「SOAR」は魔法の自動化ツールなのか!? ~失敗しないセキュリティ運用自動化への道~

SOARブログ_サムネイル.png

マクニカネットワークスでは、2018 年から Splunk FireEyeExabeam社のセキュリティ運用自動化ツールであるSOAR製品の提案活動を続けてきました。これまで様々な企業へ様にSOAR をご提案、採用いただいてきましたが、導入検討の初期段階で思わぬ課題にぶつかる企業が多かったのは事実です。

この記事では、実際にお客様から聞いた声をもとに、SOARは決して魔法の自動化ツールではないこと、そして失敗しないセキュリティ運用自動化のステップを解説していきます。

1.躓きやすいポイントとは? SOAR 導入時の自動化ステップ

SOAR は企業のセキュリティ運用に深く関わり、運用のあり方に大きな変化をもたらします。だからこそ、導入検討にあたっては事前準備・調査を徹底して行う必要があります。まずは SOAR の導入の検討 STEP を簡単に整理してみましょう。

図1_SOAR.JPG

上図のように、導入検討STEPは大きく分けて6段階です。

しかし、最初のSTEPである「①業務棚卸」の段階で躓くことが多いようです。「①業務棚卸」が進まないと、次の STEP に進むことができず、結局プロジェクトは頓挫し、最終的には目の前の業務に追われる日々を抜け出すことはできません。

それではなぜ、「①業務棚卸」が進まないのでしょうか? SOARを導入検討する企業では、自社で SOCやCSIRT の機能を持っている大手企業、もしくはマネージドサービスを提供している事業者が多いのですが、意外にも業務プロセスが確立されておらず、属人化しているケースが多いと思います。

その他に考えられる要因も含め、障壁は以下の通りです。


【SOAR の導入検討でつまづきやすいポイント】

  • 業務プロセスが属人化しており、プロセスのすべてを把握することが難しい。
  • 関係者が多すぎて、全員にヒアリングをするのに非常に時間がかかる。
  • 最適な調査や費用対効果の算出には、セキュリティ・自動化に関する特定領域の専門知識が必要になる。
  • アセスメントを実施するにあたり、十分な人員・工数を確保できない。
  • 経営層を説得するためのレポート作成はハードルが高い。

上記を踏まえると、「①業務棚卸」には、既に忙殺されている優秀なセキュリティ人材を巻き込む必要があり、更に苦労を強いることになりかねません。また、インシデントが発生した際には最優先で目の前の対応をしなければならないため、どうしても SOAR の導入検討は後回しになってしまうのです。

2.SOARで自動化する前に最低限実施すべき事前アセスメント

「①業務棚卸」~「⑥技術検証」まで、専門家に任せるという選択肢もあります。マクニカネットワークスでも、Splunk Phantom 自動化アセスメントサービスを提供していますので、少しご紹介させてください。

当社が提供する事前アセスメントでは、現行プロセスの棚卸~ROI シュミレーション~導入プラン案作成までを一気通貫で代行し、アセスメント結果は経営層の意思決定に必要なアセスメントレポートとして提供します。

SOAR 導入検討にあたり最低限実施すべき事前アセスメントは以下の通りです。

①現行のインシデントレスポンス (IR) 運用プロセスの把握

  • どんな IR プロセスが存在するか?
  • 各 IR プロセスの発生頻度は?必要な対応時間は?
  • 各 IR プロセスは属人化してないか?プロセスのドキュメント化の度合いは?

②現行 IR プロセスのドキュメント化

③ROI シミュレーション

  • 自動化すべき IR プロセスはどれか?
  • 逆に、人が実施すべき IR プロセスはどれか?
  • 各 IR プロセスを自動化した場合に、どれほどの ROI が出るか?

これらを事前に調査し、現行の運用プロセスを見える化することで、最短で投資回収できる最適な SOAR 導入プランが描けるようになります。多くの企業にとって、SOAR の導入検討に必要な STEP は大きな負荷になると思います。目の前の業務が忙しく、じっくりと SOAR 導入プランを作成することは難しい場合は、ぜひ自動化アセスメントサービスのご活用をオススメします。

3.導入後の STEP は? SOAR 運用の自動化ベストプラクティス

ここからは、SOAR を導入した後の運用 STEP について紹介していきたいと思います。
実は、SOAR を導入した企業が陥りがちなのが、Playbook の作成を急ぎすぎることです。アセスメントを実施し、運用手順や判断基準が明確になっているフローはすぐに Playbook 化が可能です。でも、日々変わる運用の中で、まだ判断基準が明確でないフローまでも無理にPlaybook 化しようとしてしまうのは危険です。

SOAR 導入後の理想的な STEP は以下の通りです。

図2_SOAR.JPG

STEP1 :アクションの自動化

まず STEP1 では、手順が明確なフローを選択してWorkbookを作成します。そして、手順の中に組み込まれるアクションを自動化していくという流れです。例えば、Web ブラウザを起動し、レピュテーションサイトへアクセスし、疑わしい IP アドレス 100 個を 1 つずつコピー&ペーストして結果を記録するという1つの操作を、SOAR製品を使用すると1クリックで実行できます。ここでは、この 1 クリックで実行できる状態を「アクションの自動化」と呼ぶことにします。

STEP1 時点では、自動化するアクションと、手動で対応するアクションが入り混じることは問題ありません。「それじゃぁ SOAR を導入した意味がないじゃないか」と思う方もいるかもしれませんが、実際に運用してみると、アクション単体を自動化するだけでも十分メリットがあることを実感できると思います。
また、特定のイベントに対してアクションの対応履歴を積み上げていくことで、これまで属人化していた判断基準が明確になってきます。判断基準が明確になれば、STEP2 に進みましょう。

STEP2:継続的な業務棚卸

STEP2 では STEP1 で得た対応履歴をもとに、判断基準が明確になった自動化したアクションをつなげていきます。そうすることで、まずは小さな Playbook をたくさん作っていくのです。同時に、STEP1 に戻り新たな Workbook を作成していくことで、SOAR に適用するフローの数を増やしていきます。

STEP3:自動化の継続

STEP3 では、STEP2 で作成した Playbook 同士を紐付けて行き、Playbook の最大化を目指していきます。初めから大きな Playbook の作成を目指すのではなく、小さく始めて大きくしていくことで、徐々に人の判断を減らすことができます。この作業を積み重ねることで、自社のセキュリティ運用に圧倒的な変化と、工数の削減という大きなメリットをもたらすことができるのです。

4.実は工数削減だけじゃない!SOARのメリットはこんなところにも

SOAR と言えば、自動化による工数削減が注目されていますが、セキュリティ運用の現場にとって、実は他のメリットもあります。

属人化を解消

インシデントレスポンスにおいては、いかに早く、そして正確に対処することができるかが、自社の情報資産を守るための重要なポイントになります。運用を自動化することで、レスポンススピードUPと、「人によってアウトプットが異なるという属人化問題も解消」することができます。

対応履歴の管理と方針の可視化

また、私たちがこれまで SOAR を提案してきた中で、意外にも好評だったのは、「1 つのインシデントに対する対応履歴や方針の可視化」です。私たちも、自動化の部分が SOAR の最大の強みであると認識していましたが、運用担当者の業務効率化という観点では、この点が何よりも負荷軽減につながるということがわかってきました。SOAR は、1 つのインシデントに対し、誰がいつどのような対応をし、そしてその調査がどこまで進捗しているかがわかるようになっているのです。

引継ぎ時間の短縮

例えば、マネージドサービスを提供している事業者は、24 時間 365 日の体制を敷いていて、シフトで次の担当者に引継ぎをする際には毎回 30 分~ 1 時間程度の時間をかけていることが多いのではないでしょうか。SOAR に情報を集約し、対応状況を可視化することで、その分時間短縮につなげることができます。
また、これまでは 「Excel やメールベースでの情報共有が主となっていたが、情報を一元管理することで、効率よく引継ぎを回せるようになった」という声も多くいただいています。

※SOARの画面一例

図3_SOAR.JPG

5.SOARはガートナーにも注目される期待値の高いソリューション

SOAR はガートナージャパンの「日本におけるテクノロジのハイプ・サイクル 2019」の黎明期にプロットされており、非常に期待値の高いソリューションです。目の前の業務が忙しく、業務が属人化する傾向がある日本企業において、SOAR の導入は容易ではないかもしれませんが、しっかりと事前調査を行って、運用に組み込み日々チューニングを重ねていくことで、これまでのセキュリティ運用の現場に抜本的な改革が期待できます。

脅威が高まり続けるセキュリティ運用の現場において、強い味方になることは間違いありません。近い将来、セキュリティ運用の業務効率化を実現するソリューションとして、ますます注目を集めることになるであろう SOAR。マクニカネットワークスでは、製品のナレッジ提供のみならず、導入~運用、日本語での保守サポートなど幅広く情報提供が可能です。SOAR の導入検討の際はお気軽にご相談ください。

この記事の詳細はホワイトペーパーでもご覧いただけます。また、Splunk Phantomをご紹介するオンデマンド動画もございますので、お気軽にご覧ください。

SOAR_Splunk DL.PNG

SOAR_FireEye DL.PNG

Phantomオンデマンド.JPG

fireeye_cmmn_ondemand_headb.jpg

▼セミナー案内・ブログ更新情報 配信登録メルマガ登録バナー(セキュリティ).jpg
ランキング