SOARとは

SOAR(Security Orchestration and Automation Response:ソアー)とは、セキュリティインシデント対応を自動化・効率化するためのツールや仕組みのこと。

SOARの頭文字になっているOrchestration(オーケストレーション)とは、複数のセキュリティ機器やツールなどから上がってくるアラートの内容を分析し、対応の優先順位をつける技術だ。また、Automation(オートメーション)はインシデント対応を自動化する技術、Response(レスポンス)はチーム管理、あるいは、過去の対応履歴を管理する技術のこと。

各種セキュリティ機器や外部サービスなどから収集された脅威情報が一つのプラットフォームに統合され、インシデントの調査、分析から対応までの業務プロセスを自動化・効率化する。SOARは、インシデント対応の品質を高め、セキュリティ運用の生産性を高める仕組みとして、近年、注目を浴びている。

サイバー攻撃は国境を越えて絶えず仕掛けられており、企業規模や業種を問わず、多くの企業にとって脅威となっている。一方で、そうした脅威に対応できるセキュリティ人材は不足しており、セキュリティインシデントの調査や分析、対応といった業務プロセスを自動化、効率化することは、インシデント対応業務の属人化を回避する観点からも重要だ。

こうした課題の解決を期待されているのがSOARだ。SOAR導入により、セキュリティインシデント対応の自動化が実現できる。また、インシデント対応の業務プロセスを、同一のプラットフォーム上で完結することができ、さらに、インシデント対応をはじめとするセキュリティ運用組織のパフォーマンス管理、改善なども容易に行うことができる。

これにより、インシデント対応の時間短縮をはじめとするコスト削減、業務効率化といったメリットや、セキュリティ人材の育成、活用といった効果が期待されている。

セキュリティ用語辞典一覧ページへ

関連キーワード:

サイバー攻撃

セキュリティ

セキュリティインシデント

脅威