SOARとは、セキュリティインシデント対応時のさまざまな作業を自動化するツールのことです。あらかじめ定義した「プレイブック」と呼ばれる一種のワークフローに沿って、さまざまなセキュリティ機器や外部の脅威インテリジェンスと連携し、アラート内容を元に疑わしいファイルをより深く調査したり、危険なIPアドレスやURLへのアクセスをブロックするといった処理を自動的に行います。

これまでセキュリティ担当者はEDRやXDR、SIEMなどが発するアラートを受けとると、手作業で処理してきました。しかしセキュリティ人材が不足する中、担当者の負荷は高まるばかりです。SOARはその負荷を軽減し、迅速な対応が求められる場面でミスなく処理を進めるとともに、いつ、どのような対応を行ったかを記録し、法規制で求められる当局への報告・通知に必要な情報も残します。