「十分」なSOARソリューションを選択する際の落とし穴

“「十分良い」は条件を満たしているかもしれませんが、おそらく問題は解決しないでしょう。.

CISOは、拡大する攻撃対象領域、限られたリソース、そして厳しさを増すコンプライアンス要件への対応に追われており、「十分なセキュリティ」は魅力的な選択肢となっています。しかし残念ながら、「十分なセキュリティ」なSOAR（セキュリティオーケストレーション、自動化、レスポンス）ソリューションを導入すれば、チームの生産性を向上させながらリスクを軽減できるように見えるかもしれませんが、実際にはメリットよりもデメリットの方が大きい可能性があります。十分なセキュリティソリューションは、短期的には安心感を与えるかもしれませんが、長期的には、苦痛を伴うシステム全体の入れ替えプロジェクトを余儀なくされる可能性があります。適切なSOARソリューションを事前に選択することで、こうした苦痛を回避できます。.

適切なソリューションの選択

あらゆる作業において、適切なツールを選ぶことは非常に重要です。本当に必要なのはノコギリなのに、ステーキナイフを選ぶ人はいません。市場には数多くのSOARソリューションが存在する中で、セキュリティオペレーションセンター（SOC）の独自のニーズに最適なソリューションをどのように見分ければよいでしょうか？ソリューション選定の過程で、シンプルで使いやすそうな最初のソリューションに惹かれてしまうかもしれませんが、こうしたソリューションは、拡張性と長期的な生産性を犠牲にしていることが多いことに留意してください。.

「十分な」SOARソリューションと、完全なSOARソリューションをどのように区別するのでしょうか？ 方法はいくつかありますが、まずは、長期的な運用戦略の将来性を考慮しつつ、あなたとチームの生産性を向上させるソリューションに重点を置くことから始めましょう。.

購入後後悔につながる危険信号はいくつかあります。そのうち6つを見てみましょう。

1. 現実世界での適用範囲が限られている セキュリティ運用は多忙な仕事であり、アラート、ケース、タスクを解決して次のタスクに移ることに集中しがちです。しかし、研究者たちは、攻撃者が攻撃の展開に非集中型のインフラストラクチャを利用するケースが増えていることに気づいています。つまり、脅威インテリジェンスでは、悪意のあるコマンドアンドコントロール（C2）インフラストラクチャを迅速に特定できない可能性があるということです。SOAR製品には、脅威インテリジェンスやその他の調査ソースが更新されるたびにテレメトリを再構築する、長期にわたる自動化機能が必要です。そうでなければ、脅威インテリジェンスがヒットしないまま急いで解決したケースが、実はあなた専用の新しいC2サーバーになっている可能性があります。.

2. 柔軟性の欠如 「十分な」SOARソリューションを迅速に見極める重要な方法の一つは、プラットフォームの主要な側面、つまり自動化エンジン、ユーザーエクスペリエンス、統合フレームワークの柔軟性を検証することです。「十分な」ソリューションは、ベンダーが定めた厳格な手順に従うことを要求しますが、これはお客様の環境には適用できない、重複している、あるいは無関係です。構成可能で俊敏なソリューションを見つけることが重要です。拡張可能な自動化プラットフォームは、柔軟性、回復力、そして豊富な機能を備えており、お客様独自の環境、社内プロセス、コンプライアンス要件を考慮しながら、ユースケースを構築できます。このような包括的なプラットフォームがなければ、チームは日常業務に自動化を適用する機会が限られていることに気づき、すぐに制約を感じ、不満を抱くことになります。.

3. ベンダー統合の欠如 – 統合 SOAR機能の中核となるのは、これらの機能です。評価対象のソリューションは、現在使用しているツールとの統合機能を提供していますか？新しい統合機能は、どのくらいの頻度で、どのくらいの速さで追加されますか？サードパーティ製品よりも自社製品ラインとの統合を重視するベンダーには注意が必要です。また、将来的にどのような統合が必要になるかを検討してください。それらはすべて単一のポートフォリオ企業向けのものでしょうか？それとも、セキュリティ、DevOps、IT、クラウドインフラストラクチャなど、多様なテクノロジースタックから提供されるものでしょうか？

4. SOARに焦点が当てられていない – 一部のSOARベンダーは幅広い製品ラインを展開しており、SOARは製品ライン全体の中でごくわずかな割合を占めるに過ぎません。SOARが企業の主力製品ではない場合、その企業には注意が必要です。SOARソリューションの適切な革新と改良に時間をかけているでしょうか？それとも、わずかな費用でバンドルされているだけ、あるいは別の製品を購入するためのおまけとして利用されているだけでしょうか？テクノロジーの構築は他の技術と同様に、一つの技術です。適切なツールを使用するだけでなく、深い専門知識と共通の目標を持つ適切なパートナーを選ぶことも重要です。.

5. スケールしない – 組織が成長するにつれて、SOARソリューションも成長する必要があります。大企業でもMSSPでも、SOARソリューションの不足は大きな問題です。 スケーラビリティ 「十分」なSOARソリューションの能力の限界を超えようとすると、大きな悪影響が生じる可能性があります。データセキュリティチームが管理しなければならない量は、保護すべき領域の増加に伴い、減少するどころか増加しています。.

6. コストと機能に焦点を当てる – 誰もが限られた予算しか持っていません。本格的なSOARソリューションを安価に手に入れられる、あるいは必要な機能のほとんどをオプションで手に入れられるように見えると、魅力的に思えます。しかし、こうした安価なオプションは、必要な機能を犠牲にして低コストを実現しているという事実を無視しています。包括的なソリューションは一見高価に見えるかもしれませんが、 投資収益率（ROI） そのコスト差を十分に補うことができます。.

最終的に、適切なSOARソリューションは、セキュリティ運用チームの効率性と効果を高めるのに役立ちます。一見シンプルなインターフェースや低価格で魅力的なソリューションもあるかもしれませんが、時間と労力をかけてソリューションを評価し、SOARソリューションがチームの拡張性に合わせて拡張できるかどうかを確認することは価値があります。.