SOAR(Security Orchestration, Automation and Response)とは、「セキュリティのオーケストレーションと自動化によるレスポンス」の略称で、セキュリティインシデントの監視、理解、意思決定、アクションを、効率的に行えるようにするための技術、ソリューションです。

SOARの機能は

• 外部からの驚異情報の集約とその分析
• 事前に定義されたプロセスに沿った判断・対処の効率化
• 発生したインシデントの管理、関係者への通知など

などが挙げられます。

サイバー攻撃が増加して不正行為者も巧妙化する中で、セキュリティアナリストたち対応しなければならないアラートは数千件を超えることがざらにあり、重要度が高く対策を講じる必要があるアラートと無視して構わないアラートを見極める必要があります。セキュリティ人材が不足しているなかで、これらを手動で対処していると重大な脅威を見逃したり、場当たり的な対処に終始しかねない状況です。

このような状況を打開するために、セキュリティアナリストをの生産性を向上するために、インシデント発生時の定型的な対応を自動化できることが挙げられます。例えば、インシデントが発生したときの作業手順をあらかじめプレイブックとして定義します。SOARプラットフォームはプレイブックに記載された手順で、情報収集、状況報告などを行います。結果的に処理できるインシデント数が増え、また、セキュリティ担当者の負担が軽減され、より高度な知識が要求されるインシデントの対応などに注力出来るようになります。