要約:
- SOAR(セキュリティオーケストレーション、自動化、レスポンス)は、セキュリティ運用センター(SOCs)がインシデント対応手順をデジタル化したプレイブックとして定義された。
- Gartnerは、高い総所有コストと既存のセキュリティプラットフォーム(SIEMやXDRなど)の競合する自動化機能を理由に、SOARを陳腐化したと述べた。
- 初代SOAR(Demisto、Phantom、SIEMplify)は、Palo Alto Networks、Splunk、Google Chronicleなどによって買収され、広範なセキュリティプラットフォームに統合された。
- SOARを独立して購入する価値があるかどうかは、実務家の調査やAIコーディングアシスタントの台頭などが、より微妙な現実を示唆している。
- 最新のSANSレポートは、SOARを専門に管理するために検出と対応チームから別々の専門家を雇うことを推奨している。
- オープンソースのSOARは、コーディングアシスタントからより多くの利益を得る可能性があり、柔軟で洗練された自動化を構築するのに役立つ。
- SOARは、SOCのツール統合と自動化に完全な制御を与え、インシデント対応プレイブックと活動の記録システムとして機能する。
考察:
SOAR市場は競争が激しくなっており、独立したSOARの価値は議論の余地があるようです。オープンソースのSOARやコーディングアシスタントの利用が増えていることから、自動化やインシデント対応の分野は進化を続けているようです。企業がSOARを活用する際には、専門のエンジニアリソースの確保や組織文化など、様々な要素を考慮する必要があります。SOARの選択は組織のニーズや状況によって異なるため、適切な選択が重要であると言えます。