SOARの「オーケストレーション」は事故や災害の「トリアージ」と同じ
日本ではまだあまり耳慣れないSOAR(ソアー)。SOARに詳しいNECソリューションイノベータ 中村真一(なかむらしんいち)氏に、SOARとは何か?どんなメリットがあるのか、お話を伺いました。
中村氏「企業のセキュリティの現場では、大量に上がってくるインシデントの対応に追われています。様々なシステム・ツールが動いていますが、今発生しているインシデントは重要なものか?と判断するのは人間です。どのように処置するのか、今後の対応はどうするかを考えるのも人間。つまりインシデント対応は人にかかっているんです。この人にかかっている部分を効率化・自動化するのがSOARです。SOARは2017年ごろから英語圏で注目を集め、導入する企業が増えています。」
図1:SOARとは
SOARとはSecurity Orchestration(オーケストレーション),Automation(オートメーション) and Response(レスポンス)の略です。ここでの「オーケストレーション」とは複数のシステム・ツールから上がってくる情報を分析し対応の必要性や優先度を判断するしくみのこと。「オートメーション」はインシデント対応を自動化することで、最後の「レスポンス」はインシデント対応状況や過去の対応履歴を管理可能にしたりチャットボットで簡単に調査ができることなどを示しています。
図2:インシデントのケース管理、プロセス・フローの定義、自動化スクリプト、 状況共有・コラボレーションがSOARの役割だ
まず最初のオーケストレーションは「インシデント対応のトリアージ(障害などの優先度付け)だ」と中村氏は教えてくれました。
中村氏「企業のCSIRT、SOCには、社内のマルウェア感染・フィッシングなどのアラートが上がってきます。これらのアラートの内容を判断し優先度を決めるのがSOARの一つの役割です。災害や事故などでは患者の症状に合わせて優先順位を決めることを『トリアージ』と呼び、初期対応フェーズの中では最も重要なタスクになりますが、インシデントのトリアージをするのがオーケストレーションなのです。」
同様のツールとしてはSIEM(シーム)があります。SIEMはセキュリティ情報イベント管理ツールのことで、様々なセキュリティ製品からのアラートを1つの画面で教えてくれるものです。ただしSIEMはアラートを上げてはくれるものの「どれが優先でどんな対応をすればいいのか」までは教えてくれません。
今までアラートの優先度を判断するのはCSIRT(シーサート)のスタッフ、つまり人間でした。この優先度判断(トリアージ)を自動化するのがSOARの特徴の1つです。インシデントの全容をいち早く確認し、対応の進行状況もわかりやすく表示してくれます。
ダッシュボードでインシデントの優先度表示・担当者管理
実際のSOARのオーケストレーションの例がこのダッシュボードです。SOARの代表的な製品である「RSA Netwitness Orchestrator」のダッシュボードで、様々な情報が集約表示されています。
図3:SOARのダッシュボードの例
いわゆるウォールーム(作戦司令室)と呼ばれる画面です。左上はインシデントの表示で、様々なセキュリティ製品からのアラート、外部からの情報による脅威情報などを一覧表示しています。インシデントの種類・危険度をグラフィカルに表示し、クリックするとさらに詳しくインシデント分析とトリアージが表示されます。
左下には担当者別の割り当てられたインシデント数、よく使われているプレイブック(手順書)があります。CSIRT、SOCの担当者の管理も行えるのです。
右側には解決にかかる時間、インシデントのグラフなどがあり、企業としてのセキュリティ投資に対するROI(投資対効果)も表示されています。
これらの情報は今後のために証拠保管ができるほか、インシデント全体のレポートも自動作成可能です。
SOAR最大のメリットは手順書=プレイブックによる自動化
SOARの最大の特徴は、インシデント対応の自動化です。具体的には下のようなチャート図で対応していきます。
図4:SOARのPlaybook=自動化された手順書の例
CSIRT、SOCの担当者はこのチャートのプロセスを1個ずつこなしていくだけでいいのです。プロセスをクリックして指示された作業を行う、もしくはクリックだけで自動スクリプトで処理が進みます。すると緑のチェックマークが付くので次のプロセスをこなす。これを繰り返していけば、インシデントは解決できます。
中村氏はここが最大のSOARのメリットだと教えてくれました。
中村氏「インシデントのほとんどは既知のものです。フィッシングメールなら内容を調べ、URLをチェックし、添付ファイルがあるならチェックする。ランサムウェアなら被害状況確認、タイプの調査、バックアップによる復旧などを行います。このように既知のインシデントは対応手順がすでにわかっています。この対応手順をチャート図にしたのがプレイブック=手順書で、SOARではプレイブックに従って対応すればインシデントは解決できます。」
つまりトラブル解決の指南書が、SOARのプレイブックなのです。インシデント対応の手順が標準化されており、クリックしていくだけで対応できます。
ここで紹介している「RSA Netwitness Orchestrator」では、1000個以上のプレイブックがテンプレートとして登録されています。ほとんどの既知のインシデントは、このプレイブックをこなせば解決できるというわけです。
一般のITエンジニアでもインシデント対応ができるようになる
プレイブックは、インシデント対応のプロセスを「誰がやっても同じ手順で解決できるようにタスクに分解したもの」だと言えるでしょう。
中村氏「現在のCSIRTは能力のあるプロに頼っています。インシデント対応に慣れた高度なプロフェッショナルの負担が大きすぎるのです。そこでSOARでは、既知のインシデントへの対応を標準化・自動化することで、セキュリティの経験が少ないITエンジニアでも解決できるようにしています。プレイブックの指示通りに進めればいいのですから、一般のITのエンジニアでもインシデント対応ができます。」
これによってCSIRTにいる上級アナリストの負担が大幅に軽減されます。上級アナリストの本来の業務である難易度の高い未知のインシデントの対応や、チームの管理職としての仕事に専念できるわけです。
またインシデント対応にかかる時間も短縮できます。プレイブックによって標準化・自動化されているため、素早くインシデント対応ができるためです。
そしてセキュリティ人材の育成にも繋がります。
中村氏「今まではインシデント対応は経験を積んだ上級アナリストがやってきました。しかしSOARを使えば、一般のITエンジニアでもインシデントを解決できるようになります。プレイブックの手順に従って解決していくことで、一般のエンジニアでもインシデント対応のABCを学ぶことができるでしょう。インシデント対応の経験を積ませる、つまりセキュリティ人材の育成に繋がるわけです。」
企業としては高度なセキュリティ人材をより活用できるだけでなく、社内のITエンジニアへのセキュリティ教育・人材育成もできるのが大きなメリットです。
チャットボットでの自動調査・履歴活用での対応効率化も
もう1つのSOARの要素はResponse(レスポンス)です。「RSA Netwitness Orchestrator」はチャットボットがあり、人間に代わって調査も行ってくれます。
中村氏「たとえばチャットボットにIPアドレスを打ち込みます。するとwhois情報を自動で調べ、ブラックリストなどの履歴にあるかどうかも表示してくれます。インシデント対応で出てきたIPアドレスの調査を自動で行ってくれるのです。インシデント対応の時間短縮につながります。」
さらにSOARでは過去の対応履歴を保存しているため、「前のインシデントではどうやったかな?」と履歴をさかのぼって見ることができます。これによりインシデント対応の時間を短縮できるでしょう。
またインシデント対応での「雑用」もSOARに任せることが出来ます。インシデント対応では様々な付随業務が発生します。検体などの証拠保全、担当者ごとの進捗管理、今後のための対応履歴保存、報告書作成などの業務です。これらの業務はすべてSOARが自動、もしくはワンクリックで行ってくれます。付随業務をなくしてCSIRTやSOCの本業に専念できる、これこそが大きなSOARのメリットと言ってもいいでしょう。
CSIRT立ち上げを考えている企業にも向いている
このようにSOARは、CSIRTやSOC業務の効率化・作業時間短縮の強い武器となります。SOARのメリットを4つにまとめたのが下の図です。
図5:SOARのメリット
企業としてはコスト削減・時間効率化が大きなメリットです。インシデント対応の時間短縮などによって人件費の節約にもつながります。
2つ目は人材育成・活用です。一般のエンジニアでもインシデント対応できるようになるため、セキュリティ人材育成につながります。またセキュリティのプロである上級アナリストの作業を軽減させることで、より高度な業務に専念してもらえるのです。
また情報を集める・履歴を活用するという要素も見逃せません。複数あるセキュリティ製品のアラートを集約できるほか、過去のインシデント対応の履歴も保存することで次回の対応がスムーズになります。
最後は使うほど効率がアップするというメリットです。プレイブックによって標準化・自動化されているため、担当者が慣れるほど効率的に対処可能です。またプレイブックを新たに加えることも可能ですから、未知のインシデントであって次回からは手順に従って対応できるのです。
ではSOARはどのような企業に向いているのでしょうか?
中村氏は「ある程度の規模があり、CSIRTやSOCを運用している企業に向いています。またこれからCSIRTを構築したいという中堅・中小企業にも最適です。プレイブックによってインシデント対応がマニュアル化されていますから、CSIRTを1から作り上げたい企業にとって強い武器になると思います。」
中堅・中小企業ではCSIRTやSOCを運用したくても、セキュリティの知識があるプロフェッショナル人材が1人しかいない、というところもあるでしょう。1人では目の前のインシデント対応に手一杯で、若手の育成まではできません。しかしSOARがあればプレイブックによってインシデント対応と若手育成を同時にできるほか、上級アナリストの手間を軽減して本来の重要業務に専念してもらえます。
ヒット小説から思い浮かべる言葉「エンジニアの話ではない。人間の話をしているのだ!」
ここまで見てきたようにSOARはインシデント対応のツールであると同時に、対応する担当者の手間を減らす・人材を育成するなど人間のためのツールでもあります。
これについて中村氏は面白い話をしてくれました。
中村氏「SOARのことをずっと考えていて、思い出した小説があるんです。大病院で働く医師の小説『神様のカルテ』です。CSIRTやSOCの現場と大きな共通点があるように思います。」
神様のカルテ (小学館文庫)
「神様のカルテ」は夏川草介のシリーズ小説で、2011年には映画化もされています。地方の大病院に勤める内科医が主人公で、「24時間365日救急対応」をかかげる病院であるために、主人公は2日以上も自宅に帰ることができない過剰労働を強いられています。
昼間は内科医として診察・治療・手術を行い、夜は救急対応で泊まり。救急では専門外の診察も行うほか、医師としての雑務にも追われていて、プライベートが無視されている状況です。
これはインシデント対応に追われるセキュリティ部署に似ています。夜中でも救急車が飛び込むのはまさにインシデント対応ですし、トリアージ・診察・治療というプロセスもインシデント対応とそっくりです。
図6:SOCメンバーの人員不足・時間不足
この小説の2作目「神様のカルテ2」では、2つのテーマがあります。1つは患者を救うのは診断・治療という直接的な行為だけではないこと、2つめは医師としての長時間労働によって家族やプライベートが失われることへの葛藤です。
中村氏「『神様のカルテ2』で主人公の医師は、末期がんの患者のためにある行動をします。診察や治療とは直接関係のない行動です。これ対して病院運営側は『余計なことをするな』と咎めるのですが、主人公は真っ向から反対して叫びます。『医師の話ではない。 人間の話をしているのだ!』と。」
医師としての診察・治療だけが重要なのではない、人間を救うことが大切なのだという叫びでしょう。医師と患者としての関係の前に、人間と人間との関係があるのだと主人公は言いたいのかもしれません。
また医師として家庭・プライベートをないがしろにするのは当然、ということへのアンチテーゼでもあるように思えます。医師の前に人間であるのですから、家族を大切にすることも欠かせないでしょう。
中村氏「ここで私は思ったのです。まさにインシデント対応など現場で対応に追われるセキュリティエンジニアと共通することだなと。言い換えるならば『エンジニアの話ではない。人間の話をしているのだ!』ということです。私たちはエンジニアである前に人間です。目の前のトラブル解決だけに追われるのではなく、人間として家庭を大切にすること、人間を育てることも重要だと思うんです。その手助けとしてSOARは役立つのではと思っています。」
SOARによって目の前のインシデント対応だけにとらわれず、本来の業務や企業の収益アップのことを考える余裕を作ること。そしてSOARによって効率的に動くことで、無理な残業をせずプライベートも大切にすること。この2つを中村氏は教えてくれました。
SOARは企業のセキュリティ運用の重要なツールとなり得るものです。そして人間を救う・育てるツールとも言えそうです。インシデント対応のためだけでなく、人のためにもなるツール、SOARの導入を是非検討してみてください。
NECソリューションイノベータ 中村真一(なかむらしんいち)氏 1993年中国日本電気ソフトウェア(現NECソリューションイノベータ)入社。オフコン基本ソフト、携帯電話端末の基本OSなどソフトウェア開発業務に経験後、2001年よりセキュリティ製品の企画、開発、販売促進、SI業務に従事。サイバーセキュリティ全般の提案支援や、業界・各種団体の講演やセミナーなどでも活躍。 (ITストラジテスト/プロジェクトマネージャ/システムアーキテクト(経済産業省)) (情報処理安全確保支援士)
NECソリューションイノベータでは、企業や団体のセキュリティ対策をご担当されている方や最新のセキュリティ脅威動向を把握したい方向けに最新の情報セキュリティ10大脅威のそれぞれの概要と対策方法が記載した資料を無料で提供しております。 事例の解説がわかりやすく、対策の見通しに役立つと好評をいただいています。 ぜひご活用ください。
掲載日:2019年5月8日