ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

ステップ・バイ・ステップで学ぶ Orca Security 検出結果の確認方法と対処方法 - 2025

Orca Security

こんにちは、Orca Security 担当の尾谷です。

Orca Cloud Security Platform(以下、Orca)は、頻繁にアップデートされます。
これまでご紹介してきた Orca Security の記事から、UI が大幅に変更されていたり、名称が変わっていることも多いため、2025 年 10 月時点の仕様に合わせて、Orca の検出結果の確認方法とアラートの対処方法をご紹介します。

Orca の検出結果の確認フロー

Orca がリスクを検出するステップと、検出された結果を確認するオススメの方法をステップごとにまとめてみました。

  1. Orca が検出したリスクをアラートとしてチケット化する
  2. (設定している場合)Orca がメールや Slack にアラート内容を通知する
  3. 利用者は、通知に含まれるリンクをクリックしアラートページを開く
  4. 利用者は、アラートページにて、リスクの概要や修復方法を確認する
  5. 利用者が、修復対応を行いリスクを取り除く
  6. 利用者は、リスクが完全に修復できたか、Orca コンソールからチェックする
  7. アラートが解決しておればアラートはクローズ、解決していなければ 3 に戻る

上記、沿って説明をしていきます。

Step 1. Orca が検出したリスクをアラートとしてチケット化する

Orca が検出したセキュリティリスクは、「1 リスク = 1 アラート」 として ID が振られ、チケットが起票されます。
Orca コンソールのナビゲーションペインにある「Alerts」を開くと、一覧表示されます。

アラートは、以下のリスクレベルに合わせて優先付けされます。

リスクレベル アラートスコア 説明
Critical 9.0〜10.0 攻撃成功率が高く、重大な影響を及ぼしかねないリスク
High 7.0〜8.9 攻撃成功率が高く、組織への影響も大きい可能性があるリスク
Medium 5.0〜6.9 攻撃の成功率も影響も中程度である可能性が高いリスク
Low 3.0〜4.9 3.0~4.9 | 攻撃の成功率が低かったり、組織への影響が小さい可能性があるリスク
Infomational 1.0〜2.9 明確な攻撃ベクトルがなく、組織に最小限のリスクしか与えないリスク

アラートスコアは、2025 年 10 月時点で、リスクベースの要因とアセットベースの要因の組み合わせで計算されます。
以前はこのスコアリングがブラックボックスでしたが、現在は、スコアの内訳が Score Brakedown で確認できるようになりました。

Step 2. (設定している場合)Orca がメールや Slack にアラート内容を通知する

Orca によって自動起票されたアラートは、Automations を用いて通知できます。
Automations はナビゲーションペインの下部にあります。

以下は、Automations で通知すべきと考えます。

  • アラートステータスが Open
  • リスクレベルが High 以上

Automations を利用すると、アラートの概要をメールで通知することもできますし、以下のスクリーンショットのように Orca の Slack 2.0 という機能を用いて、Slack タイムラインに通知することもできます。

2024 年 Slack 通知機能がバージョンアップしました

Step 3. 利用者は、通知に含まれるリンクをクリックしアラートページを開く

上記スクリーンショットにある、タイトル部分(Root User without MFA)が、アラートページへのリンクになっており、クリックすると、アラートページがブラウザで開きます。

アラートページはアラートごとに ID が振られており、それぞれにステータスを持ちます。
検知したばかりのときは、ステータスが Open になっています。
Orca のアラートページには、簡易なチケット管理機能として、メモを追加したり、ステータスを更新したりできます。

Open ステータスを In Progress に変更して対応を開始します。

Jira などのチケット管理ツールで運用している場合は、Take Action から連携してチケットを起票することもできますし、Automations を用いて自動起票もできます。

Step 4. 利用者は、アラートページにて、リスクの概要や修復方法を確認する

どういったリスクを検出しているのか?その概要は、[Overview] タブに表示されますし、[Remediation] タブを確認すると、修復方法も把握できます。

修復方法が分かりづらい場合や、詳細なリスクの内容を確認したい場合、スクリーンショット下部の Orca AI に質問すると、詳しく教えてくれます。
(日本語も使えます。)

Step 5. 利用者が、修復対応を行いリスクを取り除く

Orca は、基本的にクラウド環境を参照しますが、クラウド環境を直接操作できません。(Auto Remediation を設定している場合を除く)

そのため、 リスクは Orca ではなく、対象のクラウド環境で作業します。

Step 6. 利用者は、リスクが完全に修復できたか、Orca コンソールからチェックする

クラウド環境からリスクを取り除いたら、Orca のアラートステータスを Closed にします。
すると、Orca で検証プロセスが動作し、修復できたかチェックします。

Step 7. アラートが解決しておればアラートはクローズ、解決していなければ 3 に戻る

アラートが解決しておれば、アラートのステータスは Closed になりますが、もし解決していなければ、再度ステータスが Open に戻ります。
Closed ステータスになったアラートは、30 日後にデータベースから削除されます。

アラートが解決しておれば、タイムラインに Succeeded が記録されます。

もし解決していなければ、検証後、再度ステータスが Open になります。

誤検知や過検知、静観したいアラートの対処方法

Orca が検知するアラートの中には、修復が難しいものも存在します。
あるいは、特別な事情があって、アラートを静観させて対象外にしたいケースがあるかもしれません。

こういったケースには、Dismiss か、Snooze を使います。

Dismiss でアラートを無効化する

Dismissed ステータスを利用すると、アラートを無効化できます。
無効化されるのはステータスの変更であり、リスクの評価は続きます。
そのため、アラートリスクが変動し、アセットが削除されたり、Orca がリスクでないと判断した場合は Closed ステータスになります。

[Take Action] ボタンから、Dismiss ステータスに変更できます。
オプションで理由を設定できます。「誤検知」とか、「内部アクセスのため問題なし」などメモしておくと、メンバーとの共有や対応エビデンスとして利用できます。

Snooze で一定期間だけ静観する

一時的にアラートを無効化し、その後、再度有効化させたい場合は、Snoozed ステータスを利用します。
例えば、来月のパッチ適用までアラートを静観させたい。といった使い方ができます。

[Take Action] ボタンから、Snooze を選択します。
1 日から 1 年まで選択できますし、カスタム日付を指定することもできます。

まとめ

以上、2025 年 10 月時点の UI と仕様に沿って、Orca で検出したリスクの確認方法と、対応方法をご紹介しました。
それぞれのステップでご不明点があれば、お問合せください。

確認してご紹介させていただきます。