SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SOARとは? 運用オペレーションの新たな形

セキュリティ
    2020.01.14

    こんにちは、SB C&Sの横山です。
    突然ですがSOARって聞いたことありますか?
    全く聞いたことない、名前だけはどこかで、、、という方、今回は最近にわかに注目されているSOARについて簡単にご紹介したいと思います。

    SOARとは?

    SOARとは、運用オペレーションを自動化して効率化出来るツールです。
    読み方は「ソアー」。サワーと同じイントネーションです。以下の単語の頭文字をとってSOARです。
    様々なセキュリティ製品と連携して自動化することで、効率的な対応を実現しています。

    EV1.jpg

    SOARの仕組み

    SOARの特徴は内部でシナリオ=手順書を作成出来ることです。今まで紙やExcelだった手順書をSOAR内部で作成することが出来ます。運用者は手順書と操作画面を毎回見比べながら作業することなく、対応出来ます。

    EV2.jpg

    この手順書のレイアウトもメーカごとに個性があり、見比べると違いが分かります。何点かご紹介します。

    splunk.PNG

    SOARシナリオイメージ①

    rapid71.png

    SOARシナリオイメージ②

    demisto.PNG

    SOARシナリオイメージ③

    SOARを使うと

    運用オペレーションとして一番多いのがインシデント対応です。これには多大な労力がかかります。オペレーション中にミスは起こることは許されず、効率化にも限界があります。また、対応するにはある程度の経験も必要です。

    EV3.jpg

    これをSOARを使えば、、、、、

    EV4.jpg

    こんなにシンプルかつ、効率的に対応することが出来ます。運用者は画面に表示される対応方針を決めるだけ、後は全てSOARが自動で実施します。SOARでは手順に従って対応した内容をレポートでまとめることが可能ですので、その内容を元に運用者は対応を決めることが出来ます。

    対応選択.PNG

    対応選択画面イメージ

    SOARのユースケース

    インシデント対応に限ったものだけではなく、現在行っている運用オペレーション全般に対しても使用することが出来ます。SOAR上でシナリオさえ作成すれば、様々なパターンで応用することが可能です。例えば以下の例です。

    1111.jpg

    2222.jpg

    まとめ

    SOARを使うことで、運用オペレ-ションを効率化することが出来ます。また、手順書や対応履歴をSOAR上に残せるため業務プロセスの一元管理にもつながります。インシデント対応のコスト増や、人手不足に悩んでいるのであればこのSOARを使えば救世主となってくれるかもしれません。

    著者紹介

    SB C&S株式会社
    技術統括部 第2技術部 2課
    横山 章太郎