SOAR(セキュリティオーケストレーション・自動化・対応)
セキュリティアラートの収集・分析・対応を自動化するプラットフォーム。SIEMと連携してインシデント対応フローを自動化し、SOCチームの工数を大幅に削減する。
SOAR(Security Orchestration, Automation and Response)とは?
SOARは、セキュリティアラートへの対応を自動化・効率化するプラットフォームです。SIEMからのアラートを受け取り、事前に定義した「Playbook(対応手順書)」に従って自動的にインシデント対応を実行します。
SOARが解決する課題
SOCチームは毎日数百〜数千件のアラートに対応しています。多くは誤検知(フォールスポジティブ)や低優先度のものであり、手動対応では重要インシデントへの対応が遅れるリスクがあります。
SIEMとSOARの違い
| 項目 | SIEM | SOAR |
|---|---|---|
| 主な機能 | ログ収集・相関分析・検知 | 対応の自動化・オーケストレーション |
| 人間の関与 | アナリストが手動で対応 | Playbookで自動対応 |
| 関係 | SOARはSIEMのアラートを受けて動作 | 連携して使われることが多い |
Playbookの例(フィッシングメール対応)
- メールのヘッダー・URLを自動解析
- VirusTotalでURLの悪性チェック
- 悪性と判定 → 該当メールを全ユーザーの受信箱から自動削除
- 送信元ドメインをブロックリストに追加
- アナリストにSlackで通知
代表的な製品
- Splunk SOAR(旧Phantom)
- Microsoft Sentinel(SIEM+SOAR統合)
- Palo Alto XSOAR
- IBM Security QRadar SOAR
まとめ
SOARはSOC(セキュリティオペレーションセンター)の工数を大幅に削減します。繰り返し発生する定型アラート対応をPlaybookで自動化することで、アナリストは高度な脅威分析に集中できます。
関連する用語 (サイバーセキュリティ辞典)
全109件を見るセキュリティ用語: SOC (Security Operations Center) とは
情報セキュリティの重要キーワード「SOC (Security Operations Center)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: Botnet とは
情報セキュリティの重要キーワード「Botnet」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: Endpoint Detection and Response (EDR) とは
情報セキュリティの重要キーワード「Endpoint Detection and Response (EDR)」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: Insider Threat とは
情報セキュリティの重要キーワード「Insider Threat」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: Honeypot とは
情報セキュリティの重要キーワード「Honeypot」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。
セキュリティ用語: Clickjacking とは
情報セキュリティの重要キーワード「Clickjacking」の仕組み、脅威の手口、インフラエンジニアが行うべき対策を解説。