SOARとは?「セキュリティ運用」の自動化で得られる3つのメリット
テレワークの普及や業務システムのクラウド化に伴って重要となるSOC(Security Operation Center)や(CSIRT: Computer Security Incident Response Team)におけるセキュリティ運用。そんな社内におけるセキュリティ運用の課題を共有しながら、その解決策として有効なSOAR(Security Orchestration and Automated Response)の機能メリットについて紹介しつつ、SOARの具体的なアプローチ方法について見てきます。
新たな時代に考えるべき3つの環境変化
テレワークの普及によって働き方が多様化し、業務基盤をクラウドに移行する企業が増えています。クラウド化に伴ってセキュリティ対策の強化や新たなソリューションの追加、そして他部署との連携も含めた運用面でも大きな変化が見て取れます。一方で攻撃者は、攻撃の高度化を進め、狙っている対象範囲も広がりを見せているのが現状です。つまり、環境変化という視点では、業務環境はもちろん、攻撃脅威や運用環境など大きく3つの変化にまとめることができます。
業務環境の変化で大きいのは、テレワークの急速な普及に伴って業務環境の整備が優先され、結果としてセキュリティ対策が追いついていないケースが散見されることです。クラウドシフトによってセキュリティの監視範囲が拡大し、セキュリティ運用に関連した業務が急増したため、結果として運用が追いついていない企業も少なくありません。
攻撃脅威の変化において注目すべきは、業務環境の変化によって攻撃者が狙う範囲が拡大している点です。IPAが毎年発表している情報セキュリティ10大脅威の結果でも、テレワークなどNew Normalな働き方を狙った攻撃が増えたことで2021年度はすでに3位にまで順位があがっています。対象範囲の拡大や攻撃の高度化によって、専門知識を持って運用していくことが難しい状況となっており、限定された人材での運用を余儀なくされるなかで運用が属人化してしまい、専門人材の育成が追いついてないケースも少なくありません。
運用環境の変化は、まさに業務環境や攻撃脅威の変化に追随していくべく、セキュリティ運用そのものの変更が発生している部分が挙げられます。新たなセキュリティ製品の導入によって把握すべきアラートやログが増え、運用担当者は学習機会を増やさなければなりません。また他部署との連携によって業務負荷が高まり、結局運用していくことが難しい状況に追い込まれているのです。 
今求められている「業務の置き換え」アプローチ
これらの変化に対して、新たな環境づくりが求められますが、そもそも新たな環境に適用するためには、従来とは異なる運用フローを整備することが必要で、現状を可視化したうえで対応すべきことを洗い出していく作業が欠かせません。この可視化を行ったうえで、前述した変化にどう対応していくことが最適解なのでしょうか。
まずは業務の効率化を図ってセキュリティ運用を軌道に乗せていくアプローチが考えられますが、そもそもセキュリティ製品が多くなりすぎてしまい、既存の製品を選別していかざるを得ない企業も少なくありません。業務効率化を意識しすぎると、本来セキュリティ監視対象だった製品が対象から漏れてしまう可能性が考えられるため、現実的な解決策とはなり得ません。
業務をそもそも削減してしまうというアプローチも検討されます。現実的には、使用する製品が増えているなかで把握すべきアラートが増えており、監視が追いつかない状況を解消するべくアラートをフィルタリングして業務削減につなげる動きなどが散見されます。しかし、本来見るべきアラートが見落とされしまうリスクもあるため、業務削減に関しても一概に推奨できる方法とは言えません。
人的なリソースを増やすことで変化に対応していくことも可能ですが、そもそも人材が確保できる余裕のある企業であれば変化に対する課題は顕在化しにくいはず。人材を確保して変化に対応していくというアプローチも、現実的な解とは言えません。
そこで有効なアプローチとして検討したいのが、運用上発生する単純作業や反復作業をツールに置き換えて自動化する業務の置き換えです。ただし、ツールに業務を置き換えて自動化したとしても、全てを解決することは当然できません。そこで、少しでも課題解決につながるよう現実解を探していくことを目指すべきです。この自動化に有効なセキュリティ製品群がSOARと呼ばれるソリューションなのです。
SOARとは? SOARが求められる背景
SOARは、Security Orchestration and Automated Responseの頭文字をとったもので、一言でまとめるとセキュリティ運用を統合して自動化していくコンセプトのソリューションです。通常のセキュリティ運用では、多くの製品からアラートを確認し、調査解析を実施したうえで端末対応を行っていきます。またインテリジェンス管理の観点では、最新の脅威情報や脆弱性パッチ情報などもそれぞれ収集していることでしょう。そんなセキュリティ運用に欠かせない製品や情報を1つに統合し、プラットフォームに橋渡しを行うものがSOARになります。
基本的にSOARでは、ユーザーの運用に応じてPlaybookと呼ばれるフローチャートを作成し、そのフローに沿って自動で対処できる環境を実現します。一般的なセキュリティ運用では、アラートの発生から切り分け、対処、そして完了という一連の流れをプロセスとして管理します。例えばアラート発生後に該当のアラートがブロックされたのか検知のみなのかといった観点で条件を分岐させ、検知のみの場合はアラートの危険度に応じて端末を隔離するといったフローを定義しています。SOARでは、この一連のフローを自動化することができます。条件分岐を起点に端末の隔離やファイルの削除なども含めて自動実行できるなど、SOARによってセキュリティの運用の負荷を大きく軽減できる可能性を秘めているのです。
ただし、ユーザーごとにセキュリティ運用の方法が異なるため、SOARを導入すればすぐに自動化できるわけではありません。自社のセキュリティ運用のフローを改めて認識する必要があります。
まず確認したいのが、セキュリティ運用における運用設計です。自動化するためには、改めて担当者全員でセキュリティ運用フローを見直す必要があります。見直しを行ったうえで、自動化できる対象や判断基準などを明確化し、Playbookに落とし込む設計を行っていきます。また、運用において連携している各種製品の仕様についても改めて確認することが求められます。具体的には、既存の製品と連携可能なのか、製品仕様上APIを使って連携できるのかといった視点です。この連携が可能であれば、SOARによる自動化が実現でき、冒頭にて提示したセキュリティ運用の課題解決につながるはずです。
SOARによる自動化によって得られるメリット
ここで、SOARによる自動化によってどんなメリットが得られるのか、改めて整理します。
SOARによる自動化によって、セキュリティ運用にかかる時間を短縮することが可能になり、効率的に運用を回していくことが可能になります。SOAR導入以前は、製品からアラートを1つずつ確認し、原因特定を行ったうえで端末への対処を行いますが、この一連の流れが人手を介さずに実施できます。その結果、新たに確保できた時間を人手によって判断しなければならない部分への対応に充てることで、より専門的な対応だけに専念できます。
また、SOARによって自動化することで、運用者によって異なるセキュリティスキルを平準化し、属人的な運用を排除することが可能です。従来であれば運用に慣れているメンバーのみで対応せざるを得なかった部分を自動化することで、自分たちが対応すべき範囲がこれまで以上に明確化できます。障害の切り分けや対処など個人のスキルによって対応可否が決まっていた部分も自動化できるため、課題解決にも大きくつながるはずです。
さらにセキュリティ運用のフローが可視化されることも大きなメリットの1つです。従来であれば運用するなかでフローが不明確になり、人によって対応の方法が異なってしまうことも。アラートに対する切り分け調査や端末対応があいまいとなり、アラート対応が後手に回ってしまうこともあったはずです。SOARによって自動化する範囲の決定や運用フローそのものを見直すことで、運用者全員が共通認識としてフローが把握できるようになり、決まったフローに沿った業務運用を実現します。
SOAR含む豊富なセキュリティモジュールが活用できるCrowdStrike
ここで、CrowdStrikeが提供するソリューションで実現する自動化について見ていきます。CrowdStrikeは、NGAVやEDRをはじめとしたさまざまなセキュリティモジュールを提供しており、ユーザー自身で必要なモジュールを選択して導入することが可能です。
NGAVは、ファイル検知端末の振る舞い検知を行い、それぞれブロックする機能を提供します。またEDRは端末の挙動ログをクラウドにアップロードしてくれるため、管理画面から端末の状況を簡単に閲覧できます。このログを活用することで、アラート発生後の切り分け調査が可能になるだけでなく、ネットワーク遮断やリモートにおけるアクセス許可など端末の対処も可能です。この2つのモジュールを活用するだけでも、多くのセキュリティ範囲をカバーできるようになります。
またCrowdStrikeでは、脅威ハンティング機能を提供するOverWatchと呼ばれるモジュールも提供しています。CrowdStrike社のハンティングチームによってクラウド上に収集されたログを、人の目によって24時間365日監視し続け、疑わしい挙動があれば調査を実施、ユーザーにアラートとして通知します。検知ロジックとして製品に反映する環境も提供しており、NGAV・EDRと脅威ハンティングを組み合わせることで多層防御が陣減できるなど、他のソリューションにはない強みを有しています。
もともとインテリジェンスを強みに持つCrowdStrike社だけに、インテリジェンスに関連したモジュールも提供しています。CrowdStrike社で特定した攻撃グループの一覧やマルウェア情報が検索できるなど、セキュリティに関連したさまざまな情報を提供するだけでなく、CVE ID(共通脆弱性識別子: Common Vulnerabilities and Exposures ID)一覧や端末の該当可否など脆弱性管理に役立つ情報も有しており、CrowdStrike1つでカバーできる範囲が広いのも大きな特徴です。他にも、20種類ほどのモジュールが提供されています。
▼CrowdStrike 最新資料はこちら
https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/download.html
自動化に貢献するSOAR「Falcon Fusion」
そしてCrowdStrikeが提供するSOARとして自動化に貢献するのがFalcon Fusionと呼ばれる機能です。実は、EDRやNGAVなどのモジュールに搭載されている機能の1つであることから、追加コストが発生しません。そして、CrowdStrikeが持つ各モジュールをマッピングしてみると、アラート統合からアラート調査、端末対応、インテリジェンスによる管理まで、セキュリティ運用に必要な機能をすべて網羅することができ、そのうえでFalcon Fusionを活用すれば、アラート運用の一連におけるフローが自動化できるのです。
CrowdStrikeは、アラート管理から切り分け調査のための情報提供、そして端末対処における一連の流れを管理画面から分かりやすく確認でき、端末全てのアラートをまとめて閲覧できるだけでなく、端末からアップロードされたログを検索することで迅速な調査が可能になるなど、端末の影響範囲の特定も含め、運用管理しやすい環境が整備できます。また、CrowdStrikeは社内ネットワークのみならず、リモートで業務を行う端末に対しても1つの画面で管理可能であり、セキュリティ運用の負荷軽減に大きく貢献します。もちろん、セキュリティインシデントにおける対応の大幅スピードアップにもつながることは間違いありません。
Falcon Fusionは、セキュリティ運用におけるワークフローに沿って、トリガーや条件分岐、アクションなどを軸に選択しながらPlaybookを作成します。アラートが通知されたことをトリガーに、そのアラートの危険度に応じて条件分岐を設定し、実際に実行するアクションを設定する流れです。例を挙げると、アラートの危険度がミディアム以上の場合、自動的に端末隔離を実施するというアクションをとるといったイメージです。
具体的にフローチャートを設定する際には、トリガー、条件分岐、アクションの3つを選択するだけで、複雑なプログラミングによる作り込みは不要です。CrowdStrike1つでアラート対応から切り分け調査、対処までが可能なだけでなく、条件分岐においては50種類にわたるワークフローが作成できるため、自社の運用にあったフロー設計も可能です。
New Normal時代に求められるセキュリティオペレーションの課題に対して、解決策として有効なSOAR。セキュリティ人材が不足している今の時代にこそ、オペレーションの自動化につながるSOARを検討してみてはいかがでしょうか。
▼資料のダウンロードはこちら
▼CrowdStrike お問い合わせはこちら
