全2006文字
PR

 SOARはインシデントを検知し、自動で対応する機能だ。クラウドサービスとして提供される。

 SOARへの注目が高まる背景には、セキュリティー担当者の負荷増加がある。近年SIEMの導入が進み、企業システムで発生するあらゆるログやアラートを集めて分析できるようになった。一方で大量に発生するアラートをさばくことで手いっぱいとなり、疲弊する担当者が増えている。多くの情報が集まりインシデントを検知しやすくなったものの、担当者の人数は変わらないため対応が追い付かないという状況が、多くの企業で発生している。

 そこでインシデントの検知から、実際の対応までを担当者に代わって実施するSOARのニーズが生まれたわけだ。セキュリティー人材の不足も後押しし、導入を検討する企業が増えている。「日々の運用で大量に発生する定型的な業務をSOARに任せられれば、担当者は未知の脅威の分析といった高度な作業に注力できる」(NRIセキュアテクノロジーズの通信セキュリティコンサルティング部長の新井ちづる氏)。

他のシステムに対応を指示

 SOARはAPI経由で他のシステムやセキュリティー機器と連携することで、インシデント対応を自動化する。その一例が、マルウエアによる不正な通信のブロックだ(図4-1)。ある企業の従業員(利用者)がメール経由でマルウエアに感染したとする。感染後、マルウエアはC&Cサーバーと通信を開始する。ウイルス対策ソフトが検知してマルウエアを隔離したとしても、マルウエアは既に社内の他の端末にも感染している可能性がある。

図4-1●他のシステムと連携してインシデントに自動対応
図4-1●他のシステムと連携してインシデントに自動対応
SOARによるインシデントの自動対応の例。SOARは、SIEMが収集したシステムのログやアラートなどを基にインシデントを発見する。他ベンダーの機器やサービスと連携することで、インシデントに自動的に対応することもできる。
[画像のクリックで拡大表示]

 そこでウイルス対策ソフトはSIEMへアラートを送信する。SIEMはその情報をSOARに伝える。SOARは他の端末もそのマルウエアに感染していると想定し、社内ネットワークからC&Cサーバーへの通信をブロックするようファイアウオールに指示。指示に従って、ファイアウオールは通信をブロックする。これにより、マルウエアに感染した端末が操られたり、端末から情報が盗まれたりすることを防げる。

 マルウエア検知のアラートをSOARが受信したら、社内ネットワークの全端末のウイルス対策ソフトにフルスキャンを実施させるといった対応も可能だ。マルウエアの多くは、感染すると別のマルウエアをインターネットからダウンロードして感染させる。このためあるマルウエアに感染した際には、別のマルウエアにも感染している可能性が高い。そういったマルウエアをあぶり出すのに有効だ。

 以上はあくまで一例である。APIさえ用意されていれば、どのような機器やソフトウエアであってもSOARと連携し、自動対応や担当者のサポートに活用できる。