TOPセキュリティ > SOARの導入に向けた5つのヒント(中)

セキュリティ

SOARの導入に向けた5つのヒント(中)

2021/06/02

Josh Fruhlinger CSO

 SOAR(Security Orchestration, Automation, and Response)は、比較的新しい種類のセキュリティプラットフォームである。企業が導入している多種多様なセキュリティ製品を連携させ、それぞれから得られる情報を集約し、その分析や対処に関する作業を自動化することを狙いとしている。近年は、セキュリティの脅威が深刻化し、システムやネットワークに関して解析すべきデータがますます増える一方で、セキュリティ人材は不足している。こうした難題に企業各社が取り組む中で、米調査会社Gartnerが2015年に提唱したSOARの概念が業界で受け入れられ、プラットフォームが広まってきた。

前回から続く)

SOAR導入に向けた準備の5つのヒント

Credit: Matejmo / Getty Images

 SOARプラットフォームは、出来合いの製品を購入してインストールするだけで使えるわけではない。自社の環境に合わせたカスタマイズが必要だ。したがって、ベンダー各社のSOAR製品を検討するうえでは、各社がどのようなサポートを行っているかを調べておく必要がある。加えて、SOARプラットフォームで実現される新しいワークフローや機能に対応できるよう、自社のセキュリティオペレーションの態勢を整える必要がある。SOARに関する経験が豊富なセキュリティプロフェッショナルらの話をもとに、SOARの導入に向けた準備を進めるうえでのヒントを5つ紹介する。

・社内の人材やスキルに合ったSOARプラットフォームを選ぶ:「SOARの特色は製品ごとに少しずつ違う。高度なスキルを持つアナリスト向けの製品もあれば、あらゆる水準のユーザーを対象にした製品もある」。そう話すのは、VPNoverviewのサイバーセキュリティエキスパート、Veronica Miller氏だ。例えば、SOAR製品によっては、セキュリティ製品を連携してプレイブックを作成するために、Perl、Python、Rubyのいずれかでスクリプトを作成しなければならない場合がある。

 「導入を考えているSOARプラットフォームが、GUIを利用した操作と、IDE(統合開発環境)の類いを利用したスクリプト作成の両方に対応しているかどうか、きちんと調べておく必要がある。GUIがあれば、プログラミングの知識がない人も、ドラッグ&ドロップのシンプルな操作でSOARソリューションの強みをすぐに生かせるし、IDEがあれば、必要に応じて高度なカスタマイズを加えられる」

・必要なAPIコネクターがそろっているかどうか確認する:主なセキュリティ製品と連携するためのコネクターを一通り備えているSOARプラットフォームもあるが、すべての製品を網羅しているとは限らないし、内製開発のセキュリティツールを連携したい場合もある。そのような時は、APIコネクターの出番だ。Smart BillionsのJason Mitchell最高技術責任者(CTO)は、APIを使って連携する必要があるセキュリティ製品やツールを洗い出すことは重要なステップだと話す。「システムの中で、監査、アラート、対処を行う時の仕組みに目を向け、調査したAPIコネクターがすべて利用可能または開発可能であること、目的のアクションを実行できることを確認しておくべきだ」

↑ページ先頭へ