SOARとは、米国の調査会社Gartner社により、Security Orchestration, Automation and Responseの頭文字を取って概念づけられた用語です（※1）。SOARは、文字通り「Orchestration」「Automation」「Response」の3要素から構成されます（図1参照）。

図1：SOARの概念

しかし、これらの3要素に明確な境界はなく、概念が重なる部分もあります。それらの概要を以下に示します。

1．Orchestration（セキュリティオーケストレーション）

音楽のオーケストラには様々な楽器の演奏者がおり、指揮者が楽譜を基に演奏を進行していきます。「セキュリティオーケストレーション」という言葉はこれに見立てたアナロジーとも言えるものであり、指揮者の役割であるSOARが、様々なセキュリティ機器からのアラート、および外部から公開される脅威情報等を取得し、それらを予め定義されたワークフロー（SOARではプレイブック（脚本）と呼ばれる）に照らし合わせ、タスクを実行していきます。

2．Automation（自動化）

SOARは従来のセキュリティ運用における手作業の一部を自動化します。自動化され得る手作業の例には以下が挙げられます。

【自動化される手作業の例】

• セキュリティ機器からのアラートが誤検知であるか否かの判断・優先度付け
• 検出された不審ファイルがマルウェアかどうかを調査するためのファイル送信
• インシデント対応の決定権を持つ者への承認依頼
• ファイアウォール等のセキュリティ機器への設定更新

3．Response（インシデント対応）

SOARはインシデント対応を識別するための管理チケットの発行、対応記録、コミュニケーション基盤、ダッシュボードによる可視化、レポート作成、等の様々な機能を提供します。さらに、プレイブックの定義次第では、ファイアウォール等のセキュリティ機器にポリシー設定を自動で適用するといった、高いレベルの自動化も実現され得ます。

SOARの実現例を図2に示します。

図2：SOARの実現例

今、なぜSOARが注目されているのでしょうか？ その背景となる、セキュリティ運用における課題には以下が挙げられます。

セキュリティ運用における課題

1. アラートの増加
2. セキュリティ運用人材の不足
3. 一貫性のない属人的対応

これらの課題は、現場ごとに独立した課題としても存在し得ますが、（1）を起点として（1）→（2）→（3）のような因果関係を構成して一斉に顕在化することが最近の傾向と言えるでしょう。
なぜなら、最近、AIや機械学習などの新しい技術、およびSIEM（※2）に代表されるログ分析技術がセキュリティ運用の現場に導入されるようになり、セキュリティ上の異常の可能性を早期に検知できるようになってきた反面、それに関連して「誤検知の増加」・「アラートの優先度付け」という課題もより深刻になってきているのです。

セキュリティ運用のための人的リソースが有限かつ一定の環境下では、アラートが多くなるように調整すると誤検知が増加して「検知できても対応しきれない」というリスクが高まり、アラートが少なくなるように調整すると検知漏れが増加して「対応できる余力があるにもかかわらず対応できない」というリスクが高まるといったトレードオフ問題が存在しています。

この問題への対処として、従来の発想では、業界標準とされるNISTのサイバーセキュリティフレームワーク（※3）で示される5プロセス「特定（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond）」「復旧（Recover）」における「検知（Detect）」の部分に、誤検知を減らす先進的な技術や、高スキル人材を導入すべきとの議論が中心でした。しかし、それらの実現には高い運用コストを招くことがありました。

一方、SOARの概念は、同フレームワークの全プロセスを対象に広い視野から前記課題を捉え、一つの解決方法を提供しています。いわゆる、個別最適から全体最適です。SOARがもたらすこの新しい発想は、セキュリティの費用対効果の最大化に貢献するだけでなく、経営層への可視化に対しても有効であり、今後もますます注目を集めていくでしょう。