SOAR（セキュリティー・オーケストレーション、自動化、レスポンス）とは

大規模な組織におけるセキュリティー・オペレーション・センター（SOC） は、サイバー脅威の追跡・対応に多数のツールに依存しており、多くの場合は手動で行われています。このように手動で脅威の調査を進めることにより、脅威対応の総時間がさらにかかっています。

SOARプラットフォームは、SOCにこれらのツールを最適化された脅威対応ワークフローに統合し、それらのワークフローにおける低レベルの反復タスクを自動化できる中央コンソールを提供します。このコンソールを使用すると、SOCはこれらのツールによって生成されたすべてのセキュリティ ーアラートを1か所で管理することもできます。

SOARは、アラートのトリアージを合理化し、さまざまなセキュリティーツールが確実に連携するようにすることで、SOCの平均検知時間（MTTD）と平均応答時間（MTTR）を短縮し、全体的なセキュリティー体制を向上させるのに役立ちます。セキュリティーの脅威をより迅速に検知して対応することで、サイバー攻撃の影響を和らげることができます。IBMの最新のデータ侵害のコストに関する調査 によると、データ侵害のライフサイクルが短いほど、侵害コストが低くなります。200日未満で解決した侵害のコストは平均102万米ドル少なく、その差は23％でした。

SOARテクノロジーは、過去の3つのセキュリティーツールを統合して誕生しました。 2015年に「SOAR」という用語を初めて作ったGartnerによると、SOARプラットフォームはセキュリティーインシデント対応プラットフォーム、セキュリティオーケストレーションおよび自動化プラットフォーム、脅威インテリジェンスプラットフォームの機能を1つの製品に統合しています。

そのため、セキュリティー・オーケストレーション、セキュリティー自動化、 インシデント対応というコア機能に分けることで現代のSOARソリューションの仕組みを理解することができます。

「セキュリティー・オーケストレーション」とは、SOARプラットフォームが企業のセキュリティーシステム内のハードウェアツールとソフトウェアツールをどのように接続して調整するかを指します。

SOCでは、ファイアウォール、脅威インテリジェンス・フィード、エンドポイント保護ツールなど、さまざまなソリューションを使って脅威を監視し対応しています。単純なセキュリティー・プロセスであっても、複数のツールが関与する場合があります。たとえば、フィッシング・メールを調査するセキュリティー・アナリストは、脅威を特定し理解して解決するために、安全な電子メール・ゲートウェイや、脅威インテリジェンス・プラットフォーム、ウイルス対策ソフトウェアが必要となるでしょう。これらのツールは異なるベンダーから提供されていることが多く、容易に統合できない場合があるため、アナリストは作業中に手動でツール間を移動しなければなりません。

SOARを使えば、SOCはこれらのツールを一貫した反復可能なセキュリティー運用ー（SecOps） ワークフローに統合できます。では、アプリケーション・プログラミング・インターフェイス （API）、事前構築されたプラグインやカスタム統合を使って、セキュリティー・ツール （および一部の非セキュリティー・ツール） を接続します。これらのツールが統合されると、SOCはプレイブックを使って活動を調整できます。

プレイブックは、セキュリティーアナリストが脅威の検出、調査、対応などの標準的なセキュリティープロセスの手順の概要を説明するために使用できるプロセスマップです。プレイブックは複数のツールやアプリにかかることができます。 完全自動化、完全手動化、または自動化と手動化の組み合わせが可能です。

SOARのセキュリティーソリューションは、サポートチケットのオープンおよびクローズ、イベント・エンリッチメント、アラートの優先順位付けなど、重要度が低いものの時間がかかる反復作業を自動化することができます。また、SOARは統合セキュリティツールの自動アクションをトリガーすることもできます。つまり、セキュリティーアナリストは、プレイブック・ワークフローを使用して複数のツールを連鎖させ、より複雑なセキュリティー運用の自動化を実行できるということです。

例として、SOARプラットフォームが不正アクセスを受けたノートPCの調査をどのように自動化できるか考えてみましょう。何かがおかしいという最初の兆候は、エンドポイントの検知と対応 （EDR） ソリューションから得られます。このソリューションはノートPC上の疑わしいアクティビティーを検知します。EDRはSOARにアラートを送信し、SOARが事前定義済みのプレイブックを実行します。まず、SOARはインシデントのチケットを開きます。SOARは統合された脅威インテリジェンス・フィードやその他のセキュリティー・ツールからのデータを使用してアラートを強化します。次に、SOARは、ネットワーク検知と対応（NDR） ツールをトリガーしてエンドポイントを隔離したり、ウイルス対策ソフトウェアにマルウェアを検知して駆除するよう指示したりするなど、自動応答を実行します。最後に、SOARはチケットをセキュリティー・アナリストに渡し、セキュリティー・アナリストはインシデントが解決されたか、人的介入が必要かを判断します。

一部のSOARには、セキュリティーツールからのデータを分析し、将来の脅威に対処する方法を推奨する人工知能（AI）および機械学習が含まれています。

SOARはそのオーケストレーションと自動化の機能により、セキュリティーインシデント対応（IR）の中央コンソールとして機能します。IBMのデータ侵害のコストに関する調査によると、IRチームとIR計画テストの両方を実施している組織は、どちらも実施していない組織よりも54日早く侵害を特定していることがわかりました。

セキュリティーアナリストは、SOARを使用して、複数のツール間を移動することなくインシデントを調査して解決することができます。脅威インテリジェンスプラットフォームと同様に、SOAR は外部フィードと統合セキュリティ・ツールからのメトリクスとアラートを中央のダッシュボードに集約します。アナリストは、さまざまなソースからのデータを関連付け、誤検知を除外し、アラートに優先順位を付け、対処している特定の脅威を特定できます。その後、アナリストは適切なプレイブックをトリガーして対応できます。

SOCは、インシデント後の監査やより積極的なセキュリティープロセスのためにSOARツールを使用することもできます。SOARダッシュボードは、特定の脅威がネットワークを侵害した経緯や、将来的に起こる同様の脅威を防ぐ方法をセキュリティーチームが理解するのに役立ちます。同様に、セキュリティーチームはSOARデータを使用して、まだ認知されていない進行中の脅威を特定し、適切な場所に脅威ハンティングの取り組みを集中させることができます。

SOARプラットフォームは、セキュリティーツールを統合し、タスクを自動化することで、ケース管理、脆弱性管理、インシデント対応などの一般的なセキュリティ ワークフローを合理化できます。この合理化には次のようなメリットがあります。

SOAR、SIEM、およびXDRツールはいくつかのコア機能を共有していますが、それぞれに独自の機能と使用例があります。

セキュリティー情報とイベント管理（SIEM）は、社内のセキュリティー・ツールから情報を収集し、中央ログに集約し、異常のフラグを立てます。 SIEMは主に、大量のセキュリティー・イベント・データを記録および管理するために使用されます。

当初、SIEMテクノロジーはコンプライアンス・レポート・ツールとして登場しました。SOCは、SIEMデータがサイバーセキュリティー運用に役立つ可能性があることに気付き、 SIEMを採用しました。SOARソリューションは、オーケストレーション、自動化、コンソール機能など、ほとんどの標準SIEMにはないセキュリティー重視の機能を追加するために生まれました。

XDR（拡張された検知と対応） ソリューションでは、エンドポイント、ネットワーク、クラウドからセキュリティー・データを収集して分析します。SOARと同様に、セキュリティー・インシデントに自動的に対応できます。ただし、XDRではSOARよりも複雑で包括的なインシデント対応の自動化が可能です。また、XDRではセキュリティー統合を簡素化できるため、多くの場合、SOAR統合よりも専門知識や費用が少なくて済みます。XDRには、事前に統合された単一ベンダーのソリューションもあれば、複数のベンダーのセキュリティー・ツールを接続できるソリューションもあります。XDRは、リアルタイムの脅威検知、インシデントのトリアージ、および自動化された脅威ハンティングによく使用されます。

大企業のSecOpsチームは、これらすべてのツールを一緒に使用することがよくあります。しかし、プロバイダーは両者の境界線を曖昧にしており、SIEMのようなデータロギングで脅威やXDRに対応できるSIEMソリューションを展開しています。一部のセキュリティ専門家は、SOARがかつてその前身となるツールを統合したように、XDRも将来的には他のツールを吸収する可能性があると考えています。