SOARとは?セキュリティ運用・インシデント対応自動化のメリットを解説
更新日 : 2025年05月02日
巧妙化・高度化するサイバー攻撃への対応に追われ、多くの企業が「セキュリティ運用の負荷」や「セキュリティ人材不足」といった問題を抱えています。SOARは、そのような問題を解決するセキュリティ対策として登場しました。この記事ではSOARの基本やSIEMとの違い、セキュリティ運用・インシデント対応自動化によるメリットを解説します。
SOARとは?主な特徴と機能
SOAR(Security Orchestration, Automation, and Response)は、セキュリティ対策の運用を効率化・自動化するための技術やその製品です。SOARは単純なタスクの自動化を行うのではなく、複数の異なるシステムを横断してログを集約・分析し、対応までを自動化します。主な機能は下記の通りです。
オーケストレーション
オーケストレーションとは、複数のシステムやサービスにまたがって、プロセスを自動化して実行することです。SOARでは、さまざまな製品からの脅威情報やアラートを1つのプラットフォームに一元化することを指します。集約された脅威やアラートの情報は分析や、対応の優先順位を付ける「トリアージ」に使われます。
インシデント対応の自動化
SOAR活用にあたっては、インシデント対応手順である「プレイブック」を事前に定義しておき、プレイブックに基づいた対応を行うことになります。またインシデント対応には、従来人の手で行っていた部分に代えて、チャットボットなどを活用して自動化します。
SOAR提唱の背景
SOARは米国の調査会社ガートナーによって提唱されました。SOARが提唱された主な背景には、サイバー攻撃の増加や多様化、それらに伴うセキュリティ人材不足があります。
サイバー攻撃の増加
背景のひとつが、サイバー攻撃の多様化です。サイバー攻撃は、脆弱性のあるネットワーク機器が標的になるなど年々手口が巧妙化しています。企業は情報資産を守るために、複数のセキュリティ製品を使用してセキュリティ対策を強化することになりますが、その反面運用が複雑になることが課題です。またセキュリティ機器によっては毎日膨大な量のアラートやログが発生し、分析する担当者の大きな負担になります。セキュリティ事故はいつ起こるかわからず、24時間体制で迅速な対応を行わなければならないことから、業務の負荷はますます大きなものとなっています。
セキュリティ人材不足
セキュリティ対策には専門知識が必要ですが、日本ではスキルのあるセキュリティ人材の不足が続いています。加えて膨大な業務量や、一部の人材のスキルに依存する属人化も課題となっており、企業におけるセキュリティ運用業務の負荷が常に高い状態です。
こういった背景から、セキュリティ対策を手作業のみで行うには限度があります。したがってセキュリティ運用業務の自動化・業務効率化が必要であり、SOARという概念が生まれているのです。
SOAR導入のメリット
 |
SOARを導入すると、次のようなメリットがあります。 |
インシデント対応の効率化
インシデント対応の自動化により、迅速化や業務効率化が図れます。人に依らない対応で、正確性向上も見込めるでしょう。
新たな脅威への対応
既存のセキュリティ攻撃だけでなく、新たな脅威へも先んじて予防策を講じられます。近年では境界型セキュリティからゼロトラストセキュリティへ、セキュリティモデルが変化し変わりつつあります。SOARはゼロトラストセキュリティへ対応できるセキュリティ対策としても、期待されているのです。
人材不足の解消
インシデント対応の自動化によって、セキュリティ担当者の負担軽減を図れます。従来のセキュリティ対策にかかる人材リソースやコストを、他の高度な業務に割り当てることができるでしょう。
SOARとSIEMとの違い
SOARと似たセキュリティ対策に、SIEM(Security Information and Event Management:セキュリティ情報イベント管理)があります。
SOARとSIEM 目的の違い
SIEMとは、セキュリティログを監視し、インシデントが発生する見込みとなった場合にリアルタイムで脅威を可視化して、アラートを発信するというセキュリティ対策です。
SOARとSIEMは目的が異なっています。SIEMはログの監視や収集、分析が目的であり、SOARはログの収集や分析も含めた、セキュリティ運用の自動化を目的としています。
SOARとSIEMの連携
SOARではSIEM と連携し、SIEMで収集した他機器からの情報を用いて、対応を自動化することが可能です。
SOARの導入手順
 |
SOARの導入には、大きくわけて次の手順があります。 |
目標設定
業務効率化や人材活用など、SOARの導入により達成したい目標を明確に設定します。SOARに限らず、新たなシステム導入を進めていく過程で目標を見失うことはよくありますが、最初に目標を明確にしておけば、費用対効果の少ないシステム導入を避けられます。
課題整理
課題整理のフェーズでは、現状のセキュリティ運用における対応フローの洗い出しを行い、業務負荷が高い部分など課題とその箇所を明確にします。対応フローの洗い出しには、一般に公開されているフレームワークを活用することも方法のひとつです。
優先順位付け
対応フローの課題を元に、自動化の対象となる項目を決定します。自動化対象の項目を決定する際には、発生頻度の高さ、作業頻度、ミスの発生のしやすさといったことが判断のポイントです。
プレイブックの作成
インシデント対応手順であるプレイブックを作成します。プレイブックは1つの文書を作成するのではなく、対応フロー全体に関するメインプレイブックと、具体的な自動化対象項目について書かれているサブプレイブックを作成します。メインプレイブックから、サブプレイブックを呼びだすという構造です。
動作検証
プレイブックを実行し、正常に動作するか検証を行います。動作検証は、プレイブック内の処理でエラーが発生していないか、エラー時の例外処理は網羅できているか、API連携を行う場合は使用回数制限にかかっていないか、などの観点で行います。
SOAR運用上の注意点
セキュリティ運用を自動化するとはいえ、SOARの運用には注意点もあります。
プレイブック実行後のチェックが必要
プレイブックが正常に実行されているか、想定から外れた処理が実行されていないかなどをチェックすることが必要です。プレイブック自体を変更することは基本的に少ないですが、連携機器やAPIの仕様変更など対応フローに変更が発生した場合には、プレイブックの見直しを行うことになります。
SOARで解決できないインシデントもある
SOARで、すべてのセキュリティ運用業務を自動化できるとは限りません。企業がもつ情報資産によってはSOARと連携することが難しく、新しく基盤を構築したりプレイブックの作成に時間がかかったりして費用対効果が小さくなるケースも考えられます。SOARで解決しきれない複雑なインシデントも存在すると考え、その対処方法を考えておくことも必要です。
導入の効果には差がある
企業のセキュリティ運用組織や企業の形態によっても、SOAR導入の効果に差が出てくる可能性があります。したがってセキュリティ担当者への教育として、SOARの理解度を深めるための研修も必要です。セキュリティ人材が不足する場合には、アウトソーシングも有効となるでしょう。
まとめ
SOARは、セキュリティ対策を自動化できる新たなセキュリティソリューションです。セキュリティ人材の不足が深刻化する中、サイバー攻撃から企業を守る手段として、SOARの導入を検討する企業が増えています。しかし、導入や運用にあたっては、いくつかの課題が伴います。もし、セキュリティ人材の不足が課題であれば、セキュリティ運用のアウトソーシングを選択肢として考えることができます。
JBサービスでは、SOCサービスの価値向上を目的に、SOAR製品などの先進技術を活用し、セキュリティ運用の自動化と効率化を推進しています。JBサービスは、独自のノウハウをSOARに取り込みつつ、さまざまなサイバー攻撃のテクニックやツール、ノウハウに精通した認定ホワイトハッカーを中心としたセキュリティの専門家チームによる高品質なセキュリティサービスを提供しています。
また、JBサービスが提供するセキュリティ運用サービスは、経済産業省が策定した「情報セキュリティサービス基準」に適合しており、情報セキュリティサービス基準適合サービスリストに登録されています。セキュリティ運用サービスについて、詳しくは以下をご参照ください。
