常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。

一段目　ITの知識がある人向けの説明
二段目　ITが苦手な経営者に理解してもらえる説明
三段目　小学生にもわかる説明

取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?

一段目 ITの知識がある人向け「SOAR」の意味

年々激化していくサイバー攻撃に対して、CISOやSOC、CSIRTの設置など、企業の中で情報セキュリティに対する投資の意識が広がっています。しかしながら、平成30年12月に発表された総務省のセキュリティ人材に関する調査報告書によれば、セキュリティ人材の不足は調査開始の2016年から徐々に増えており、2020年には19万人近くの不足が出るとのこと。

（画像出展：総務省「わが国のサイバーセキュリティ人材の現状について」）

デジタルトランスフォーメーション（DX）やIoTの普及によって、これまで情報セキュリティをそこまで意識することのなかった業界の企業もサイバー攻撃に対する備えをする必要が出てきたこともその一因となっているでしょう。今、セキュリティを実現するための人材不足が課題であるといえます。そのような人材不足の穴を埋められる可能性を持つ製品があります。それが「SOAR」です。

SOARとは「Security Orchestration, Automation and Response」の略で、セキュリティインシデント対応自動化ツールのことです。セキュリティ担当者に代わり、インシデント発生時の情報収集・実際の対処・各所への情報共有までも自動で行うことができます。

Orchestration（オーケストレーション）は高度な運用機能、Automation（オートメーション）とはインシデント対応作業の自動化、Responseとは、「対応、応答」という意味でインシデント対応の履歴やチャットボットなどで人間の代わりに対応してくれる機能をそれぞれ指しています。

 

現在多くの企業でのセキュリティ対応は、さまざまな脅威に対応するため、端末やネットワーク上サーバー、クラウドプラットフォームなどに散らばるさまざまなセキュリティ製品群を駆使している状況ではないかと思います。各所では自動化が進んでいるものの全体の連携をとるのは難しく、セキュリティ担当者がそれらの製品をまたがる操作・管理・分析を行っているというのが実態ではないかと思います。

このSOARは、イベントログ収集ツールのSIEMやエンドポイントセキュリティツールEDRなど、他のセキュリティ製品との連携を行いながらインシデント対応を行うことができるというところにポイントがあります。インシデント対応は、Playbookと呼ばれる対応手順プログラムを設定することで、自動化またはセキュリティ担当者の手順を劇的に減らすことができるのです。

では、Playbookの一例を見てみましょう。

１）対応開始：不正なアクセスを検知した、不審なメールを受信したなどの契機によりインシデント対応を開始します。
２）情報収集：インシデントの種類に応じ、イベントログやアクセス情報などを収集します。
３）判定：収集した情報をもとに、既知のウイルスやレピュテーションサイトとの照合によりインシデントの判定を行います。
４）対処：悪性であると判定された場合はアクセス遮断、該当ファイルの削除などの対処を行います。
５）情報共有：随時、関係者へメール送信、インシデントチケット発行などの情報共有を行います。
６）対応完了：設定された処理を終えたら対処を完了します。

 

もちろん、完全自動化ではなくセキュリティ担当者が判断・操作する処理を含んだPlaybookとすることも可能です。こうしたPlaybookはプログラムコードを書かなくてもフローチャートのように設定することができ、プログラミングスキルを持たない情シス担当者でも設定できるようになっています。
軽微なインシデントや既知のマルウェア対応などの定型的な対応で処理ができるインシデントであれば、Playbookで簡単に対応することができ、セキュリティ担当者はより高度な対応や業務に集中できます。また、インシデント対応の状況管理機能もあり、SOCやCSIRTのさらなる効率化に役立ちます。

 

二段目　ITが苦手な経営者向け

とあるサービス会社の社長、先月に社内で起こった情報漏えいの後始末に追われ、今日も思案顔でコーヒーを飲んでいた。そこに通りかかった情シスの相生さん。

社長：ちょうどよかった、ちょっといいですか？先日のインシデント対応の反省を活かして、来年度には我が社もCSIRTを立ち上げたいんです。それで相生さんたち情シスメインでお願いしたいんですよ。

相生さん：ええ！情シスだけじゃ回らないですよ・・・。

社長：人員増強しましょう。もちろん内部でもセキュリティ担当の育成を始めないと。セキュリティ予算を増やしますから、必要なものもそろえましょう。

相生さん：育成、間に合うかなあ。イヤ、間に合わないですよ。だったらまずはSOARを入れてください。

社長：SOAR？何ですか？それは？

相生さん：ざっくり言えば、セキュリティ対処を自動化してくれるツールです。今、ネットワークや端末にそれぞれセキュリティ機能を入れていますが、SOARはそれを統合してインシデント管理したり実際の対処を自動化したりしてくれるんです。

社長：今のWindowsでも自動的にウイルス退治をしてくれるんじゃなかったんですか。

相生さん：確かに、局所的にはそれぞれの機能で対処ができます。でもSOARではそうしたウイルス除去だけでなく、ログ収集をして証跡を残して次への対策につなげたり、インシデント状況を管理してくれたり、自動でインシデントについてのメール通知を必要な部署に送ってくれたりと今まで人間がやっていた作業も代わりにやってくれるんです。

社長：それはすごい！

相生さん：インシデント対処って軽いヒヤリハットがありがちでよく起きますけど、そういう単純なケースの対処は自動化できます。それに、いろいろなケースを想定して対処マニュアルみたいに手順を設定できて、セキュリティに詳しくない若手でもSOARの手順通りに対処していくことで対処を学べるんです。

社長：そーか、SOARか。なんちゃって。とても良さそうだね！すぐに検討しよう。

 

三段目　小学生向け

夏まっさかり、小学生の皆さんは夏休みを楽しんでいるでしょうか？とはいえ、外は暑くて熱中症になりやすいのでおうちの中でゲームをしている人も多いかもしれませんね。
夏休みだとゲームもたくさんできます。（もちろん、やりすぎはダメですよ！）でも、レベルが上がっていくとどうにもならない強い敵に出会ったり、クリアできないむずかしいチャレンジに当たったりすることもありますよね。そんなとき、皆さんはどうしますか？
何度もあきらめずにトライする人、攻略方法を本やネットで調べてやってみる人、ゲームの上手なお兄さんやお姉さんにお願いしてそこだけやってもらう人もいるのではないでしょうか？攻略本やお兄さんにやってもらうと困った時もかんたんに乗りこえられます。「それじゃ自分のゲームスキルが上がらないよ！」と思うかもしれませんが、そんなことはありません。上手な人のプレイを見ればそれをまねしたり、攻略本でノウハウをためれば次に同じようなパターンになったときに、何か良い手を思いつけるようになるかもしれませんよ。
コンピュータシステムの世界でも、何か困ったことが起きた時に、対応してくれる便利な機能があります。「SOAR」といい、いろんな会社で使っているコンピュータシステムに何か困ったことが起きた時に、自動で何とかしてくれるシステムなのです。SOARは、まるでゲームの上手なお兄さんのようにコンピュータシステムの困りごとを難なくクリアしてくれたり、ゲームの攻略本のように「〇〇イベントでは△△をねらえ！」とか「□□に失敗するときは、◎◎を××すればクリアだ！」とか、コンピュータシステムの立て直し方を教えてくれたりします。会社やお店で使うコンピュータシステムは、誰か悪い人がハッキングや攻撃をしてくるかもしれませんし、使っている誰かが失敗して大事なデータを危険にさらしてしまったりするかもしれません。そうした困りごとが起きた時、SOARがあるといち早く気づいてすぐにコンピュータシステムを守ることができるのです。
そして、皆さんがゲームのうまい進め方をお兄さんや攻略本から学ぶように、コンピュータシステムを守るお仕事をしている人も、SOARを使って立て直し方を学び、スキルアップすることができるのです。
皆さんはゲームのやりすぎに注意して、楽しい夏休みを過ごしてくださいね。

 

さて、皆様のご理解は深まったでしょうか？

 

【執筆：編集Gp　星野 美緒】