ブログ

SOAR とは何ですか? 政府機関はサイバーセキュリティの取り組みで SOAR をどのように活用できますか?

ライル・マーシュ サムネイル
ライル・マーシュ
2020年10月7日公開

ガートナーによると、 SOAR は「セキュリティ運用チームが監視する入力を組織が収集できるようにするテクノロジーで構成されています...SOAR ツールにより、組織はデジタル ワークフロー形式でインシデントの分析と対応手順を定義できます。」*

しかし、SOAR とは一体何なのでしょうか? それは、脅威を軽減し、分析を実行するために連携して動作する、すべてを知るテクノロジーのスイート、つまり、サイバー攻撃を防ぐ現実世界のターミネーターのようなスカイネット テクノロジーなのでしょうか? 「SOAR ソフトウェア」には特定の種類がありますか? それとも、サイバーセキュリティに対する推奨アプローチを提供するフレームワークでしょうか?

飛翔: 強固なセキュリティのためのフレームワーク

それは単なるツールやツールセット以上のものです。 SOAR は、強固なセキュリティ プランを作成するためのモデルです。 はい、政府機関に対して、セキュリティ データと分析の処理を、テクノロジー (セキュリティ情報およびイベント マネージャーやセキュリティ ログ マネージャーなどの脅威インテリジェンス ツールなど) から自動化するよう求めています。 しかし、SOAR には、人間の介入を促すセキュリティ オーケストレーションという別の部分もあります。

セキュリティ情報およびイベント管理ソリューションまたは同様のツールが潜在的なインシデントを特定した場合に何が起こるかを考えてみましょう。 ツールから始まり、セキュリティ管理者で終わるワークフロー プロセス全体が作成されます。

そのプロセスでは、組織が(おそらく)すでに導入しているセキュリティ ポリシーに基づいてインシデントが評価されます。 考慮すべき事項としては、次のようなものが挙げられます。

  • 侵害されたアプリケーションに割り当てられた脅威レベルは何ですか?
  • その脅威レベルに基づいて、損害の可能性を軽減するためにどのような自動化アクションを実行する必要がありますか?
  • 問題を解決するためにさらにどのようなアクションが必要ですか?

セキュリティ管理者は、フォレンジック データから得られた脅威インテリジェンスを取得し、その情報を使用して問題を直ちに調査して修復し、それに応じてセキュリティ ポリシーを調整して、将来の攻撃に対する組織の防御を強化することができます。

したがって、SOAR の人的要素が作用します。 自動化に重点が置かれているにもかかわらず、人間は最後の防衛線であり、セキュリティ強化の責任を負っているため、SOAR フレームワークの重要な要素です。 彼らの専門知識と適切なセキュリティ ソリューションを組み合わせることで、組織は悪意のある敵に対して一歩先んじることができます。

適応型アプリケーションはSOARモデルにとって不可欠

SOAR は、適応性が高く、データを活用して組織の脅威への対応方法を継続的に改善するセキュリティ プログラムの構築に重点を置いています。 インテリジェンスを活用して現在の脅威を特定し、それらのインシデントに対応し、そこから学び、時間の経過とともに適応して改善することを推奨します。

F5 では、組織がセキュリティ状態を自動的に調整できる適応型アプリケーションを構築できるよう支援することに重点を置いています。 これらのアプリケーションは、ユーザーが最初にアプリケーションにアクセスしたとき (アプリケーション認証が必要)、データがインターネット経由でプッシュされたとき ( Web アプリケーション ファイアウォールの使用がトリガーされる) など、アプリケーション データ パス (アプリケーション トラフィックがアプリケーションからエンド ユーザーに送信されるパス) に沿ったさまざまなタッチポイントから得られた情報を収集して分析します。

これらの各タッチポイントは、独自のテレメトリと分析を生成します。 このデータは、アプリケーションが期待どおりに動作しているかどうか、または侵害を示す可能性のある何らかの異常があるかどうかを検出するために使用されます。

後者の場合、アプリケーションは潜在的な脅威を軽減するために自動的に適応し、SOAR の自動応答の要件を満たすことができます。 アプリケーション データ パスのある時点で、疑わしいトラフィックの急増が検出されたとします。 ボット管理ソリューションは、アプリケーションに ping しているトラフィックの種類 (たとえば、人間とボット) に基づいて、不正行為を自動的に検出できます。 アプリケーションは、事前に定義されたセキュリティ ポリシーに基づいて、疑わしいトラフィックを自動的にブロックできます。

人間と機械の力

SOAR フレームワークは、複数のテクノロジーと人間の専門知識を活用してセキュリティ ポリシーを強制し、継続的に改善する、自動化され、応答性に優れた俊敏なシステムを構築するための優れた青写真です。 これは、現在および将来の脅威に対する非常に効果的な抑止力となります。
____

*ガートナー用語集、SOAR、https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar