導入・選定ガイド

「SOAR」を基礎から徹底解説 セキュリティを隅々まで自動化

文◎水野健生、竹見宗久、加地弘樹(NTTデータ先端技術) 2021.06.16

  • Teitter
  • facebook
  • 印刷

サイバー攻撃が巧妙化する中で、企業ではとにかく人材が不足している。そうした中で、インシデントの対応まで自動化する「SOAR」と呼ばれるソリューションが注目を集めている。

サイバー攻撃は年々その手口が高度化・巧妙化し、攻撃量のみならず、攻撃を受けた際の対応も複雑化し増加の一途をたどっています。

たとえば警察庁、総務省、経済産業省の発表によれば、令和2年における不正アクセス行為の発生件数は2806件であり、5年前の1840件と比べて5割以上増加しています(図表1)。

 

図表1 不正アクセス行為の認知件数の推移(過去5年)

図表1 不正アクセス行為の認知件数の推移(過去5年)

 

しかし、攻撃を受ける企業側の視点では、攻撃に対応するセキュリティ技術者を確保できている企業は限られています。IPA(情報処理推進機構)の「IT人材白書2020」によれば、十分に人材を確保できていると考えている組織はおよそ10%ほどにすぎません。

つまり、多くの企業はますます勢いを増すサイバー攻撃に、不足している人材で対応しなくてはならない状況下にあります。そこで、注目されている対策が、セキュリティに特化した自動化ソリューションであるSOAR(Security Orchestration,Automation & Response)です。

本稿ではSOARの仕組みを解説するとともに、企業のサイバーセキュリティにおいて抱える課題をいかに解決するかを導入のシナリオを示しながら解説します。

SOARとは何か? 「対処」まで自動化SOARとは米国の調査会社ガートナーが提唱した概念で、セキュリティに関する運用を統合して対応を自動化できるセキュリティソリューション群です。

一般的に、セキュリティインシデントが発生した際には、複数のシステム・ツールで検知・分析された情報や、外部情報を統合(Orchestration)して判断し、対処(Response)を進める必要があります。SOARは、このような一連のインシデント対応のプロセスを自動化(Automation)することができるソリューション群です(図表2)。

 

図表2 SOARの概要

図表2 SOARの概要

 

自動化により貴重なセキュリティ人材の単純作業を代行し、高度な分析・判断に集中することができるようになります。

また、近年は攻撃側の速度も上がっており、たとえばマルウェアに感染した端末を企業ネットワークから隔離するなどの措置を迅速に実行する必要がありますが、ここでも自動化による対応速度向上が有効な対抗手段となります。

SOARの具体的な要素としては、基幹コンポーネントとなる自動化ツールを中心として、セキュリティ製品やサーバー等、連携する複数のコンポーネントから構成されます。ユーザーは自動化ツールにて、オペレーションとそれを実行する条件を記したプレイブックと呼ばれる自動化シナリオを作成することができます。自動化ツールはプレイブックの内容に基づきセキュリティ脅威レベルを自動で判別し、レベルに応じた対処を実行することができます。

さらに、外部インテリジェンスとのインテグレーションや自組織内デバイスの重要度を設定することで、脅威レベル判別基準を利用者の環境に合わせることや、レベル判定の精度を向上することが可能となります。

SOARによる自動化の例を見ていきましょう。サンドボックスと構成情報、外部インテリジェンスを情報ソースとして自動化ツールをインテグレーションさせた自動化について図表3に示し解説します。

 

図表3 SOARによる自動化例

図表3 SOARによる自動化例

 

サンドボックスでは明確にマルウェアと判定しきれず、疑わしいファイルであるとしか判定できないケースがあります。従来、このようなファイルはセキュリティ技術者が調査・対処をおこなう必要がありました。

SOARではサンドボックスで疑わしいファイルであると判定されたファイルに対し、外部インテリジェンスより取得した脅威情報をセカンドオピニオンとして利用し、危険性を判断させることができます。

その結果、危険度が高いと判断した場合、ファイアウォールを操作し該当の機器をネットワークから切り離し、同時に同一セグメントの機器に導入されたEDR製品を操作し、検知されたマルウェアが蔓延していないか自動で検索をさせることも可能です。このような調査・対処の自動化を行うことができます。
続きのページは「business network.jp」の会員の方のみに閲覧していただけます。ぜひ無料登録してご覧ください。また、すでに会員登録されている方はログインしてください。

  • Teitter
  • facebook
  • 印刷

スペシャルトピックスPR

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】WIRELESS SMART CITY

<Part1> ネットワークとともに進化する都市
<Part2> スマートシティネットワークの作り方
<Part3> 柏の葉に“Meta発”ミリ波無線の実験場
<Part4> スーパーシティ大阪 L5G広域利用の先行事例に
<Part5> ドローン「レベル4解禁」で変わる都市の物流
<Part6> ワイヤレス給電は都市をどう変えるか?

>>詳しい目次を見る

スペシャルトピックス

インテルインテルが進めるネットワーク仮想化 国内キャリアとの最新動向も
SDNとエッジ中心の未来を見据え、通信事業者と進める取り組みとは?
レッドハットインフラの自動化で34%の工数削減 レッドハットのネットワーク自動化2.0
人と人のコミュニケーションも効率化し、圧倒的な自動化を実現する。
i-PROセキュリティカメラの映像を遠隔監視 AI機能でマーケティングなどにも活用
幅広い用途に簡単、スピーディー、リーズナブルに対応するi-PRO Remo.
ジュニパーネットワークスWi-Fi 6E×AIで超効率ネットワーク 無線からWANまでクラウドシフト
ジュニパーはWi-Fi 6E時代に向けて、NW運用をAIとクラウドで効率化!
UniFiWi-Fi 6のライセンス費用がゼロに UniFiならコスパ抜群・簡単管理
圧倒的なコスパと手軽さで、オフィス、学校、工場、病院らが採用
日本マイクロソフト走り出した「5G網をAzureへ」計画
クラウド移行でキャリアは何を得るか

AT&Tの5GコアのAzure移行の狙いと進捗状況をマイクロソフトに聞いた。
ローデ・シュワルツ強みのミリ波技術で6G開発に貢献 1THz対応受信器もラインナップに
ローデ・シュワルツが得意のミリ波技術で6Gへの取組を強めている。

モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」<連載>NTTグループのプロフェッショナルたち
モバイル空間統計が直面した困難「ビッグデータのプライバシーを守れ」
NTT Comサイバー攻撃事件の舞台裏「侵入者は対策メンバーのアカウントにもなりすましていた」<サイバーセキュリティ戦記>
NTT Comサイバー攻撃事件の舞台裏

「侵入者は対策メンバーのアカウントにもなりすましていた」
セイコーソリューションズISDNからインターネットへ スムーズな移行を可能にするには

ハードウェアを設置するだけ!ISDNからIP網への移行をフルサポート。

AirREAL-VOICE2簡単操作でマイグレーション実現
データ通信だけでなく通話・FAXも

アダプターの入替だけで移行が完了するMIの音声対応LTEルーター

NTTデータINSネットの後継ならお任せ!
移行で伝送時間短縮や負荷軽減

INSネットからの失敗しない移行方法をEB/FBの種類別に紹介しよう。

Wi-SUN AllianceWi-SUN認証デバイスが1億台突破
日本発の世界標準規格の普及加速

2.4Mbpsへの高速化など新たな進化も始まっている。

エヌビディアNTTとLINEが牽引する日本の自然言語処理、この2社がリーダーである理由

3月21日から開催の「NVIDIA GTC 2022 Spring」で知ろう!

ホワイトペーパー

アクセスランキング

tc202012

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2020 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます
当ウェブサイトはCookieを使用しています。閲覧を続ける場合、プライバシーポリシーに同意したことになります。