対応を要するアラームの増加、セキュリティチームの人材不足などの理由で、今後SOARを導入する企業が増える見通しであることを前回のブログでご紹介しました。今回は、SOARを導入するとどのような利点があるのかご紹介したいと思います。
(1)既存のセキュリティツールと脅威情報源を統合
企業のセキュリティチームの大部分では、様々なベンダーのセキュリティツールがあると思いますが、これらのツールは常に連携しているわけではありません。ベンダーが別ベンダーのツールをサポートしていたとしても、別々で運用するのではなく、ツールを統合することでより効率的に情報を管理することができるようになります。
(2)セキュリティイベントへの迅速な対応
セキュリティチームは、何が起きているかを特定し、攻撃を停止させ、被害を軽減するために迅速に対応する必要があります。SOARの導入により全てのツールを統合することで情報を一元化し、一連のプロセスをスピードアップさせることができます。
(3)調査プロセスの簡素化
セキュリティアプリケーション情報が統合されたリポジトリは、セキュリティの調査を迅速化するだけでなく、簡単にします。多くの場合、SOARは低レベルのアラートを独自に調査し、最も重要な情報のみをエスカレートします。これによりセキュリティチームは、余計な作業を行うことなく、重要な作業に集中することができます。
(4)サイバー攻撃による被害を最小限に抑える
SOARはセキュリティチームの介入なしに、サイバー攻撃からの被害を最小限に抑えるために先制して行動を開始することができます。チームの関与が必要な場合には、SOARがサイバー攻撃に関する重要な情報を素早く収集し、チームがより迅速に対応できるよう支援します。
(5)偽陽性(false positive)対応の時間を縮小
偽陽性や誤ったアラートは、セキュリティチームの悩みの種と言えるでしょう。偽陽性などへの対応により、時間を浪費してしまう事も多々あるかと思います。さらには、さまざまなダッシュボードでアラート通知を見るのに慣れてしまい、緊急事態を見逃し対応が遅れてしまう、といったこともあるのではないでしょうか。SOARは、低レベルアラートの処理を自動化することによって、このような状況の改善に取り組みます。
(6)手動プロセスを削減
セキュリティチームの時間を浪費するのは偽陽性や誤ったアラートだけではありません。ファイアウォールルールの更新、新しいユーザーの追加、削除など、手間のかかる手作業を大部分が費やしています。SOARの導入により、この種の反復作業は自動化が可能とされています。