「SOAR」という言葉を聞いたことはありますか?

本記事ではIT用語「SOAR(ソアー)」の意味や目的について、インターン生の目線から、IT分野に詳しくない人にも分かりやすく説明します。

目次

SOARの定義

SOARと聞いて、私は英単語「soar(高く舞い上がる)」を思い浮かべましたが、意味も語源も異なります。

SOAR(Security Orchestration, Automation, and Responseとは、セキュリティ運用に関する作業を自動化・効率化するための技術やソリューションです。

セキュリティ運用とは?

SOARが自動化する「セキュリティ運用」とは、そもそも何でしょうか。セキュリティ運用とは、企業や組織のITシステムが止まることなく、継続的に事業を運営できるように管理や対策を行うことです。

具体的には、システムが正常に動いているか監視したり、ソフトウェアを更新して脆弱性を修正したりします。異常を見つけた場合は素早く原因を調べて対応し、被害を最小限に抑えます。社内で誰がどの情報にアクセスできるかを管理したり、社員のセキュリティ意識を高める教育を行ったりすることもセキュリティ運用に含まれます。

なおサイバー攻撃など、情報管理やシステム運用に関してセキュリティ上の脅威となる事象をセキュリティインシデント、もしくは単にインシデントと呼びます。(参考:IT用語辞典 e-Words

以前、航空会社へのサイバー攻撃によってシステムに不具合が生じ、欠航が相次いだというニュースがありました。サイバー攻撃はサービスの停止や情報漏洩を引き起こし、経済的損失はもちろん、企業の信用も失う恐れがあります。こうした被害を防ぐために、日頃の管理が必要だと分かりました。

SOARにできること

SOARは、セキュリティ運用に関する作業をどのように自動化・効率化するのでしょうか。S、O、A、Rそれぞれの意味を捉えると、理解しやすくなります。

セキュリティ(Security)におけるインシデントが発生した際、まずはシステム監視ツールやウイルス対策ソフトなどの複数のツールが検知した情報を統合(Orchestration)する必要があります。そして集めた情報から原因を分析し、被害の拡大を防ぐために対応(Response)せねばなりません。

SOARは、このような一連の業務プロセスを自動化(Automation)します。(参考:NTTデータ 先端技術

なぜSOARが必要なのか

SOARが求められている背景には、企業におけるセキュリティ人材の不足があります。

デジタル化の進展に伴い、サイバー攻撃やデータ漏洩のリスクは増加しています。情報通信研究機構(NICT)が運用する大規模サイバー攻撃観測網(NICTER)が観測したサイバー攻撃関連通信数は、2015年(約632億パケット)から2023年(約6197億パケット)にかけて9.8倍に増加しています。(参考:NICTER観測レポート2023

サイバー攻撃の数が増えるだけでなく、その手口も高度化していく中で、これらに対応できる人材は不足しています。

NRIセキュアテクノロジーズによる2019年の調査では、セキュリティ対策を行う人材の充足状況について、約9割の日本企業が不足していると回答しました米国とシンガポールでは8割の企業が充足していると答えており、とりわけ日本で人材不足が課題になっていると分かります。

(NRIセキュアテクノロジーズ「NRI Secure Insight 2019」より、総務省が作成。引用元:総務省 情報通信白書 令和2年度版

冒頭に述べたセキュリティ運用の重要性を踏まえると、セキュリティに関する業務の停滞は深刻な問題です。

対策としてセキュリティ人材の育成も重要ですが、日本企業ではセキュリティに限らず多くの分野で人手不足が課題となっています。リソースの確保を試みるだけでなく、自動化できる作業は自動化して、限られた人材により高度な業務で活躍してもらうべきではないでしょうか。

そこで、SOARによるインシデント対応の自動化・効率化が解決策となります。

具体的なインシデント対応の流れ

事前にインシデント発生時の対応手順やルールを定義しておくことで、SOARはインシデントの検知から分析、対応までを自動で行います。ここでは、SOARによるインシデント対応の流れを具体的に掘り下げます。

①インシデントの検出

インシデントが検出されると、システムやネットワークを監視しているツールが警告を発します。SOARはその情報を自動的に受け取ります。

②アラートの評価

SOARはアラートを分析し、問題の深刻度を評価します。例えばシステム障害の場合、サーバーがダウンしているのか、特定のアプリケーションが動作していないのかなどを判断します。問題の状況に応じて、必要な対応を決定します。例えば特定のデバイスが攻撃を受けている場合には、そのデバイスをネットワークから切り離すなどの処置を行います。

③自動的な対策の実行

SOARは自動的に問題の対処を実行します。例えば、マルウェアが発見された場合は感染したファイルを削除したり、システム障害でサーバーがダウンした場合は再起動を試みたりします。

④セキュリティ担当者への通知・手動対応

SOARは、インシデント対応の進行状況を担当者にリアルタイムで通知します。必要に応じて、さらに詳しい調査や手動での対応が行われます。

⑤事後分析とレポート作成

インシデントが解決したら、SOARは事後分析を行い、問題の発生原因を突き止めたり対応の効果を評価したりします。SOARがインシデント対応の結果をまとめたレポートは、経営層などに提供され、企業のセキュリティ体制の強化につながります。

SOARを導入するメリット

SOARの導入により、次のような効果が期待できます。

①セキュリティ運用の負担を軽減

SOARによって定型的な作業を自動化することで、セキュリティ担当者の負担を軽減できます。セキュリティ担当者はより高度な判断が求められる仕事に集中でき、リソースの割り当てを改善できます。

②より迅速で正確なインシデント対応

インシデント対応の複雑なプロセスを自動化することで、手動で行う場合よりも迅速に対応できます。また、手動で行う場合は人的ミスや担当者のスキルによる品質のばらつきがありますが、SOARでは予め登録した手順に従って自動で対応を行うため、作業の品質が均一になります。

③運用フローの可視化

SOARは多数のツールを1つのプラットフォームに統合するため、情報の一元管理が可能になります。これによりセキュリティの状況やインシデント対応全体の効果を可視化できます。

担当者の作業時間や作業分担を記録し、組織のパフォーマンスを明らかにすることも可能です。セキュリティ運用の状況が可視化されることで経営層とのやり取りも促され、改善計画を立てやすくなります。

まとめ:セキュリティの質も上げるSOAR

これまでの解説から、SOARはセキュリティ運用を効率化するだけでなく、手動よりも迅速・正確に業務を行うとともに詳細な記録を残せるため、企業のセキュリティレベルの向上をもたらすと分かりました。

人手不足に悩む企業であっても情報セキュリティのリスク管理を怠らず、堅実に事業を継続していくためにはSOARの導入が有効だと言えます。

余談ですが、私がまだ小学生だった2015年、野村総研のレポートで「10-20年以内に、日本の労働人口の49%が人工知能やロボットで代替可能になる」と発表されたことが話題になりました。(参考:野村総合研究所

当時は自身の将来への不安もあり、人の仕事を機械が代替することに反発したくなる気持ちもありました。しかし本記事の執筆を通して、①日本企業の人材不足、②情報セキュリティのリスクの深刻さ、そして③セキュリティ運用業務と自動化の親和性の高さを知り、明らかに「自動化すべき業務」が存在することを改めて確認しました。

セキュリティに限らず、自動化・効率化を実現する「robostein」

システム運用自動化ツール「robostein(ロボシュタイン)」も、SOARの1つです。システム障害が発生した際に、初動調査やシステムの再起動の実行、セキュリティ担当者への連絡など、自動で一次対応を行うことができます。

システム運用や障害に対する考え方は国によって異なりますが、robosteinは純国産のツールです。そのため、日本企業にとって最適な設計であることが特徴です。マニュアルやサポート対応も日本語のため、安心です。他の強みとしては、管理画面のデザインの分かりやすさや、月額定額制で分かりやすい料金設定があります。

画像は、robosteinの管理画面(ダッシュボード)です。robosteinでは、自動化によって削減できた時間や稼働状況を一目で確認できます。
これにより、自動化における費用対効果を算出することができるようになります。

インシデント対応の手順を設定する際は、下の画像のように工程が書かれたブロック(ノード)をつなぎ合わせることで、直感的にフローを構築できます。
これにより開発部門に頼らず、運用部門や非エンジニアでも自動化の構築が可能になります。

さらに、robosteinはインシデント対応だけでなく、さまざまなシステム運用業務の自動化が可能です。4,500種以上のノードを用意しているため、組み合わせ次第であらゆる運用業務を自動化できます。

セキュリティ分野に限らず、IT人材が不足している企業は多いでしょう。自動化による業務の効率化に関心のある方は、ぜひrobosteinをチェックしてみて下さい。

公式HPはこちら
サービス資料はこちら

関連記事