ノートパソコンのキーボードの上に置かれた開いたコンビネーションロック

ガートナーSOARレポート:「セキュリティオーケストレーション、自動化、レスポンスに関するイノベーションインサイト」“

ユーザーアバター
ケイティ・バイコウスキー
3 1分間の読書

 

オリジナル版『スタートレック』のちょっとしたファンなら、スコッティの決めゼリフ「できません、船長! 僕にはそんな力はない!」、いや、もっと正確に言えば「物理法則は変えられない!」はお馴染みでしょう。スコッティの苦境は、今日のセキュリティオペレーション(SecOps)担当者にもきっと馴染みがあるでしょう。ガートナー社の最新レポート「セキュリティオーケストレーション、オートメーション、レスポンス(SOAR)」に関するイノベーションインサイトによると、「セキュリティオペレーションチームは、脅威検知テクノロジーの増大によって発生する大量のセキュリティアラートへの対応に苦慮しています。」“

しかし、すべてが失われたわけではありません。スコッティのように、彼らはこの一見勝ち目のない戦いに解決策を見つけることができます。新しいレポートには、希望に満ちた精神が感じられます。セキュリティ運用チームは、サイバー脅威に対するより効果的な予防、検知、対応を実現するための新たなプラクティスとツールを導入することができます。.

SOAR とは何ですか?

SOARは SecOpsを向上させるための新しい強力な方法です。ガートナーは、脅威インテリジェンス管理、セキュリティイベント管理、SecOpsプロセスを統合・自動化することで、インシデント対応の効率と一貫性を向上させるために、SOARの導入を組織に推奨しています。.

ガートナーは、2020年までに、5人以上のセキュリティ専門家を擁するセキュリティ組織の15%がSOARを導入すると予測しています。これは、現在の導入率1%未満から増加しています。.

SOARはアクションがすべてです。かつては「Security Operations, Analytics and Reporting(セキュリティ運用、分析、レポート)」の頭文字をとったものですが、ガートナーは「Reporting(レポート)」を「Response(対応)」に置き換えました。つまり、レポートは当然のことです。セキュリティインシデントへの効率的な対応は何よりも重要であり、すべてのSOARツールは効果を発揮するためにレポート機能を備えていなければなりません。.

なぜ SOAR なのか、そしてなぜ今なのか?

ガートナーのレポートは、セキュリティアラームが多すぎる一方で、それらに対応できる人員が不足しているという認識を改めて浮き彫りにしました。一元化されたセキュリティオーケストレーションとインシデント対応機能がなければ、セキュリティ運用チームは脅威情報を手作業で収集し、まとめる作業に追われることになります。つまり、セキュリティ専門家は個々のインシデントに特化したマニュアルに基づいて作業することになります。これは時間がかかり、面倒な作業です。サイバー攻撃からネットワークをプロアクティブに追跡・防御するために費やすべき時間が、著しく減少してしまうのです。.

このような状況により、SOARの導入と影響力は拡大しています。ガートナーは、2020年までに5人以上のセキュリティ専門家を擁するセキュリティ組織の15%がSOARを導入すると予測しています。これは、現在の導入率1%未満から増加したことになります。レポートでは、「ますます脅威が深刻化するという課題に加え、人材、専門知識、予算の不足が相まって、組織はセキュリティオーケストレーション、自動化、対応(SOAR)テクノロジーへと向かっています」と指摘されています。“

最新の Gartner SOAR レポートの内容は何ですか?

ガートナーはレポートの中で、SOARとその機能コンポーネントについて非常に包括的に解説しています。SOARの一般的なメリットとユースケースに焦点を当てています。さらに、ガートナーは企業がSOARツールを検討または導入する際の推奨事項についても詳しく説明し、最後にSwimlaneを含む代表的なベンダーのリストを掲載しています。この調査では、セキュリティの自動化とオーケストレーション、インシデント管理、コラボレーション、ダッシュボード、レポートといった主要なSOAR概念を区別しています。.

報告書の主な推奨事項は次のとおりです。

  • 自動化を簡単に実装でき、平均検出時間 (MTTD) と平均解決時間 (MTTR) の短縮など、組織が即座に ROI を実現できるシンプルなアプローチから始めましょう。.
  • タスクの自動化とインシデント対応の調整に重点を置きます。.
  • 外部の脅威インテリジェンスを活用して、セキュリティ テクノロジーとインシデント対応プロセスの有効性を向上させます。.

スイムレーンとSOAR

Swimlaneは、ガートナーのレポートで概説されているSOAR原則の実現を可能にします。企業チームのセキュリティ運用を自動化します。Swimlaneにより、セキュリティアナリストはデータ収集、レポート作成、誤検知への対応といった反復的なタスクを自動化できます。専用のSecOps管理ダッシュボードは、企業内のすべてのセキュリティタスクを追跡し、個人およびチームがケース、レポート、ダッシュボード、指標に一元的にアクセスできるようにします。.

これがSOARの真髄です。Swimlaneはレポートで推奨された機械ベースの自動化を実現し、インシデント調査のサイクルタイムを短縮します。.

結局、スコッティは間違っていたのかもしれません。もしかしたら、物理法則、あるいは少なくともサイバーセキュリティの法則を変えることができるかもしれません。SOARがあれば、かつては不可能と思われていた多くのことが実現可能になります。.

タグ

研究

2020年6月25日
2020年SOARレポートは主要な推進要因と影響を強調
続きを読む
2015 年 6 月 3 日
インシデント対応管理に関するガートナーの見解
続きを読む
2015 年 7 月 25 日
新たな報告書によると、深刻なサイバーセキュリティ人材不足は州政府にも及んでいる
続きを読む

ライブデモをリクエストする