SOAR（セキュリティオーケストレーション・自動化・対応）

SOAR（Security Orchestration, Automation and Response）とは？

SOARは、セキュリティアラートへの対応を自動化・効率化するプラットフォームです。SIEMからのアラートを受け取り、事前に定義した「Playbook（対応手順書）」に従って自動的にインシデント対応を実行します。

SOARが解決する課題

SOCチームは毎日数百〜数千件のアラートに対応しています。多くは誤検知（フォールスポジティブ）や低優先度のものであり、手動対応では重要インシデントへの対応が遅れるリスクがあります。

SIEMとSOARの違い

項目	SIEM	SOAR
主な機能	ログ収集・相関分析・検知	対応の自動化・オーケストレーション
人間の関与	アナリストが手動で対応	Playbookで自動対応
関係	SOARはSIEMのアラートを受けて動作	連携して使われることが多い

Playbookの例（フィッシングメール対応）

1. メールのヘッダー・URLを自動解析
2. VirusTotalでURLの悪性チェック
3. 悪性と判定 → 該当メールを全ユーザーの受信箱から自動削除
4. 送信元ドメインをブロックリストに追加
5. アナリストにSlackで通知

代表的な製品

• Splunk SOAR（旧Phantom）
• Microsoft Sentinel（SIEM+SOAR統合）
• Palo Alto XSOAR
• IBM Security QRadar SOAR

まとめ

SOARはSOC（セキュリティオペレーションセンター）の工数を大幅に削減します。繰り返し発生する定型アラート対応をPlaybookで自動化することで、アナリストは高度な脅威分析に集中できます。