「RSA Security Analytics」新版、リアルタイム分析で脅威の発見を迅速化

EMCジャパンは5月10日、機械学習によるリアルタイム行動分析機能を追加したセキュリティ情報イベント管理(SIEM:Security Information and Event Management)製品の最新版「RSA Security Analytics 10.6」の提供を開始した。

同機能の追加については、今年2月に開催されたセキュリティをテーマとしたカンファレンス「RSA Conference 2016」で発表されていた。

初めに、RSA事業本部　マーケティング部　部長の水村明博氏が、「サイバー攻撃は増加の一途をたどっているが、当社が今年3月に発表した調査結果では、企業の24%しか、自社のサイバー脅威を検知する能力、調査能力に満足していないことが明らかになっている。また、この調査では、企業においてサイバー脅威の検出や調査における迅速性が欠けていることもわかっている」と、今回、新機能が追加された背景を説明した。

最新版の特徴については、RSA事業本部 システムズ・エンジニアリング部 部長の八束啓文氏が説明を行った。

「標的型攻撃への対応において、従来のログ分析だけでは脅威を発見するのに時間がかかりすぎるうえ、ログからの情報は限定的であるため、脅威の可視化が必要」と八束氏。RSA Security Analyticsでは、広範囲な可視性を実現するため、ログの分析に加え、ネットワークパケットを分析する。

八束氏は「システムへの侵入を100%防ぐことはできない。また、脅威はシステムに侵入した後、目標の探索と発見を行うため、すぐに被害が発生するわけではない。そこで、RSA Security Analyticsでは、脅威が潜伏している期間において、いち早く検知することで被害を食い止める」と説明した。

RSA Security Analyticsは、パケットを分析するコンポーネント「RSA Security Analytics for Packet」、ログを分析するコンポーネント「RSA Security Analytics for Log」、管理コンポーネントから構成される。

「RSA Security Analytics for Packet」では、HTTPのストリーミングデータに対し、機械学習のアルゴリズムに基づき、C&Cサイト複合的な評価指標をスコア化して脅威を抽出することが可能になった。具体的には、パケットの収集、ホワイトリスト化されたドメインの除去、ドメインのプロファイリング、定期的なビーコニングの観測、登録ドメインの評価、C&C通信判定用の検出、C&C通信のアラートといった分析の工程がすべて自動化されるため、不審な外部通信を迅速に検知できるようになる。

一方、「RSA Security Analytics for Log」では、Windowsのログを相関分析することで、ラテラルムーブメント(内部偵察、資格奪取、感染拡大を行う行動)を早期に検知することが可能になった。例えば、ブルートフォース攻撃などで用いられるNTLMログインの認証の成功、同一端末からの自動ログイン、クリデンシャル収集サービスの監視、実行ファイル移動後のサービス実行などを分析して、ラテラルムーブメントの試みとして検知、行為者の特定が行える。

管理コンポーネントのナビゲーションでは、重要情報が可視化されたダッシュボード表示により、インシデントの全領域を即時に把握することができる。また、ダッシュボード上の要素をドリルダウンしていくことにより、詳細を確認でき、対応の優先順位付けが容易かつ迅速に行える。

RSA Security Analyticsのライセンス体系は従量課金制となっている。バージョンアップによる価格変更はなく、RSA Security Analytics for Log(1日に収集するログ50GBまで)、RSA Security Analytics for Packet(1日に収集するパケット1TBまで)のいずれも450万500円(税別)となっている。