サイバー攻撃は年々その手口が高度化・巧妙化し、攻撃量のみならず、攻撃を受けた際の対応も複雑化し増加の一途をたどっています。

たとえば警察庁、総務省、経済産業省の発表によれば、令和2年における不正アクセス行為の発生件数は2806件であり、5年前の1840件と比べて5割以上増加しています（図表1）。

図表1　不正アクセス行為の認知件数の推移（過去５年）

しかし、攻撃を受ける企業側の視点では、攻撃に対応するセキュリティ技術者を確保できている企業は限られています。IPA（情報処理推進機構）の「IT人材白書2020」によれば、十分に人材を確保できていると考えている組織はおよそ10％ほどにすぎません。

つまり、多くの企業はますます勢いを増すサイバー攻撃に、不足している人材で対応しなくてはならない状況下にあります。そこで、注目されている対策が、セキュリティに特化した自動化ソリューションであるSOAR（Security Orchestration,Automation & Response）です。

本稿ではSOARの仕組みを解説するとともに、企業のサイバーセキュリティにおいて抱える課題をいかに解決するかを導入のシナリオを示しながら解説します。

SOARとは何か？　「対処」まで自動化SOARとは米国の調査会社ガートナーが提唱した概念で、セキュリティに関する運用を統合して対応を自動化できるセキュリティソリューション群です。

一般的に、セキュリティインシデントが発生した際には、複数のシステム・ツールで検知・分析された情報や、外部情報を統合（Orchestration）して判断し、対処（Response）を進める必要があります。SOARは、このような一連のインシデント対応のプロセスを自動化（Automation）することができるソリューション群です（図表2）。

図表2　SOARの概要

自動化により貴重なセキュリティ人材の単純作業を代行し、高度な分析・判断に集中することができるようになります。

また、近年は攻撃側の速度も上がっており、たとえばマルウェアに感染した端末を企業ネットワークから隔離するなどの措置を迅速に実行する必要がありますが、ここでも自動化による対応速度向上が有効な対抗手段となります。

SOARの具体的な要素としては、基幹コンポーネントとなる自動化ツールを中心として、セキュリティ製品やサーバー等、連携する複数のコンポーネントから構成されます。ユーザーは自動化ツールにて、オペレーションとそれを実行する条件を記したプレイブックと呼ばれる自動化シナリオを作成することができます。自動化ツールはプレイブックの内容に基づきセキュリティ脅威レベルを自動で判別し、レベルに応じた対処を実行することができます。

さらに、外部インテリジェンスとのインテグレーションや自組織内デバイスの重要度を設定することで、脅威レベル判別基準を利用者の環境に合わせることや、レベル判定の精度を向上することが可能となります。

SOARによる自動化の例を見ていきましょう。サンドボックスと構成情報、外部インテリジェンスを情報ソースとして自動化ツールをインテグレーションさせた自動化について図表3に示し解説します。

図表3　SOARによる自動化例

サンドボックスでは明確にマルウェアと判定しきれず、疑わしいファイルであるとしか判定できないケースがあります。従来、このようなファイルはセキュリティ技術者が調査・対処をおこなう必要がありました。

SOARではサンドボックスで疑わしいファイルであると判定されたファイルに対し、外部インテリジェンスより取得した脅威情報をセカンドオピニオンとして利用し、危険性を判断させることができます。

その結果、危険度が高いと判断した場合、ファイアウォールを操作し該当の機器をネットワークから切り離し、同時に同一セグメントの機器に導入されたEDR製品を操作し、検知されたマルウェアが蔓延していないか自動で検索をさせることも可能です。このような調査・対処の自動化を行うことができます。