ナレッジセンター
匠コラム

SOARの今①

SOAR市場動向

匠コラム: セキュリティ; 自動化

2020.08.31

ビジネス開発本部第３応用技術部
第２チーム
上原健司

みなさん、こんにちは。
ビジネス開発本部応用技術部の上原です。

今回は、注目度が年々増している「SOAR」について述べていきます。

「SOAR」とは

初めに、「SOAR」について説明します。

SOAR(読み方：ソァ)とはSecurity Orchestration, Automation and Responseの略でテクノロジーを表す言葉です。セキュリティ監視・運用において機器から抽出される情報を連携し、意思決定までの流れを自動化し、意思決定後、自動的に機器に対策を施すことができるテクノロジーです。

セキュリティ監視・運用業務においては、OODAループを回すことが重要とされていますが、SOARではOODAループにおける「D」と「A」の部分を実現することができるテクノロジーとなります。

いままではSIEMとUEBAによって、「可視化、相関分析」「OO」を行うことができましたが、このあとの工程の「意思決定、対処の実施」「DA」に関しては従来の運用を踏襲した運用方法しか持ち合わせていませんでした。しかし、SOARの誕生でこの工程を自動化させることが可能になりました。

OODAループ（動的プロセス連携）

「SOARの比較」

セキュリティ運用におけるOODAループを考えると、下記のコンポーネント・製品が存在します。

OODAループのフローは、Observeステップで各機器からのマシンデータを取得・送信し、Orientステップで相関分析しインシデントとしてまとめて、Decideステップで運用マニュアルに従ってインシデントを取捨選択し、Actステップで変更が必要な機器に変更設定することになります。

Orientステップで活躍するテクノロジーはSIEMとUEBA、DecideステップからActステップで活躍するテクノロジーがSOARです。

SIEM製品の比較

SIEM(Security Information and Event Management)とは、セキュリティソフトの一つで、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象(インシデント)をいち早く検知・分析できるテクノロジーです。

次の製品が代表的なSIEMです。

UEBA製品の比較

UEBA(User and Entity Behavior Analytics)は、複数のセキュリティ製品やネットワーク機器などからログを集約し、ユーザ一人ひとりの振る舞いを分析できるテクノロジーです。
以前は、個々のユーザの振る舞いを分析する手法としてUBA(User Behavior Analytics)がありましたが、分析対象はユーザだけではなく、IPドレスなどが付与された情報端末など実態(Entity)を持つものすべてが対象であるべきという観点から、「User」ではなく「User and Entity」と表すようになりました。

次の製品が代表的なUEBAです。

SOAR製品の比較

この記事の主題のSOAR(Security Orchestration Automation and Response)です。

SOARは比較的新しいテクノロジーですが、ネイティブSOARとして起業しリリースしたものや、代表的なSIEM製品を保持しているメーカーがSOAR製品を獲得しリリースしたもの、チケット(タスク)管理製品にSOAR要素を取り込みリリースしているものなど、近年競争が激しくなりつつあります。

次の製品が代表的なSOARです。

「Cortex XSOAR」が今、熱い

ここからは、Palo Alto NetworksのSOAR製品である「Cortex XSOAR」を紹介します。

同社は、2019年4月からEndpoint製品とSecurity Intelligence製品を拡充し「Cortex」というブランドネームで製品群を提供しています。その製品群の中で、もともとネイティブSOARとして市場拡大していた「Demisto」を獲得し、2019年2月に「Cortex XSOAR」とリネームしてリリースしました。「Cortex XSOAR」は複数の製品をAPI連携し、パブリッククラウド環境とオンプレミス環境を横断してセキュリティ運用を自動化・自動連係することが可能です。

2019年2月の「Palo Alto Networks to acquire Demisto for $560 million」の記事を見ても、注目度が高いことが伺えます。

「SOARの今」まとめ

今回はパロアルトネットワークスのXSOARを中心にSOARについて記載しましたが、ほかにもSplunk社のPhantom、IBM社のResilient、ServiceNow社のSecurity Operationsなど、優秀なSOAR製品が市場に登場しています。

これらは、製品自体にさまざまな機能が搭載された「ビルトイン型」の製品ではなく、あくまで他の製品と連携することで価値が出てくる「オーケストレーション型」の製品です。

組織のセキュリティ運用の理解とオーケストレーションでできることについて成熟していけば行くほど、運用負荷軽減と、付加価値創造は加速することになります。

昨今、複雑化するITシステム・セキュリティシステムにおいてIT人財不足・セキュリティ人財不足が問題視されていますが、運用プロセスの自動化・自動連係はソリューションの一つになると考えられます。

RPAを代表とするIT運用プロセスの自動化・自動連係が確立され始めています。セキュリティの分野においてもセキュリティ運用プロセスの仕組みに着目し、SOARを用いた自動化・自動連係に着手することを強くお勧めします。

これで今回の匠コラムの内容を終了します。

次回は「Cortex XSOAR」の具体的な検証内容と結果について記載します。

最後まで読んでいただき、ありがとうございました。

用語集

OODAループ：ウーダループと読みます。動的プロセス連携を示し、あらゆる領域で適用できる戦略の一般理論です。瞬時に判断し実行できる思考法「OODAループ思考」として定義されています。

SIEM(Security Information and Event Management)：シームと読みます。セキュリティソフトの一つで、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象(インシデント)をいち早く検知・分析できるテクノロジーです。

UEBA(User and Entity Behavior Analytics)：ユーイービーエーと読みます。複数のセキュリティ製品やネットワーク機器などからログを集約し、ユーザ一人ひとりの振る舞いを分析できるテクノロジーです。

SOAR(Security Orchestration, Automation, and Response)：ソァと読みます。Gartnerによって提唱されたセキュリティ運用における自動化と自動連係のテクノロジーです。

XSOAR：パロアルトネットワークス社の次世代SOAR製品です。正式名称Cortex XSOAR。

Demisto：現Cortex XSOARの以前の社名・製品名です。ネイティブSOARとして市場拡大していました。

RPA(Robotic Process Automation)：ソフトウェア型のロボットが業務プロセスを代行・自動化するテクノロジーです。業務システム間のギャップに対し、人の手を介すことなく、あたかもソフトウェアの接着剤のようにRPAを組み込むことが可能です。

執筆者プロフィール

2008年ネットワンシステムズ株式会社中途入社
入社から3年間金融系フロントSEとしてセキュリティシステム設計、導入。
6年間外部向けメーカー認定セミナー（Cisco、PaloAlto）講師を担当。
現在応用技術部セキュリティ製品担当　兼　社内CSIRTメンバーとして従事。
日本CSIRT協議会の事例分析WGと訓練WGへも積極参加し、社内外に対して常に運用を意識したセキュリティソリューションを開発中。
Cisco資格CCIEダブルフォルダー（SEC、R&S）、CISSP、PMP保有