Googleはセキュリティオーケストレーション、自動化、応答(SOAR)プロバイダーのSiemplifyの買収を発表した。SOAR機能を独自のGoogle Chronicleセキュリティソリューションに統合することが目的だ。
GoogleとSiemplifyはどちらもサイバー攻撃と脅威の数が増加していることを強調している。これは多くの企業や企業のセキュリティ運用を改善するための投資を動機付ける要素である。
私たちは、セキュリティアナリストがより少ない労力で専門知識を必要とせずに、より多くのより複雑なインシデントを解決できなければならないという信念を共有しています。Siemplifyを使うと、どのように組織が脅威を探し、検出し、対応するかのルールが変わります。
セキュリティオーケストレーション、自動化、対応はセキュリティインシデント管理へのアプローチである。これはセキュリティ運用の効率を向上させることを目的として、近年登場したものである。
SOARプラットフォームでは、オーケストレーションは主に、シームレスに動作するように構築されていない複数のツールを取り扱う複雑さに対応することを目的としている。例えば、脆弱性スキャナー、侵入検知システム、イベント管理プラットフォームなどである。オーケストレーションがないと、組織は同じインシデントから発生する複数のアラートで手におえなくなってしまう可能性があるとSiemplifyは言っている。
自動化はSOARの第2の柱である。セキュリティアナリストの負担を減らす役に立つ。この目的のために、SOARプラットフォームでは、インシデントの初期分析を自動化するためのベースとしてプレイブックが使われる。たとえば、フィッシングの疑いのある攻撃はいくつかの手順を実行することで対処できる。この手順は、添付ファイル、ハッシュタグ、URLを分析するツールを使って簡単に自動化でき、その結果、ブラックリストに含まれる可能性もある。これにより、セキュリティアナリストがさらに検査しなければならないケースの数が減る。
Google Cloud SecurityのVP/GMであるSunil Potti氏によると、Siemplifyの機能はGoogle Chronicleと統合される予定だ。これは、サイバーセキュリティを念頭に置いて収集されたすべてのテレメトリデータを保持、保存、検索することを目的としたクラウドサービスである。Siemplifyは、ChronicleSOAR機能の基盤を提供するとPotti氏は言う。
2015年に設立されたSiemplifyは、コミュニティがサポートする無料利用枠を含む、SOARクラウドプロバイダーに依存しないソリューションを作った。Siemplifyが無料利用サービスを維持するのか、クロスクラウド機能を維持するのかは、現時点ではまだ明確ではない。しかし、SiemplifyのCEOであるAmos Stern氏は、マルチクラウド環境に対するGoogleの取り組みを強調している。
SOAR分野のプレーヤーはSiemplifyだけではない。他にもパロアルトネットワークスのCortex XSOAR、Swimlane、Splunkなどがある。さらに、Microsoftは、Azureクラウドプラットフォーム用にSentinelで独自のSOARソリューションを提供している。