Security Orchestration, Automation and Responseの略。SOARは、セキュリティ運用の自動化及び効率化を実現する技術として、米国を中心に注目を集めている。
背景として、CSIRT、SOC業務にあたるセキュリティ担当者の課題がある。セキュリティ担当者は、MTTR(平均修復時間)の追求、標準プロセスの欠如・属人化、人員のスキル不足・平準化の取り組み、セキュリティ製品間の非連携の解消など多くの課題に直面しており、それらの課題を解決することを目的としている。
SOARは、一般的にオーケストレーション、オートメーション、レスポンスの3つの機能を提供している。オーケストレーションは様々な製品からの脅威情報やアラートを一つのプラットフォームに集約し、分析やトリアージの効率化を行う。オートメーションはインシデント対応の標準プロセスを定義し、ワークフロー手順書(プレイブックと呼ばれる)を利用することで業務の効率化・平準化を実現する。レスポンスはチャットボットやウォールームの利用により、従来人手で行っていた調査作業、履歴管理などを自動化する。SOARはこれらの機能により高度なスキルを持ったセキュリティ担当の業務を軽減し、より付加価値の高い業務に時間を費やせる仕組みを実現する。
近年言われているセキュリティ人材の不足や、SOC/CSIRTにおける定型業務の自動化、高度セキュリティ人材のより有効な活用への効果が期待されている。
