こんにちは、SB C&Sの横山です。
突然ですがSOARって聞いたことありますか？全く聞いたことない、名前だけはどこかで、、、という方、今回は最近にわかに注目されているSOARについて簡単にご紹介したいと思います。

SOARとは？

SOARとは、運用オペレーションを自動化して効率化出来るツールです。
読み方は「ソアー」。サワーと同じイントネーションです。以下の単語の頭文字をとってSOARです。
様々なセキュリティ製品と連携して自動化することで、効率的な対応を実現しています。

SOARの仕組み

SOARの特徴は内部でシナリオ=手順書を作成出来ることです。今まで紙やExcelだった手順書をSOAR内部で作成することが出来ます。運用者は手順書と操作画面を毎回見比べながら作業することなく、対応出来ます。

この手順書のレイアウトもメーカごとに個性があり、見比べると違いが分かります。何点かご紹介します。

SOARシナリオイメージ①

SOARシナリオイメージ②

SOARシナリオイメージ③

SOARを使うと

運用オペレーションとして一番多いのがインシデント対応です。これには多大な労力がかかります。オペレーション中にミスは起こることは許されず、効率化にも限界があります。また、対応するにはある程度の経験も必要です。

これをSOARを使えば、、、、、

こんなにシンプルかつ、効率的に対応することが出来ます。運用者は画面に表示される対応方針を決めるだけ、後は全てSOARが自動で実施します。SOARでは手順に従って対応した内容をレポートでまとめることが可能ですので、その内容を元に運用者は対応を決めることが出来ます。

対応選択画面イメージ

SOARのユースケース

インシデント対応に限ったものだけではなく、現在行っている運用オペレーション全般に対しても使用することが出来ます。SOAR上でシナリオさえ作成すれば、様々なパターンで応用することが可能です。例えば以下の例です。

まとめ

SOARを使うことで、運用オペレ－ションを効率化することが出来ます。また、手順書や対応履歴をSOAR上に残せるため業務プロセスの一元管理にもつながります。インシデント対応のコスト増や、人手不足に悩んでいるのであればこのSOARを使えば救世主となってくれるかもしれません。