Written by 伏見みう
目 次
SOARとは、企業・組織で扱うさまざまなセキュリティ機器と連携し、脅威の検知、分析、インシデント発生時の対応などを、自動化・効率化するためのセキュリティソリューションです。
少ないリソースで効率的にインシデント対応や脅威情報の管理がおこなえるので、SOCの負担軽減が期待できます。
本記事ではSOARの特徴や注目されている背景、導入メリットについて解説します。
▼本記事でわかること
- SOARの必要性
- SOARの仕組み
- SOARを導入するメリット
また、「SOARに興味はあるが、導入にハードが高い」という企業・組織の方に向けて、エムオーテックス株式会社(以下、MOTEX)の提供するネットワーク監視ソリューション「Darktrace(ダークトレース)」もご紹介しています。
セキュリティ強化を目指す企業・組織の方は、ぜひご確認ください。
SOARとは?
「SOAR」とは、Security Orchestration, Automation and Responseの略で、組織のセキュリティ管理・運用の効率化と高度化を実現することを目的としたセキュリティソリューションです。
通常、セキュリティインシデントが発生した場合、企業・組織が導入しているさまざまなツールやシステムで検知・分析したものを統合して判断し、対処する必要があります。
しかし「SOAR」を導入すると、このようなインシデント対応の一連のプロセスを自動化することが可能になります。
また、SOARは、セキュリティ担当者が手動でおこなっている定型的なタスク(情報収集や影響範囲の調査、一次対処など)も自動化します。
SOARを導入すると、セキュリティ人材のリソース不足を補いながら、より高レベルなセキュリティ体制の構築を目指すことができるでしょう。
SOARの構成要素・仕組み
SOARは、以下3つの要素で構成されています。
- オーケストレーション(連携)
- オートメーション(自動化)
- レスポンス(対処)
セキュリティ運用を自動化するSOARの仕組みを確認していきましょう。
オーケストレーション(連携)
SOARは、企業・組織内で運用しているさまざまなセキュリティツールと連携することができます。
連携できるツールの例としては、以下が挙げられます。
- ファイアウォール
- SIEM
- エンドポイント保護ツール
SOARでは、従来ログの形式や提供するベンダーの違いによって難しかった個々のセキュリティツールを連携することができるため、ツールを横断したログ取得や分析が実現可能です。
オートメーション(自動化)
SOARでは、ログ情報の収集や分析、脅威が発見された場合のアラートの優先順位づけなど、定型タスクの自動化が可能です。
具体的には、発生が想定されるインシデントの手順を「プレイブック」と呼ばれるデジタルワークフローに組み込むことで、自動化をおこないます。
レスポンス(対処)
SOARは、検知されたインシデントに関する報告や対応もおこないます。
企業・組織内で運用している多数のセキュリティツールから収集したデータが可視化されるため、インシデントへの迅速な対応が可能です。
SOARが注目を集める背景
SOARが注目されている理由としては以下が挙げられます。
- セキュリティ人材の不足
- サイバー攻撃の増加・高度化
セキュリティ人材の不足
SOARが注目を集める背景に、セキュリティ人材の不足が挙げられます。
総務省が過去に公開した「セキュリティ対策に従事する人材の充足状況」の調査によれば、米国及びシンガポールの8割以上の企業が「人材は充足している」と回答したのに対し、約9割の日本企業が「人材不足である」と回答したことが分かりました。
▼セキュリティ人材の充足状況について
出典:総務省|情報通信白書令和2年版 – 第1部 5Gが促すデジタル変革と新たな日常の構築
理由として「セキュリティ人材の教育実施に必要な時間の確保が困難であること」「セキュリティ人材のキャリアパスの不足」などが要因として考えられています。
しかしインシデントに関するログやセキュリティ機器の数は年々増加しており、少数のセキュリティ担当者が、従来の手法でシステムを管理する運用方法は厳しくなっているのが現状です。
このような背景から、セキュリティ運用を自動化できるSOARへの注目が高まっています。
サイバー攻撃の増加・高度化
昨今のサイバー攻撃の増加・高度化も、 SOARへの関心が高まる理由のひとつです。
国立研究開発法人情報通信研究機構の「NICTER観測レポート2024」によると、2024年に観測されたサイバー攻撃関連の通信数は6,862億パケットに上りました。
2015年の約632億パケットから比較すると、10倍以上も増加していることがわかります。
▼NICTERにおけるサイバー攻撃関連の通信数の推移
出典:国立研究開発法人情報通信研究機構(NICT)|NICTER観測レポート2024(2025年2月13日)
さらに、サイバー攻撃の手口は年々巧妙化・複雑化しており、従来の対策では早期発見がより難しくなっています。
大量の脅威に対し、複数の機器を使い分け、インシデントの発生前に食い止めるには、あらゆる領域の脅威監視・分析を一本化し、かつ自動対応もおこなえるソリューションの存在が必要不可欠です。
このような背景から、複数のセキュリティソリューションを連携させ、検知・分析までのフローを自動化できるSOARが注目されています。
SOARとSIEM、XDRとの違い
SOARと混同されやすい「SIEM」「XDR」との違いを解説します。
SOARとSIEMの違い
SIEMとは、Security Information and Event Management の略称であり、セキュリティ機器やネットワーク機器のログ情報を一元的に収集・解析することで、リアルタイムな脅威検知を可能とするセキュリティです。
「他の機器からログを収集し分析する」という点で共通していますが、SIEMは脅威の検知に、SOARはセキュリティ業務全般の自動化に焦点を当てている点が異なります。
SOARは、SIEMをもとに「連携によるインシデント発生時の一次対処を自動化」できる機能を備えているため、SIEMの課題であったセキュリティ担当者の工数削減・作業品質の均質化の実現に役立ちます。
SOARとSIEMは同時に導入されるケースも多く、両者を連携することで、より高レベルなセキュリティの実現を目指すことができるでしょう。
SOARとXDRの違い
XDR(Extend Detection and Response)とは、サーバーやエンドポイント、クラウドといったあらゆる領域に関わるログデータを収集・分析することで、効率的かつ高度な脅威検知と対応を目指すセキュリティ概念です。
「XDR」と「SOAR」は、イベント管理・セキュリティ機器の連携・自動化など、多くの共通する機能を備えています。
XDRは検知と対応に重点を置いており、SIEMは運用業務の自動化・統合に重点を置いている点で異なります。
| SOAR | セキュリティ運用の自動化 |
|---|---|
| SIEM | ログ情報の収集・解析、リアルタイムな脅威検知 |
| XDR | 高度な攻撃の検知・対応 |
SOARを導入するメリット
SOARを導入する主なメリットとしては以下が挙げられます。
- セキュリティ運用の負担軽減につながる
- アラート管理の負担が軽減できる
- 作業品質の管理がしやすくなる
SOARを導入することで、どのようなメリットが期待できるのかを確認していきましょう。
セキュリティ運用の負担軽減につながる
SOARは複数のセキュリティツールをひとつのプラットフォームに集約できるため、運用工数の削減に寄与します。
セキュリティツールからのログ収集、アラート通知、脅威判定、一次対処や影響範囲の調査までを自動化できる点も大幅な負担軽減につながるでしょう。
セキュリティ人材の不足に悩む組織にとって、心強い味方となります。
アラート管理の負担が軽減できる
通知アラートの管理を容易にする点も、SOARの魅力です。
通常セキュリティ管理者は、何百・何千というアラート通知への対応に追われてしまい「適切に脅威へ対応できない」「ほかの業務に時間が割けない」などの課題を抱きやすいです。
しかしSOARでは、多数のセキュリティツールを同一のプラットフォームに集約できるため、ツールを横断したログの取得や分析が可能となります。
またSOARには、検知されたアラートの中から、優先的に対応すべきものを自動的に選別する「トリアージ機能」も搭載されているため、無関係なアラート管理にかかる工数削減も期待できます。
作業品質の均一化が図れる
SOARでは、プレイブックにあらかじめ対応手順を登録しておくことで、誰でも同じ手順・品質でインシデントへの対応ができるようになります。
従来のセキュリティツールの多くは、インシデントが発生した際にケースバイケースで対応する必要があり、セキュリティ人材のスキルによって適切な対応ができないことがありました。
SOARではプレイブックに従ってインシデントに自動で対応できるので、運用する担当者のスキルや経験によらず、作業品質を均一にすることができます。
作業品質を均一にすることで、高レベルなセキュリティ対策を施せるでしょう。
SOARを導入する際の注意事項
前述した通りSOARは、組織のセキュリティレベルの向上・リソース不足の解消を支える上で、多くのメリットがあります。
しかし、注意すべきポイントもいくつか存在するため、組織は自社の現状と照らし合わせながら、SOARの活用を検討する必要があります。
▼SOAR導入時の注意事項
- 導入コストへの懸念
- 属人化したプロセスから移行の難しさ
- 運用体制構築の難しさ
- セキュリティ体制が複雑化する懸念
まず懸念としてあがるのが、SOARを導入し、運用を軌道にのせるまでのハードルの高さです。
製品自体の価格帯が高額になりやすいことはもちろん、SOARにおける業務プロセスの整理や自動化シナリオの設計、環境の構築には、高い専門知識とスキル・期間を要します。
また、現在のセキュリティ環境との互換性も必要であり、製品によっては、自社で使用しているセキュリティツールと連携が難しい可能性もあります。
SOARの導入を検討する際は、ひと通りの機能を活用できるまでに長い時間やリソースを要すること、そして段階的に最適な環境を構築するという粘り強さ、導入~運用までには自社の他部門の協力・連携が不可欠であることなどを、あらかじめ念頭に置いておくことが重要です。
NDR「Darktrace(ダークトレース)」とは
「SOARに興味はあるが、社内リソースや導入期間などがハードルとなっている」という企業・組織の方に向けて、本記事では「Darktrace(ダークトレース)」というセキュリティソリューションを紹介します。
「Darktrace」は、SOARと同様にあらゆるセキュリティ領域を網羅的に監視し、異常を速やかに検知することが可能なNDRです。
複数の機器から情報を収集するのでなく、Darktrace本体からあらゆる領域への通信パケット(トラフィック)を監視するため、速やかに異常の検知を図ることが可能です。
また、ネットワーク全体に加え、クラウド、テレワーク、Eメール、SaaS環境など、広範なデジタル環境を1台で網羅的に監視できるため、あらゆる脅威を素早く検知し対策することが可能です。
さらにDarktraceは、脅威分析によって発見した危険な通信の自動遮断までを実施します。
導入時のルール定義や詳細設定などは不要で、既存のシステムやセキュリティ機器への影響もないため、SOARで懸念される「導入時の設計の難しさ、リソース、準備期間の長さ」といったハードルを解消することも可能です。
Darktraceは、AI 機械学習と数学理論を用いた通信分析で自己学習し、通常とは異なる通信パターンを検知して、未知の脅威へと対応するセキュリティソリューションです。
AIが脅威レベルを自動判断・遮断するため、脅威判定が簡単で管理工数を削減できるというメリットもあります。
▼アラート受領から、1件あたり最短3分でセキュリティチェックが可能
1台で網羅的・高精度なセキュリティ監視・運用を叶えられるDarktraceは、社内のリソース不足に悩むセキュリティ担当者にとって心強い味方となります。
詳細を知りたい方は、下記のページまたは資料をご確認ください。
まとめ
本記事では、SOARの仕組みや機能、そのメリットや導入のポイントについて解説しました。
本記事のまとめ
- SOARは、複数のセキュリティ機器と連携し、脅威分析やインシデント対応を効率化・自動化するセキュリティソリューション
- セキュリティ人材の不足やサイバー攻撃の増加が問題視される昨今、セキュリティ運用を自動化できるSOARが注目を集めている
- SOARを活用すると、セキュリティ運用の軽減やアラート管理の効率化が期待できる
- SOARを導入する際は、導入コストや運用体制の整備が必要となるため注意が必要
セキュリティ運用を強化・効率化したいが、SOARの導入ハードルが高いという企業・組織の方は、本記事で紹介したNDR「Darktrace」の導入もご検討ください。
「Darktrace」は、AIが異常な挙動を常時検知・遮断するAI型ネットワーク監視(NDR)です。
導入時のルール定義や詳細設定などが不要で、既存のシステムやセキュリティ機器への影響もないため、導入時の設計の難しさ、リソース、準備期間の長さといったハードルを解消することが可能です。
「Darktrace」についてわかりやすくまとめた資料をご用意しているので、ぜひ本記事とあわせてご確認ください。
おすすめ記事
