Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

SOAR とは?

モダンな SecOps ソリューション Microsoft Sentinel では、お客様のセキュリティ エンタープライズ全体にわたって攻撃の検出と阻止を行うことができます。

SOAR の定義

セキュリティ オーケストレーション、オートメーション、および応答 (Security orchestration, automation, and response: SOAR) とは、サイバー攻撃の防止と応答を自動化する一連のサービスとツールを指します。このオートメーション (自動化) は、統合を 1 つにまとめ、タスクの実行方法を定義し、組織のニーズに適したインシデント応答計画を作成することによって達成されます。 

かつて、繰り返しが多く時間のかかるタスクに忙殺されていたセキュリティ オペレーション センター (SOC) チームは、SOAR テクノロジを利用してインシデントをより効率的に解決できるようになり、その結果としてコストを縮小し、カバレッジのギャップを埋め、生産性を押し上げています。

SOAR のしくみ

SOAR は一般的にオーケストレーション、オートメーション、インシデント応答の 3 つの要素で構成されており、これらの連携によって攻撃を発見し、阻止します。  

オーケストレーションによって内部と外部のツール (これには既製とカスタムの統合も含まれます) が接続され、1 つの中央の場所からアクセスできるようになります。これによってデータの整理統合とプロセスの効率化が可能になり、オートメーションの準備が整います。 

オートメーションとは、タスクが自動的に実行されるようにプログラミングすることです。これは、ワークフローの集合であるプレイブックを通して達成されます。これらのワークフローは、ルールまたはインシデントによってトリガーされたときに自動的に実行されます。プレイブックを利用することで、タスクを自動化し、アラートを管理し、脅威とインシデントに対する応答を作成することができます。

オーケストレーションとオートメーションによって、AI 搭載インシデント応答のための基盤が作られ、その結果として応答がより速く正確になるとともに、修復が必要なセキュリティの問題が減少します。

SOAR と SIEM

セキュリティ ソリューションにはさまざまなものがありますが、その中にセキュリティ情報イベント管理 (SIEM) という、よく似た頭字語の関連セキュリティ ツールがあります。SIEM とは何で、SOAR とはどう異なるのでしょうか? どのようなときに、その一方のソリューションを選んで使用するのでしょうか?

SOAR のツールの主な用途は脅威への応答のオーケストレーションとオートメーションですが、SIEM で行うのはアクティビティの可視化の拡大であり、そのための機能として脅威検出、ログ管理、インシデント分析、および規制と標準のコンプライアンスがあります。この可視化はログと、ネットワーク全体からの複数のデータ ストリームの統合によって達成され、これによって組織の全体的なセキュリティ状況を見渡すことが可能になります。

この 2 つのシステムは、連携することで最高の効果を発揮します。SIEM によってデータが収集されて分析され、そのデータに基づいて SOAR が実行され、こうしてリスク検出、可視化、応答のための完全なソリューションとなります。

オートメーションとオーケストレーション

SOAR を実現する 2 つの基本要素、つまりセキュリティのオートメーションとオーケストレーションについて、この 2 つがどう異なり、互いに補完するかも含めてさらに詳しく見ていきましょう。

セキュリティ オートメーションとは、一連のアクションを自動的に実行できるように、その方法を指定することです。たとえば、オートメーションを使用してインシデントに対するタスク、アラート、または応答をプログラミングします。オートメーションは、脅威のハンティングと修復などのセキュリティ プロセスのスピードアップにも役立つため、環境内の潜在的脅威をより少ない手間で解決できるようになります。タスクとプロセスを効率化することによって、SOC チームは次々発生するアラートの分類に費やす時間を減らして、重要なシグナルに集中できるようになります。 

セキュリティ オーケストレーションによって、情報の中央集中化と共有を行うために多様なツールと統合に接続することが可能になります。オーケストレーションを行うと、これらのツールが 1 つのグループとして環境全体にわたってインシデントに応答することも実現し、これはデータがネットワーク全体に分散しているときでも可能です。このような機能を持つことから、オーケストレーションは大規模オートメーションにおいてきわめて重要です。 

セキュリティ オートメーションとは、よりスムーズに実行できるようにタスクをシンプルにすることですが、セキュリティ オーケストレーションとは、一体となって実行されるようにツールどうしを接続することです。SOAR の両方の構成要素が連携することで、よりまとまりのあるシステムが形成され、その結果として全体的に効率が最大化されます。

SOAR が重要である理由

サイバー攻撃はこれまでになく増えており、その巧妙さは増す一方です。これが理由で、今では多くの組織がサイバーセキュリティを優先事項に挙げており、企業と消費者の双方がセキュリティ ソリューションに費やす金額が年々増えているのも同じ理由によるものです。

これにもかかわらず、サイバー犯罪者は手をゆるめてはいません。データ侵害が増加を続けており、それによって生成される圧倒的な数のアラートに、SOC チームは毎日重圧を感じています。このアラートに手作業で応答しようとすると時間と手間がかかり、正確さに欠けることもあります。また、あまりにも多くの通知がさまざまなシステムから送られてくるため、ノイズを排除してセキュリティの状況全体を明確に把握することはますます難しくなっています。  

そこで、SOAR の出番となります。SOAR テクノロジによって作られるエンドツーエンドのシステムが自動的に脆弱性を特定して応答するので、人間の介入は不要です。SOAR のツールを使用すると、あるイベントの発生時にどう反応するかを定義して設定しておくことができるので、時間と予算が解放されて、より優先度の高いプロジェクトに集中できるようになります。

SOAR の利点

SOAR のツールは、SecOps の方法の効率化に不可欠です。既にお使いのセキュリティ ソリューションのスイートに SOAR を追加した場合の、さまざまな長期的利点を紹介します。

  • 生産性の向上

    SOAR のツールを利用すると、繰り返しが多く時間のかかるタスクと進行中のオペレーションを減らすことができます。このことは、ハード ワークではないスマートな働き方の実現に役立ちます。

  • アクティビティを一元的に把握

    SOAR のソリューションによってさまざまなベンダーからのさまざまなツールが統合されて、すべてが 1 つの場所に集まります。これで、SOC チームはインシデントの調査と修復に必要な情報に手軽にアクセスできます。

  • コスト最適化

    セキュリティ製品のベンダーを整理統合すると運用コストを最大 60% 縮小できる可能性があり、これで生まれた予算の余裕を、より優先度の高い事項に充てることができます。

  • コラボレーションとオンボーディングが簡単に

    オーケストレーションのツールによってシステムが 1 つにまとめられ、適切なツールが適切な人に届けられるとともに、人々が十分な情報に基づいて意思決定を行うのに必要なデータも提供されます。

  • より速く応答

    さまざまなシナリオのインシデント応答を自動化する SOAR のツールによって、平均応答時間が大幅に短縮されるため、より速く正確に解決できるようになり、誤検知が最大 79% 減少します。

  • 進化する攻撃を防止

    脅威インテリジェンスを活用する SOAR のツールによって、潜在的なリスクの状況がデータを通して明らかになるため、チームは複雑なインシデントについてさらに有意義な調査を実施できるようになります。

SOAR のベスト プラクティス

導入する SOAR ソリューションがお客様の組織のニーズを確実に満たすようにしましょう。これらの機能を持つものを探すことをおすすめします。

  • 自動インシデント応答

    効果的な SOAR ソリューションとは、オートメーションを容易にするツールを使用してセキュリティ アラートの監視と応答を行うことができるものです。

  • オーケストレーション

    ツールどうしが結合して 1 つのグループとして機能することが必要です。お客様が選んだ統合と、お客様の既存の環境との間に互換性があることも確認してください。

  • 脅威インテリジェンス

    多くの SOAR プラットフォームでt脅威インテリジェンスが使用されており、悪意を持つ可能性のあるアクティビティについてのコンテキスト データが収集されます。このことは、保護された状態を維持するための最良の行動方針をセキュリティ チームが決定するのに役立ちます。

  • 堅牢なインシデント管理

    インシデントの文書化、管理、調査を 1 つの中央集中化された場所からできることが必要です。このことは、潜在的で未知の脅威を特定して管理するのに役立ちます。

  • プレイブック オートメーション

    SOAR のソリューションを評価するときは、さまざまなプレイブックを作成できることと、既製とカスタム両方のワークフローにアクセスできることを考慮してください。

  • スケーラブルで柔軟性のあるインフラストラクチャ

    テクノロジは常に変化しているため、スケーラビリティと可用性は SOAR ソリューションに欠かせない要素です。ニーズに応じてスケールアップとダウンが可能なソリューションを見つけてください。

SOAR のソリューション

どの組織もそれぞれ異なるため、自分の組織に最適な SOAR ソリューションを見つけるのは簡単ではありません。最適なコラボレーションを実現するには、導入する SOAR ソリューションとお客様が選んだツールおよびプロセスとの間に、および既存の環境との間に互換性があることが必要です。すぐに使えるオートメーションが用意されていて、それが堅牢かつカスタマイズ可能であること、展開の柔軟性があること、およびニーズを満たすようにスケーリングできることが必要です。

攻撃の検出、脅威の可視化、および応答の機能を持つ完全な、エンドツーエンドのエンタープライズ ソリューションを求めている場合は、SOAR と SIEM の両方の機能を持つサービスを探すことをおすすめします。Microsoft Sentinel はスケーラブルな、クラウドネイティブの SecOps ソリューションであり、オーケストレーションとオートメーションが組み込まれていることに加えて、お客様のエンタープライズ全体の可視化も可能です。Microsoft Sentinel ならば、1 つのプラットフォームでセキュリティに関するお客様のニーズすべてに対処できます。

Microsoft Security についてさらに学ぶ

Microsoft SIEM & XDR

クラウドネイティブの SIEM と XDR で、すべてのデバイスを横断する統合型の脅威対策を実現しましょう。

詳細情報

Microsoft Defender XDR

統合型 XDR ソリューションの拡張された可視性と比類のない AI で、クロスドメイン攻撃を阻止できます。

詳細情報

Microsoft SIEM & XDR の Total Economic Impact™ (総経済効果)

Microsoft SIEM & XDR テクノロジへの投資がもたらす長期的なコスト削減とビジネス面の利点をご紹介します。

詳細情報

よく寄せられる質問

  • 組織で SOAR のツールを使用する目的は、セキュリティ オペレーションを自動化してインシデントへの応答をさらに効率的に行うことです。このようなセキュリティに対する効率化されたアプローチによって、より大きなコスト削減が可能になり、カバレッジのギャップが減り、セキュリティ オペレーション チームの生産性が向上します。

  • SOAR は一般的に、オーケストレーション、オートメーション、および応答を通して実装されます。オーケストレーションのツールによってさまざまな統合とシステムが 1 つの中央集中化された場所に集められますが、オートメーション (通常はプレイブックを通して行われます) とは、あるアクションをいつ実行するかを設定および定義することです。この両方の構成要素の連携によって、効率的かつスピーディに機能する自動インシデント応答システムが形成されます。

  • SOC チームは毎日、膨大な量のセキュリティ アラートを受け取っています。SOAR のツールは、この重圧を軽減するのに役立ちます。時間のかかるタスクとプロセスが自動化され、これが基礎となって、自動的にアラートに反応して解決するインシデント応答システムが実現するからです。これによって SOC チームに時間の余裕が生まれて、より優先度の高いタスクに集中できるようになります。 

  • SIEM および SOAR と多くの点で類似している新しいテクノロジ、拡張検出と応答(XDR) によって、脅威の検出と応答を目的として 1 つの環境全体にわたってデータが統合されます。XDR と SOAR のどちらもワークフローと応答の自動化が可能ですが、SOAR はオーケストレーションをサポートする唯一のソリューションです。

  • セキュリティ オーケストレーション、オートメーション、および応答 (SOAR) のテクノロジとは、セキュリティ関連のタスクとプロセスの統合と自動化に役立つ一連のツールまたはサービスを指します。

Microsoft 365 をフォローする