こんにちは、えもんです。

今回は、セキュリティ業界注目の用語、SOARについて説明します。

• SOARとは
  • アラート対応の自動化とは
  • 製品例
    • Phantom（splunk社）
    • QRadar（IBM社）
    • Demisto（Demisto社）

SOARとは

SOARとはSecurity Orchestration Automation and Responseの略です。

セキュリティ運用の自動化・効率を実現する仕組みのことを指します。

企業に導入されているセキュリティ機器は多種多様です。

日々そのセキュリティ機器からはログが吐き出され、大量の情報として上がってきます。

その中で、セキュリティ担当者はそれら大量のログを分析することにより、攻撃を受けていないか。対応する必要があるかを判断する必要があります。

親和性の高い製品としてSIEMがありますが、それら多種多様なログを一つのプラットフォームに集約し、見やすくする仕組みとなります。

SIEMは近年、一般的となり導入する企業が増えましたが、それらログを分析し、対応する人が不足しているのが今の日本の現状です。

www.nikkei.com

SOARはそのような人材不足を解消することが期待されています。

大量のログの分析、大量のアラートに対応することにより、CSIRT/SOCのようなセキュリティ担当者は疲弊し、本当に対応しなければならないアラートへの対応が遅れてしまうことがあります。

そこで、決まったアラート対応はシステムに対応してもらおうというのが、SOAR一番のメリットとなります。

また、システムに対応してもらうことでセキュリティ担当者以外の人でも使えるようになるの事もメリットの一つとなります。

アラート対応の自動化とは

SOARの利用により、アラート対応の自動化が可能となります。

製品によって多少異なりますが、基本的にはアラート対応の手順書のようなものを作成します。

簡単な例を挙げるとすれば、

①サンドボックスで検知した不正通信アラート

②アラート内に含まれる通信先のレピュテーションを調査

③悪性か判定

④悪性であればFWやプロキシでフィルタ設定を行う

上記はよくあるアラート対応の中の一つですが、これを手順としてシステム覚え込ませて自動化を行います。

ここで難しいのが③の悪性かどうか判定する部分になります。人間の判断が入る部分であり、セキュリティ担当者の勘所です。

そこで、SOARでは閾値を設定したりすることで悪性かどうかを判断しています。

「このレピュテーションサイトで80以上ならば悪性。」、「通信先がこの国ならば悪性」などでしょうか。

上記のように割り切ることで一部のセキュリティ運用の自動化が可能になります。

また、自動化となるため、エンドユーザに影響があるようなオペレーションは慎重に検討する必要があります。

製品例

SOARの代表として下記製品があります。

それぞれに特徴が出ていて面白いですね。

• Phantom（splunk社）

  www.splunk.com

• QRadar（IBM社）

  www.ibm.com

• Demisto（Demisto社）

  www.demisto.com