情報システムやコンピュータのセキュリティインシデントに関する通知を受け取り、適切な対応を実施するチームまたは組織を指す「CSIRT(シーサート)」を設置する企業が増えている。その一方で、セキュリティを専門とする人材の不足により、CSIRTや監視業務を担う組織(SOC)に高度な人材を安定的に確保することが難しくなっている。また、業務手順が属人的になっている場合、担当者がいなくなると業務が継続できなくなるリスクもある。
そのため、セキュリティインシデントの調査から対処に至るまでの業務プロセスを自動化・高度化するSOARツールが登場し、注目されている。SOARツールは「自動化による対応速度と対応品質の向上」「インシデント対応業務の集約」「インシデント検知の高精度化」「インシデント対応状況の可視化と経営層への迅速な報告」などの効果が期待できる。
しかしながら導入にあたり、他システムとの接続設定など、自社の監視・運用に合わせたカスタマイズが必要となります。これがボトルネックとなり、自社で導入したものの、ツールを効果的に活用できなかったり、導入を見送ったりするケースも見られます。
NRIセキュアは、これらの問題点を解決し、SOARツールを最大限に活用するために、ツールの導入と運用それぞれの場面で支援するサービスを提供する。
SOAR導入・運用支援サービスでは、業務環境に適したSOARツールの選定や導入に向けた社内への提言を実施。ツールを活用した監視運用業務の設計と、自動化する業務領域の定義を行う。
また、すでに導入されているSIEM(セキュリティ情報イベント管理)製品とセキュリティ機器との接続を設定し、監視・インシデント対応業務の自動化手順書である「プレイブック」を作成する。導入したSOARツールの利用方法については、担当者へのレクチャーを実施し、運用業務フローの定期的な見直しを支援する。その他、新たなイベントログへの対処方法やセキュリティ機器の追加設定、導入後に発生した脅威や業務フローに対応するためのプレイブックの作成や見直しを支援する。