ガートナー社の報告書では、対応すべきアラートが増えていること、それに対処するのに十分な人材がいないという考えが強まっています。セキュリティの統制とインシデント対応機能が一元化されていない場合、セキュリティチームは手動で脅威情報を収集し、個々のインシデントに対して、固有のプレイブック(定石、作戦などの意味)で作業することになります。
また同時に、サイバー攻撃はより高度に進化しており、防止、検出、対処することがますます困難になってきているのは周知の事実です。
増大する脅威に対抗するために多くの企業は、セキュリティ情報イベント管理システム(Security Information and Event Management、SIEM)、ユーザー・システムの行動を機械学習し異常を検知する技術(User and Entity Behavior Analytics、UEBA)、脅威インテリジェンスプラットフォームといった、多くのセキュリティ対策に投資していることと思います。複数のソリューションを展開することで組織のセキュリティの姿勢を向上させることが可能となりますが、これは同時にセキュリティチームが調査するアラートの増加を意味します。
このように、人材が不足しているのにも関わらず、対処するべきアラートは増えているという状況が、SOARの採用を後押しする要因となりそうです。ガートナー社は、2020年末までに、5人以上のセキュリティチームを持つ組織の15%が、SOARを採用するだろう、と予測しています。現在の採用率は1%未満なので、その増加率の高さに驚かされます。
次回も引き続き、SOARについて見ていきたいと思います。