SOARとは、企業・組織で扱うさまざまなセキュリティ機器と連携し、脅威の検知、分析、インシデント発生時の対応などを、自動化・効率化するためのセキュリティソリューションです。

近年、サイバー攻撃がさらに猛威を振るう一方、高度化する脅威に対応する国内のセキュリティ人材は不足傾向にあります。そこで、少ないリソースで効率的にサイバー攻撃へ対抗するソリューションとして、SOCの業務効率化を支えるSOARが注目されています。

この記事ではSOARの特徴や注目されている背景、その仕組みや導入のメリットやポイントについて解説します。

また「SOARに興味はあるが、導入にハードルの高さを感じている」というユーザー様におすすめなのが、エムオーテックスの提供するネットワーク監視ソリューション「Darktrace（ダークトレース）」です。

あらゆる領域を幅広く監視し、業務効率化やセキュリティ精度の向上を図れる点で共通しますが、細やかなルール定義や詳細設定が不要、導入しやすいといったメリットがあります。

Darktraceで解決できる課題・魅力については、以下のページよりご覧ください。

SOARとは？

SOARとはSecurity Orchestration, Automation and Responseの略で、組織のセキュリティ管理・運用の効率化と高度化を実現することを目的とした、セキュリティソリューション及び概念を指す言葉です。

Gartner社が提唱した用語であり

が集約された概念です。

SOARを導入すれば、組織内の各種セキュリティ機器や外部サービスから収集された「脅威情報」をひとつのプラットフォームに統合して管理することが可能です。
また獲得した脅威情報をもとに、各レイヤーのセキュリティ機器と連携することで、従来は手動で対処していた定型的なタスク（情報収集や影響範囲の調査、一次対処など）を自動化することもできます。

▼SOARを導入している場合と導入していない場合の比較

SOARを導入することで、組織はセキュリティ人材のリソース不足を補いながら、より高レベルなセキュリティ体制の構築を目指すことが可能となります。一般的にSOCが下す高度な判断をもとに、SOARによって脅威の分析や対応を行っていきます。

SOARを構成する3つの要素

SOARを構成する3つの要素として

があげられます。基本的にこの要素を備えているものが、SOARに該当します。

1．セキュリティの自動化と連携（SAO）

SOARは、企業・組織内で運用しているさまざまなセキュリティツール（例：ファイアウォール、SIEM、エンドポイント保護ツールなど）と連携することができます。

従来、ログの形式や提供するベンダーの違いによって難しかった個々のセキュリティツールの連携を可能としたことで、ツールを横断したログ取得や分析を可能とします。

またSOARでは、ログ情報の収集や分析、脅威が発見された場合のアラートの優先順位づけといった定型タスクの自動化を実現します。具体的には、発生が想定されるインシデントの手順を「プレイブック」と呼ばれるデジタルワークフローに組み込むことで、自動化を行います。

2．インシデント対応管理(SIRP)

SOARは、インシデント対応に関する情報（インシデントへの対応フロー、関係者への情報共有等）を、同一プラットフォーム上で管理・運用することが可能です。

例えばSOARを確認することで、セキュリティ担当者のインシデント対応状況を把握できたり、関係者間のやり取りをプラットフォーム上で安全に行ったりすることもできます。

3．脅威インテリジェンスの情報管理(TIP)

SOARでは、組織内の各種セキュリティ機器や、外部の公開情報・各種サービスから収集された「脅威情報」を一元管理することが可能です。

脅威情報管理にて収集したデータを正規化・分析することで、より有益なインシデント情報としてSOCのインシデント対応や、セキュリティ機器の自動化などに役立てることができます。

またインシデント分析を重ねるごとに「自社独自のインシデント情報」を獲得することができるため、より高度で自社環境に適した、セキュリティの連携・対策を進めることが可能となります。

SOARはなぜ注目されている？

SOARが注目されている理由としては以下が挙げられます。

1．セキュリティ人材の不足

SOARが注目されている1つ目の理由は、セキュリティ人材の不足です。

総務省が過去に公開した「セキュリティ対策に従事する人材の充足状況」の調査によれば、米国及びシンガポールの8割以上の企業が「人材は充足している」と回答したのに対し、約9割の日本企業が「人材不足である」と回答したことが分かりました。

▼セキュリティ人材の充足状況について

出典：総務省｜情報通信白書令和2年版 – 第1部 5Gが促すデジタル変革と新たな日常の構築

理由として「セキュリティ人材の教育実施に必要な時間の確保が困難であること」「セキュリティ人材のキャリアパスの不足」などが要因として考えられています。

しかしインシデントに関するログやセキュリティ機器の数は年々増加しており、少数のセキュリティ担当者が、従来の手法でシステムを管理する運用方法は厳しくなっているのが現状です。

2．サイバー攻撃の増加・高度化

SOARが注目されている2つ目の理由は、近年のサイバー攻撃が増加傾向にあることです。

2022年に総務省が発表した「令和5年版情報通信白書」によれば、大規模サイバー攻撃観測網（NICTER）が観測した2022年のサイバー攻撃関連通信数は、約5,226億パケットでした。

2015年の約632億パケットから比較すると、8.3倍に増加していることがわかります。

▼NICTERにおけるサイバー攻撃関連の通信数の推移

出典：総務省｜令和5年版情報通信白書（2023年7月4日）

さらに、サイバー攻撃の手口は年々巧妙化・複雑化しており、以前に比べより早期発見が難しくなっています。

大量の脅威に対し、複数の機器を使い分け、インシデントの発生前に食い止めるには、あらゆる領域の脅威監視・分析を一本化し、かつ自動対応も行えるソリューションの存在が必要不可欠と言えるでしょう。

SOARとSIEM、XDRとの違い

SOARとよく比較されるセキュリティ概念・ツールに「SIEM」があります。

SIEMとは、Security Information and Event Management の略称であり、セキュリティ機器やネットワーク機器のログ情報を一元的に収集・解析することで、リアルタイムな脅威検知を可能とするセキュリティです。

「他の機器からログを収集し分析する」という点で共通していますが、SIEMは脅威の検知に、SOARはセキュリティ業務全般の自動化に焦点を当てている点が異なります。

SOARはSIEMをもとに「連携によるインシデント発生時の一次対処を自動化」できる機能を備えており、SIEMの課題であったセキュリティ担当者の工数削減・作業品質の均質化を実現する、と言われています。

SOARとSIEMは同時に導入されるケースも多く、両者を連携することでより高レベルなセキュリティの実現を目指すことができます。

またXDR（Extend Detection and Response）とは、サーバーやエンドポイント、クラウドといったあらゆる領域に関わるログデータを収集・分析することで、効率的かつ高度な脅威検知と対応を目指すセキュリティ概念です。

XDRとSOARは、イベント管理・セキュリティ機器の連携・自動化など、多くの共通する機能を備えています。明確な違いはありませんが、XDRはより高度な脅威検出と対応に重きを置いており、アナリスト手動型の脅威ハンティングを想定している点に違いがあります。

SOARを導入する主なメリット

SOARの導入には複数のメリットが挙げられますが、代表的な3つをご紹介します。

1.セキュリティ運用の負担を軽減できる

SOARは複数のセキュリティ機器運用を1つのプラットフォームに集約できるので、運用工数の削減が可能です。セキュリティ機器からのログ収集、アラート通知、脅威判定、一次対処や影響範囲の調査までを自動化できる点も大幅な負担軽減に繋がるでしょう。

セキュリティ人材の不足に悩む組織にとって、心強い味方となります。

2.アラート管理がしやすくなる

通知アラートの管理を容易にする点も、SOARの魅力です。通常、セキュリティ管理者は何百・何千というアラート通知への対応に追われ「適切に脅威へ対応できない」「他の業務に時間が割けない」という課題がありました。

SOARでは、多数のセキュリティツールを同一のプラットフォームに集約できるため、ツールを横断したログの取得や分析が可能となります。またトリアージ機能により、無関係なアラート管理にかかる工数も削減されます。

3.作業品質の均一化が図れる

SOARでは、あらかじめプレイブックに対応手順を登録することで、誰でも同じ手順・品質でインシデント発生時の対応が可能です。

従来のセキュリティツールの多くは、インシデントが発生した際にケースバイケースで対応しており、セキュリティ人材のスキルによって適切な対応ができないことがありました。SOARではプレイブックに従ってインシデントに自動で対応できるので、運用する担当者のスキルや経験によらず、作業品質を均一化でき、高レベルなセキュリティ対策を施せます。

SOARを導入する際の注意事項

ここまで述べた通り、SOARは組織のセキュリティレベルの向上・リソース不足の解消を支える上で、多くのメリットを備えています。

一方、導入にはいくつかの注意事項や懸念点があり、組織は自社の現状と照らし合わせながら、SOARの活用を検討する必要があります。

まず懸念としてあがるのが、SOARを導入し運用を軌道にのせるまでのハードルの高さです。製品自体の価格帯が高額になりやすいことは勿論、SOARにおける業務プロセスの整理や自動化シナリオの設計、環境の構築には、高い専門知識とスキル・期間を要します。

また現在のセキュリティ環境との互換性も必要であり、製品によっては、自社で使用しているセキュリティ機器と連携が難しい可能性もあります。

SOARの導入を検討する際は、ひと通りの機能を活用できるまでに長い時間やリソースを要すること、そして段階的に最適な環境を構築するという粘り強さ、導入～運用までには自社の他部門の協力・連携が不可欠であること等を、あらかじめ念頭に置いておくことが重要です。

SOAR検討ユーザーに知ってほしい、NDR「Darktrace（ダークトレース）」の魅力

そういったユーザー様に知っていただきたいのが、SOARと同様にあらゆるセキュリティ領域を網羅的に監視し、異常を速やかに検知するセキュリティソリューション、「Darktrace（ダークトレース）」です。

複数の機器から情報を収集するのでなく、Darktrace本体からあらゆる領域への通信パケット（トラフィック）を監視することで、速やかに異常の検知を図ることが可能です。

ネットワーク全体に加え、クラウド、テレワーク、Eメール、SaaS環境など、広範なデジタル環境を1台で網羅的に監視できるため、あらゆる脅威を素早く検知し対策することが可能です。脅威分析により、危険な通信は自動遮断まで行います。

また導入時はルール定義、詳細設定などが不要で、既存のシステムやセキュリティ機器への影響もないため、SOARで懸念される「導入時の設計の難しさ、リソース、準備期間の長さ」といったハードルを、解消することが可能です。

さらに、DarktraceではAI 機械学習と数学理論を用いた通信分析で自己学習し、通常とは異なる通信パターンを検知して、未知の脅威へと対応する仕組みです。 AIが脅威レベルを自動判断・遮断するため、脅威判定が簡単で管理工数を削減できるという強みを持ちます。

▼アラート受領から、1件あたり最短3分でセキュリティチェックが可能

1台で網羅的・高精度なセキュリティ監視・運用を叶えられるDarktraceは、社内のリソース不足に悩むセキュリティ担当者にとって心強い味方となります。
詳細は以下よりご覧ください。

まとめ

本記事では、SOARの仕組みや機能、そのメリットや導入のポイントについて解説しました。

SOARを導入することにより、運用の負担を低減しつつ均質的なインシデント対応が可能となるため、セキュリティ人材が不足していても高度なセキュリティ対策を実現できます。

この記事でSOARの理解が深まり、導入の参考になれば幸いです。