集約し、その分析や対処に関する作業を自動化することを狙いとしている。近年は、セキュリティの脅威が深刻化し、システムやネットワークに関して解析すべきデータがますます増える一方で、セキュリティ人材は不足している。こうした難題に企業各社が取り組む中で、米調査会社Gartnerが2015年に提唱したSOARの概念が業界で受け入れられ、プラットフォームが広まってきた。

Credit: Vertigo3D / Getty Images

 SOARプラットフォームを導入すれば、企業が有するITリソースと人的リソースを有効活用できると言われている。現実には、SOARの枠組みに移行するための準備をはじめ、必ずしもスムーズに行かない部分もあり得るが、現代の企業がセキュリティに関して分析を迫られている膨大なデータに対処するプラットフォームとして、SOARに対する期待は大きい。

SIEMとSOARの違い

 情報を一元的に集約するという点からすると、SOARプラットフォームとSIEM(Security Information and Event Management)ソフトウエアとの違いが分かりにくいように思える。確かにSIEMソフトウエアも、さまざまなセキュリティ製品やログから情報の収集と分析を行うが、SOARプラットフォームとは異なり、対処という面には必ずしも踏み込まない。実際、SOARプラットフォームの多くは、SIEMソフトウエアを入力の1つとして利用する。SOARがどのようにSIEMを取り入れているかをきちんと理解するためには、SOARプラットフォームの目的や仕組みを掘り下げていく必要がある。

SOARの目的

 現代のITセキュリティでは、システムの防御を固めるために、セキュリティ製品の数が増え続けており、それらから上がる膨大なデータの収集、処理、分析が求められている。さらに、分析の結果に基づいて、検出した脅威に対抗するための策も必要に応じて講じなければならない。そのためには人間の労力とスキルが求められ、負担は大きくなる一方だ。ITセキュリティにおいて、こうした人的リソースは、最も価値が高く、コストもかかる。

 自らSOAR製品も手がけているセキュリティ企業FireEyeは、SOARの主なメリットとして、次の5つを挙げている。

  • 予算の制約への対処
  • 時間管理と生産性の向上
  • インシデントの効果的な管理
  • 柔軟性
  • コラボレーションの推進

↑ページ先頭へ