SOARはSecurity Orchestration, Automation and Responseの略で、セキュリティ運用業務の効率化や自動化を実現するための技術、あるいはソリューションです。具体的な機能としては、さまざまな製品やプラットフォーム、外部からの情報の集約とその分析、事前に定義されたプロセスに沿った業務の効率化と標準化、そして発生したインシデントの管理や関係者への通知などがあります。
SOARを利用する大きなメリットの1つとして、インシデント発生時の対応を自動化できることが挙げられます。具体的には、インシデントが発生したときのプロセスをあらかじめプレイブックとして定義しておきます。SOARはこのプレイブックに記載された内容に従って、情報収集や初期調査、状況報告などを行います。
こうして作業が自動化されることにより、セキュリティ担当者の負担が軽減され、より高度な知識が求められるインシデントへの対応などに時間を割けるようになるでしょう。また、インシデントが発生したときの対応を平準化できることも見逃せない利点です。
特に日本ではセキュリティ人材不足が多くの企業において課題となっていますが、その解決策としてSOARには大きな期待が寄せられています。