SOARとは １

SOARとは「Security Orchestration and Automation Response（以下、SOAR）」の頭文字を取ったものです。米国の調査会社であるガートナー社が2017年11月に公開した報告書で、各ビジネスリーダーにSOAR技術への投資を呼びかけました。

ガートナー社はSOARを「組織が異なるソースからセキュリティの脅威データとアラートを収集できる技術」と定義しています。インシデント対応とトリアージ（優先順位付け）を人とコンピュータの力を組み合わせて活用し、標準化されたインシデント対応の定義、優先順位付けなどを行うことで、より効率よいインシデント対応を可能とするのがSOARです。SOARは、組織がインシデント分析と応答手順（セキュリティオペレーションプレイブックとも呼ばれる）をデジタルワークフロー形式で定義できるため、さまざまなアクティビティを自動化できます。

組織のセキュリティツールセット内のすべてのツール、システム、アプリケーションを統合し、インシデント対応のワークフローを自動化する事で、インシデント対応効率と一貫性を向上させるために、ガートナー社はSOAR技術の導入を推奨している、ということになります。

一般的に、SOARの核心となる2つの要素は「オーケストレーション」と「セキュリティの自動化」にあります。

・セキュリティオーケストレーション
SOARは、他のサイバーセキュリティとIT運用ソリューションを統合して、包括的に管理できるようにします。内部のデータと外部の脅威情報とを関連付けることも可能となります。セキュリティチームは、様々なサイバーセキュリティツールからのアラートを素早く掘り下げ、問題の原因を突き止め、解決へと導きます。

・セキュリティの自動化
手作業を必要とせずに自動的にタスクを処理します。例を挙げると、セキュリティの自動化では、新規ユーザーのプロビジョニング（Provisioning）やその解除、ログの照会、IPアドレスのスコアリング実行や、その他タスクの処理をスタッフの関与なしに行うことができます。

ガートナー社の報告書では、対応すべきアラートが増えていること、それに対処するのに十分な人材がいないという考えが強まっています。セキュリティの統制とインシデント対応機能が一元化されていない場合、セキュリティチームは手動で脅威情報を収集し、個々のインシデントに対して、固有のプレイブック（定石、作戦などの意味）で作業することになります。

また同時に、サイバー攻撃はより高度に進化しており、防止、検出、対処することがますます困難になってきているのは周知の事実です。

増大する脅威に対抗するために多くの企業は、セキュリティ情報イベント管理システム（Security Information and Event Management、SIEM）、ユーザー・システムの行動を機械学習し異常を検知する技術（User and Entity Behavior Analytics、UEBA）、脅威インテリジェンスプラットフォームといった、多くのセキュリティ対策に投資していることと思います。複数のソリューションを展開することで組織のセキュリティの姿勢を向上させることが可能となりますが、これは同時にセキュリティチームが調査するアラートの増加を意味します。

このように、人材が不足しているのにも関わらず、対処するべきアラートは増えているという状況が、SOARの採用を後押しする要因となりそうです。ガートナー社は、2020年末までに、5人以上のセキュリティチームを持つ組織の15％が、SOARを採用するだろう、と予測しています。現在の採用率は1％未満なので、その増加率の高さに驚かされます。

次回も引き続き、SOARについて見ていきたいと思います。