SOARの現状

SOARの過去、現在、そして未来 パート2

このシリーズのパート1で議論した課題は、セキュリティオペレーションセンター（SOC）が生き残るためにセキュリティオーケストレーション、自動化、対応（SOAR）ソリューションを必要とする理由を説明しています。業界全体で、アナリストは過重労働に追われており、今日の拡大する脅威環境と深刻化するサイバーセキュリティ人材不足に対応するためのツールを切実に必要としています。さらに、たとえSOCが必要な人員をすべて雇用できたとしても、毎日受信する数千ものアラートを調査するためには、自動化とオーケストレーションの機能が依然として必要です。.

なぜSOARなのか?

業界の思想的リーダーたちが確信を持てなかった時代があった SOARが本当に「もの」であるかどうか. しかし、ガートナーのセキュリティオーケストレーション、自動化、レスポンスソリューションの市場ガイドや、 SOARツールを使うと人生が楽になる Enterprise Management Associates（EMA）の調査によると、SOARがセキュリティ業界およびあらゆる規模のSOCで確固たる地位を築きつつあることが明らかです。その理由は、SOARによってSOCチームがより少ないリソースでより多くの成果を達成できるようになるためであり、これはCISOとアナリストの双方にとって魅力的な提案です。SOARは、アナリストの燃え尽き症候群やアラート疲れにつながることが知られている、インシデント対応プロセスに典型的に伴って発生する、退屈で反復的な手作業を排除します。.

SIEM についてはどうですか?

ほとんどの組織は何らかのセキュリティ情報イベント管理（SIEM）システムを使用しており、この状況は今後も変わらないでしょう。SIEMから収集されるデータはSOCにとって非常に貴重ですが、アナリストはこれらのツールから生成される、終わりのないアラートへの対応に苦慮しています。SIEMツールに関連する調査プロセスは主に手作業であり、多大な疲労を招き、エラーや組織の脆弱性につながります。SOARは、これらのツールに必要な人的介入の負担を軽減し、アラート調査の改善、意思決定の迅速化、そしてインシデント対応プロセス全体の効率化を実現します。.

問題を乗り越えて飛翔する

SOARは、単一のアラートを調査するために複数のウィンドウ、ツール、さらにはマシンを切り替えながら作業する必要なく、大量のデータセットを一目で確認・理解できるようにすることで、アナリストの能力を強化します。従来のテキスト文字列や数値情報に頼るのではなく、SOARソリューションによるデータ可視化によって、アナリストは即座に結論を導き出し、行動を起こすことができます。.

さらに、SOARソリューションを導入すれば、多くのインシデント対応アクションを人的介入なしに実行できます。SOARのオーケストレーションコンポーネントにより、SOCはさまざまなリソースを接続し、データをケースレコードに取り込んでアラートを拡充できます。アナリストは、無数の個別システム（時間の経過とともに変化し、SOCのエコシステムによっては回避策が必要になる可能性があります）の複雑な仕組みを学習するのに時間を費やすのではなく、SOARプラットフォームの単一のケースレコードビューを使用してすべてのデータにアクセスし、監視できます。これにより、個々のアナリストのパフォーマンスが向上し、SOC全体の効率性が向上します。.

限界のない飛翔

SOARプラットフォームは、煩雑で反復的なタスクを自動化し、分散したツールやプロセスを統合することで、アナリストのパフォーマンスを劇的に向上させ、組織の平均検知時間（MTTD）と対応時間（MTTR）を短縮します。SOAR対応SOCがソリューションの全機能を活用すれば、アナリストは組織全体の機能性と有効性を高めるさらなるメリットを見出すでしょう。真に堅牢なSOARソリューションは、組織に業務を接続、自動化、そして統合するためのほぼ無限の選択肢を提供します。.

現在、SOARを活用してSOCの運用効率を向上させる、新しく画期的な方法のいくつかが、ようやく見えてきたところです。パート3では、SOARの将来と、組織全体で最大限のメリットを実現するための方法について考察します。.