SOARとは

SOARとは“Security Orchestration, Automation and Response”の略称です。日本語では「セキュリティのオーケストレーションと自動化によるレスポンス」と訳されます。近年アメリカを中心に発展し、セキュリティ運用の効率化・自動化を実現する技術、またそのソリューションとして注目を集めています。

SOARはセキュリティインシデント発生の際のプロセス、ワークフロー(Playbook)の合理化や最適化に役立ちます。あらかじめインシデント発生時の対応を定義しておくことで、手作業では長時間かかる対応作業をわずかな時間で完了できます。またインシデントに関する調査と情報収集、関係各処への状況報告などを定義に従って行います。サービスによってはプレイブックがあらかじめ用意されており、すぐに使えるものもあります。

「SOAR」に含まれるIT用語としての「オーケストレーション」は、「単純な自動化」とは異なります。一般的に自動化と言った場合、「単一の」タスクを繰り返す自動化（オートメーション）を指します。これに対し、オーケストレーションはシステムやソフトウェアなどの構築と運用・管理を統合的に、「複数の」異なるシステムを関連付けたさまざまなプロセスやワークフローなどを自動化することを意味します。そのためSOARは、多くのチームやツールをまたぐような複雑なワークフローも、調整し連携することが可能です。

オーケストレーションツールは多様な分野で活用されますが、特にセキュリティインシデント対応に特化したものがSOARといえるでしょう。なお日本語では、前半のみをカタカナ表記した「セキュリティオーケストレーション」の呼称もSOARとほぼ同じ意味で使われることがあります。

SOARには主に3つの機能があります。

1. 事前にセキュリティインシデント発生の際のルールや手順を定義しPlaybookに登録することで、そのプロセスを自動化できます。
2. 組織内の各種セキュリティ機器から収集された脅威情報を、一つのプラットフォームに統合して情報の管理などを行います。また複数のツールやシステムにまたがる複雑なワークフローなども連携し統合管理できます。
3. 脅威インテリジェンスとインサイトを統合し、収集した情報を活用して脅威への先手の対応が可能です。

SOAR導入によってインシデント対応や脅威の情報管理、証拠管理などの一連の作業が自動化されることで、セキュリティ担当者の負担が軽減されるという大きなメリットがあります。手動で都度行っていたフローや対応プロセスに時間を取られることがなくなるため、新たな脅威に対する情報や知識を得るなど、インシデントに対する先手を打つことに集中できるようになります。

何より、日本ではIT人材、情報セキュリティ人材の不足が以前から課題として議論されています。情報セキュリティ人材の不足は短期間で解消するものではない社会的な問題です。その解決策の一つとしてSOARの活用は注目を集めています。