SOAR(Security Orchestration and Automation Response)とは、セキュリティインシデント対応業務の品質向上および生産性を高めることを目的に、企業の情報システムに導入されている様々なツールと連携しながら、インシデントの調査から対処にかかわる業務プロセスを自動化することだという。
情報システムやコンピュータのセキュリティインシデントに関する通知を受け取り、適切な対応を実施するチームまたは組織を指す「CSIRT」を設置する企業が増える一方、セキュリティを専門とする人材の不足により、CSIRTや監視業務を担う組織(SOC)に高度な人材を安定的に確保することが難しくなっている。また、業務手順が属人的になっている場合、担当者がいなくなると、業務が継続できなくなるリスクもある。
そのため、セキュリティインシデントの調査から対処に至るまでの業務プロセスを自動化・高度化するSOARツールが登場し、注目されているという。SOARツールにより、次のような効果を期待できるという。
- 自動化による対応速度と対応品質の向上
- インシデント対応業務の集約
- インシデント検知の高精度化
- インシデント対応状況の可視化と経営層への迅速な報告
しかしながら導入にあたり、他システムとの接続設定など、自社の監視・運用に合わせたカスタマイズが必要となる。これがボトルネックとなり、自社で導入したものの、ツールを効果的に活用できなかったり、導入を見送ったりするケースも見られる。
NRIセキュアは、上記の問題点を解決し、SOARツールを最大限に活用するために、ツールの導入と運用それぞれの場面で支援するサービスを提供するとしている。
各サービスの主なポイント
■SOAR導入支援
・各種SOARツールの導入コンサルティング:企業の業務環境に適したSOARツールの選定や導入に向けた社内への提言を実施し、ツールを活用した監視運用業務の設計と、自動化する業務領域の定義を行う。
・SOARツールの導入、環境構築:すでに導入されているSIEM(Security Information and Event Management)製品およびセキュリティ機器との接続を設定し、監視・インシデント対応業務の自動化手順書(プレイブック)を作成。
■SOAR運用支援
・SOARツールに関する教育・運用支援:導入したSOARツールの利用方法について、担当者へのレクチャーを実施し、運用業務フローの定期的な見直しを支援。
・SOARツールの構成変更とカスタマイズ:新たなイベントログへの対処方法やセキュリティ機器の追加設定のほか、導入後に発生した脅威や業務フローに対応するためのプレイブックの作成、見直しを支援。
