セキュリティ人材不足の今、運用自動化基盤の導入後に待ち受ける「落とし穴」　“真の効率化”に必要な3点

「自動化するための高度人材が必要」自動化基盤を導入しても課題は山積み……

　自動化によるメリットが明確である一方で、実際にSOAR（Security Orchestration, Automation and Response）を導入した企業の現場では、当初描いた理想とは異なる現実に直面しているケースが少なくない。窪井氏は、とある企業の事例を紹介した。

　この企業は当初、不審メールのトリアージ業務の自動化を第1ステップとし、将来的には柔軟な自動化範囲の拡大を目指していた。第2ステップでは、フィッシングメール受信時に脅威データベースと突合して脅威判定を行うワークフローや、ADサーバーの情報とUEBAを突合した相関分析などを自動化する計画だった。そして第3ステップとして、ベンダーの力に頼らず自分たちでプレイブックを作成し、自組織の環境に最適化した運用を内製化していくという青写真を描いていた。

　しかし導入後、製品面とサポート面で大きな課題が浮上した。製品面では、フルコード開発が求められることが大きな障壁に。窪井氏は「セキュリティ組織において、『適切なコードが書けて、知識も豊富にある』メンバーがいればフルコード開発にも対応できるが、そういった人材をもたない組織が大半だ」と指摘する。もし優れた人材がいたとしても、コードで記述されたプレイブックはその人材本人しか理解できないことが多く、トラブル発生時に原因箇所の特定が困難になるという課題もあった。

　サポート面では、既存SOARベンダーの対応体制に課題があった。日本語でのサポートが受けられない、あるいはメーカー側で技術サポートと一般的な製品仕様問い合わせの窓口が完全に分かれており、毎回顧客環境の説明を繰り返さなければならないといった非効率な作業が発生していた。

　こうした現実を踏まえ、窪井氏は「SOAR検討時には重視すべき3つのポイントがある」と語る。その根拠として引用したのが、IPAが公表したレポート『SOARを活用したセキュリティ運用の効率化』だ^[3]。このレポートでは、SOAR選定時の注意点として「連携可能な製品やAPIの種類」「ソリューションの提供形態」「製品の得意分野」「メーカーサポートの充実度」が挙げられ、運用時の注意点として「プレイブック実行のヘルスチェック」「プレイブックのメンテナンス」「プレイブックおよびAPI接続の管理」などが挙げられている。

　これらを読み解くと、「開発の容易性」「他製品連携」「伴走型のサポート」の3つが押さえるべきポイントだと同氏は述べる。SOAR導入企業の現状と目指すべき姿の間には明確なギャップが存在し、そのギャップを埋めるには製品の機能だけでなく、サポート体制を含めた総合的なアプローチが必要だ。

　「これら3つを網羅することで、誰でも簡単に開発でき、豊富なサードパーティ製品と連携できるほか、安心安全な日本語サポートを受けながら、企業がSOAR導入後に目指していた状態へ近づくことができます」（窪井氏）

[3]「SOARを活用したセキュリティ運用の効率化」（独立行政法人情報処理推進機構、2023年）