セキュリティオーケストレーションとは?事例を交えてわかりやすく解説!

はじめに

みなさんはインシデント(※1)が発生した際にどのような流れで何が行われているか、
勤めている会社でどのようなセキュリティ対策がされているか、ご存知でしょうか?
今回のNTC技術コラムではインシデント発生時に重要な役割をきたす「セキュリティオーケストレーション(SOAR)」についてわかりやすく解説していきます。
※1標的型攻撃、ゼロデイ攻撃、DDoS攻撃、パスワードリスト攻撃、フィッシング詐欺、ランサムウェア攻撃などのサーバー攻撃を指す。

  1. セキュリティオーケストレーションとは?
  2. なぜセキュリティオーケストレーションが必要なのか
  3. 導入した場合のモデル紹介

1 セキュリティオーケストレーションとは?

セキュリティオーケストレーション(Security Orchestration, Automation and Response)とは、
アメリカを中心として発展しているセキュリティ対策のツールの一つでSOARと略されます。
SOARはセキュリティ対策の運用の自動化・効率化を実現するための技術として近年注目を集めており
「インシデント対処の自動化」「インシデント管理機能」「脅威インテリジェンスの活用」の3つの構成要素から成り立っています。

セキュリティ対策を自動化していない会社では、普段は定常業務として管理者がサーバーやネットワーク機器に対してイベントログなどを手動で収集して、異常がないことを監視しています。
また、インシデント発生時はユーザーからの問合せなどをきっかけにログ収集を手動で行ない、異常がないかどうかを確認します。
異常が認められた場合、発見者から情報セキュリティ管理責任者まで「上長」→「事業部長」→「情報セキュリティ管理責任者」の順で報告がされ重要度によっては、社長までエスカレーションされるというのが一般的な流れです。

これに対し、セキュリティオーケストレーションを導入すると、定期的にログ取得と相関分析が行われセキュリティ担当者に通知されます。
担当者はその通知を基に処理を行ったり、更に既知のインシデントの場合はシステム側で処理を終わらせます。

2 なぜセキュリティオーケストレーションが必要なのか

セキュリティ部門には、部内のマルウェア感染などのセキュリティアラートが日々たくさん上がってきます。
これらのアラート内容の優先度をSOARが決めることで、担当者の負担を減らし、より迅速な対応をすることができます。
一部のパターンにおいては、脅威判断をして、遮断設定までを自動的に行ったり、対応処理を自動で行ったり、
対応処理の手順を通知するところまで対応してくれます。
その他にもSOARを導入することで以下のようなメリット・デメリットが存在します。

なぜここまで多くのツールを導入しているかというと、サイバー攻撃の種類は代表的なものを挙げるだけでも
・標的型攻撃
・ゼロデイ攻撃
・DDoS攻撃
・パスワードリセット攻撃
・フィッシング詐欺
・ランサムウェア攻撃
など数多くあり、一つのセキュリティツールだけで対処を行うことは不可能だからです。

セキュリティ担当者は、これらのセキュリティ対策ツールから上がってくるアラートや、それぞれのログの内容を調査・分析することでセキュリティリスクの有無を判断したり、インシデントが発生した際にその原因追求や影響範囲の特定を行います。
単独のツールの情報では痕跡をつかむことが難しく、複数のツールの情報を互いに突き合わせることで、状況が浮かび上がってきます。

既知の脅威などに対処するプロセスは、ルーティン化されているためそういった部分を自動化するだけでも、SOC(※2)は本来の業務に時間を確保できることになります。
人材不足で困っている企業などでは高度な技術を持つスタッフを入れなくても一般的な開発スタッフで行えるという点においても大きなメリットです。
※2…セキュリティ オペレーション センター、サイバー攻撃の検出や分析を行い、的確なアドバイスを提供する役割を持つ部門や専門組織

3 導入した場合のモデル紹介

では実際にSOARを導入したらどうなるのでしょうか。
今回は、NTCの環境にSOARを導入した場合のモデルを紹介します。


SOARは、自分で定期的にログ取得と相関分析を行い、インシデントの予兆を発見すると
直ちに関連するメンバーに通知します。
更に、予め対処方法までわかっているようなインシデントの場合はSOARで構築したPlaybook(内部的にはスクリプトやAPIの呼び出し等の集まり)で対処を実行し対処まで完了したことを自動で通知します。

このようにSOARを導入するとプロセスが自動化されている為、検知までの時間が大幅に短くなり、
Playbookを準備しておくことにより検知されてから対処が完了するまでも、大幅に短くなります。
発生したインシデント別に対処用のシナリオを登録することにより、機械的な対処が可能です。

多くのSOAR製品は、「対応製品を170種類以上、プログラムのテンプレートを1000種類以上」
「200種類以上のAppsを用意しており、1000以上のAPIを実行する事が可能」などと、
自動対処が可能となるテンプレートを準備したりAPIを使うインターフェースを準備することでその優位性を示しています。

RPA(※3)とどう違うのかといわれると、個別の機能単位でみるとRPAのシナリオ作成とやっていることは変わりません。
ただし、プログラムのテンプレートやAPI対応に特化していることがうかがえます。
労力はかかりますが、RPA化することは可能だと考えます。
※3…ロボティック・プロセス・オートメーション、事業プロセス自動化技術の一種

最後に

今回はセキュリティオーケストレーションについて解説しました。
テレワークなどの勤務形態が普及してきた今、更なるセキュリティ対策や運用の効率化が必要になってきます。
これからのセキュリティオーケストレーションは、多くの部分での自動化が期待されています。