Security Orchestration, Automation and Responseとは？わかりやすく解説

Security Orchestration, Automation and Response（セキュリティオーケストレーションオートメーションアンドレスポンス、略称：SOAR、ソアー）は、セキュリティ運用の効率化を図るための技術やソリューション体系である。インシデント対応プロセスにおいて、オーケストレーション、自動化、レスポンスの3つの要素を統合しする。具体的には、SIEMシステム、脅威インテリジェンスプラットフォーム（TIP）、その他のセキュリティ技術からのアラートなどの入力を収集し、標準化されたインシデントレスポンスの定義、優先順位付け、および推進を支援するものである。^[1]^[2]^[3]

SOARは、管理者が手動での介入を必要とせずにセキュリティアラートを処理することを可能にする。セキュリティインシデントの検知から分析、連携・判断、封じ込めに至る一連のセキュリティ運用^[4]プロセスを、対応フローを定義した手順書である「プレイブック」に基づいて自動化することで、業務の効率化を実現する。また、対応プロセスの標準化により、担当者のスキルレベルによらず一定の対応品質を担保できる「対応の平準化」や、インシデント対応記録の統一化による「対応品質の向上」といった効果も期待できる。

概要

近年、サイバー攻撃の増加^[5]に加えて、セキュリティ人材の不足がグローバル規模で課題となっており^[6]、企業におけるセキュリティ運用業務の負荷が高い状態が常態化している。このような状況において、定例的な単純作業にリソースを大きく割かれ、脅威ハンティングなどのより高度な対応に着手できないという課題が存在する。SOARは、このような課題を解決する手段の一つとして注目されている。

SOARは、Gartner社によって次のように定義されている^[7]。

SOARとは、組織がセキュリティ運用チームによって監視される入力を収集できるようにする技術を指す。例えば、SIEMやその他のセキュリティ製品からのアラートは、人と機械の力を組み合わせてインシデント分析とトリアージを実行でき、標準化されたインシデント対応活動の定義、優先順位付け、推進に役立つ。SOAR を使用すると、組織はデジタルワークフロー形式でインシデント分析と対応手順を定義できる。

SIEMとの違い

SIEM (Security Information and Event Management) は、各種セキュリティ機器などからログやアラートを集約・相関分析し、インシデントを検知するセキュリティ情報イベント管理ツールである。一方、SOARはSIEMが検知したアラートと連携し、その後のトリアージや対応の自動化を担う。SIEMが「検知」に主眼を置いているのに対し、SOARは「検知後の対応」に焦点を当てている点で役割が異なる。

構成要素

オーケストレーション

オーケストレーションは、情報システムのさまざまなセキュリティツールやシステムを接続する。カスタムビルドのアプリケーションと組み込みのセキュリティツールを統合し、すべてが相互に連携して動作するようにする。また、多様なエンドポイント、ファイアウォール、行動分析ツールも接続する。^[8]

オートメーション

オートメーションは、オーケストレーションを通じて生成された膨大な量の情報を取り込み、機械学習のプロセスを通じて分析する。SOARは、ログ分析の多くの手動タスクを処理し、チケットリクエスト、脆弱性チェック、監査プロセスも処理することができる。^[8]

インシデントレスポンス

インシデントレスポンスは、セキュリティチームが潜在的な脅威が示された際に反応することを可能にする。このコンポーネントはまた、脅威インテリジェンスの共有といったインシデント後の活動も自動化された方法で処理する。^[8]

プレイブック

SOARは、プレイブックとランブックのおかげで、セキュリティ管理者が潜在的なインシデントとその対応を定義することを可能にする。^[2] プレイブックは、サイバーセキュリティインシデントをどのように検証し、そのインシデントにどのように対応すべきかを記述した文書である。プレイブックの目的は、ランブックが実行すべきことを文書化することである。プレイブックは、SOARが失敗した場合の手動バックアップとして使用することができる。^[2]

ランブック

ランブックは、プレイブックのデータを自動化ツールに実装し、脅威を緩和するための事前定義されたアクションを実行するものである。^[2]

脚注

[脚注の使い方]

^ “Definition of Security Orchestration, Automation and Response (SOAR) - Gartner Information Technology Glossary” (英語). Gartner. 2025年9月16日閲覧。
^ ^a ^b ^c ^d Mike Chapple, James Michael Stewart, Darril Gibson (2021) (英語). (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (Sybex ed.). pp. 845–846. ISBN 978-1-119-78623-8
^ “Security Orchestration, Automation and Response (SOAR) Platforms, Solutions and Use Cases” (英語). D3 Security. 2025年9月16日閲覧。
^ “NIST SP800-61 Computer Security Incident Handling Guide”. csrc.nist.gov. 2025年9月16日閲覧。
^ “総務省令和4年版情報通信白書 NICTER におけるサイバー攻撃関連の通信数の推移”. www.soumu.go.jp. 2025年9月16日閲覧。
^ “(ISC)2 2022 Cybersecurity Workforce Study”. www.isc2.org. 2025年9月16日閲覧。
^ “Definition of Security Orchestration, Automation and Response (SOAR) - IT Glossary”. www.gartner.com. 2025年9月16日閲覧。
^ ^a ^b ^c “The Important Role of SOAR in Cybersecurity” (英語). Security Intelligence. 2025年9月16日閲覧。

[1] “Definition of Security Orchestration, Automation and Response (SOAR) - Gartner Information Technology Glossary” (英語). Gartner. 2025年9月16日閲覧。

[:0-2] Mike Chapple, James Michael Stewart, Darril Gibson (2021) (英語). (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (Sybex ed.). pp. 845–846. ISBN 978-1-119-78623-8

[3] “Security Orchestration, Automation and Response (SOAR) Platforms, Solutions and Use Cases” (英語). D3 Security. 2025年9月16日閲覧。

[4] “NIST SP800-61 Computer Security Incident Handling Guide”. csrc.nist.gov. 2025年9月16日閲覧。

[5] “総務省令和4年版情報通信白書 NICTER におけるサイバー攻撃関連の通信数の推移”. www.soumu.go.jp. 2025年9月16日閲覧。

[6] “(ISC)2 2022 Cybersecurity Workforce Study”. www.isc2.org. 2025年9月16日閲覧。

[7] “Definition of Security Orchestration, Automation and Response (SOAR) - IT Glossary”. www.gartner.com. 2025年9月16日閲覧。

[:1-8] “The Important Role of SOAR in Cybersecurity” (英語). Security Intelligence. 2025年9月16日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Security Orchestration, Automation and Responseとは？わかりやすく解説

ソアー【SOAR】