2019.11.20
インシデント対応を自動化するSOAR
SOAR (Security Orchestration, Automation and Response) は、SIEM(Security Information and Event Management)と同様Gartner社によって提唱された言葉で、セキュリティインシデントに対応するためのソリューションスタックです。
SOAR の最も重要な機能は次の3つです。
・脅威と脆弱性の管理・・・脆弱性の修復をサポートし、ワークフローやレポートなどを提供 ・セキュリティインシデント対応・・・セキュリティインシデントへの対応を計画し、管理、追跡、調整方法をサポート
・セキュリティ運用自動化・・・ワークフロー、プロセス、ポリシーの実行などの自動化とオーケストレーション
近年、RPAも盛んになりセキュリティの運用に携わる部門では、セキュリティオーケストレーションと自動化のSOA(security orchestration and automation)への関心が高まり、その恩恵を得たいという気運が盛り上がってきております。
よって、多くの企業がSOAR のサービスを活用して、社内のセキュリティとイベント管理で使用してきたSIEMソフトウェアを増強しようという動きがあります。SIEMとSOARスタックの両方が、あらゆる機器やシステムからログなどのセキュリティ関連データを集約する一方で、ベンダが提供するSOAR サービスはより広範な内部および外部アプリケーションとの統合を実現してくれるようです。
SIEMでは、インシデント情報やログのデータが一元管理でき、ツールを使用すれば1つのダッシュボードで見ることができましたが、インシデントに関連する対応のアクションは人間が行うことが基本でした。それに加え、SOARでは、インシデントについての優先順位付けや、対応プロセスやレポーティングなどをフローに従って自動化するところまで踏み込んでいます。
今後、RPAによって事務系にまでソフトウェアロボットが活躍しだすと、運用管理すべきシステムが数多くなります。
そのためのセキュリティ対策に携わる運用担当者不足の問題に対応するためには、圧倒的な運用効率化が必要で、どれだけセキュリティインシデントの対応を自動化できるかがカギとなります。
前のページ
次のページ[タグ] 用語 トレンド 監視
[関連]
SIEMで実現する予兆保全
インシデント対応ロボット
自動化にはセキュリティ対策が前提条件