Dell technologies傘下の米RSAは2018年6月、標的型サイバー攻撃対策製品の最新版「RSA NetWitness Platform 11.1(以下、NetWitness最新版)」を発表した。NetWitnessは、セキュリティ情報イベント管理(SIEM:Security Information and Event Management)製品として位置づけられている。
今回リリースされた最新版には、インシデント管理を自動化してSOC(Security Operation Center)の運用効率を向上させるオーケストレーションツール「RSA NetWitness Orchestrator」と、行動分析ツールの「RSA NetWitness UEBA(User and Entity Behavior Analytics)」が追加されている(関連記事:『オーケストレーション機能が追加された「RSA NetWitness Platform 11.1」』)。
RSAは2018年4月にUEBA機能を開発するFortscaleを買収し、同社が有する機能をNetWitnessのラインアップに組み込んだ。UEBAはユーザーの行動を先読みし、不正、不適切な操作を自動検知するものだ。これによりNetWitness最新版では、これまで検知が困難だった異常な行動や操作を検出できるようになるという。
NetWitnessを統括する米RSAバイスプレジデント製品担当のマイケル・アドラー(Michael Adler)氏は、「SIEMの運用は、今後どのような企業でも必要になる。限られたセキュリティ人材で膨大なインシデントを管理するためには、自動化が不可欠だ」と語る。
では、NetWitness最新版のアドバンテージとは何か。他のSIEM製品とは何が異なるのか。2018年7月にシンガポールで開催された「RSA Conference 2018 Asia Pacific & Japan」で、話を聞いた。
 |
|
米RSAバイスプレジデント製品担当のマイケル・アドラー(Michael Adler)氏 |
ルールベースではなく動的属性から異常を割り出す
アドラー氏はNetWitness最新版のアドバンテージを「自動化」と「可視性」だと説明する。
「従来のNetWitnessにも可視化機能や、ログやパケットを収集/分析してリポートするといった豊富な機能は備わっています。ここにUEBAがツールとしてシームレスに統合されたことで、従来のルールベースでは検出が難しかった未知の脅威を自動検出できるようになるのです」(同氏)
さらにアドラー氏は「NetWitness UEBAで用いられているFortscaleの技術は、ユーザーの行動分析だけでなく、ネットワーク分析など、他の技術分野にも拡張できます」と説明する。その一例が異常検知の仕組みだ。従来のようなパターン認識ではなく、一連の動的属性をプロファイルとして構築し、そのプロファイル上で異常を検出する。
その仕組みはこうだ。NetWitness UEBAが各ユーザー/グループの属性を構築し、その行動パターンを把握する。そして、その属性のなかで異常な行動や動作があった場合には、素早くアラートを上げる。「異常な行動」かどうかの定義は、顧客の状況によって異なる。こうした「顧客特性とその環境による違い」も学習していく。これにより、ルールベースのシステムではアラートが上げられなかった攻撃も、高精度で検出できるようになるという。
「具体的な例を挙げましょう。米国の大手金融機関では、過去60日間変更がなかった複数のディレクトリサービス(Active Directory)が、一斉に変更されました。そして、この設定を行ったアカウントは(ディレクトリ変更の権限を持つ)マネジャーでした。ですから、その変更自体は問題がなかったのです。しかし、変更が行われた日は、該当マネジャーは休暇中だったんですね。そうした情報が(NetWitness Platform上で)連携していたおかげで、すぐにセキュリティ担当者にアラートを発することができたのです」(アドラー氏)
 |
|
NetWitness Platformのダッシュボード |
アドラー氏は「ログ、ネットワーク、エンドポイント(の監視/分析機能)が単一のプラットフォームに統合され、ここまで自動化を実現しているSIEM製品はほかにありません」と胸を張る。
「セキュリティ人材の不足は世界的な課題ですが、今後(2020年のオリンピック・パラリンピックで)サイバー攻撃が増加すると予想される日本市場においては、NetWitnessのようなプラットフォームは不可欠になるでしょう」(同氏)
現在のセキュリティ対策は、「侵入されることを前提として、被害を最小限にするための『多層防御』が求められる。現在のトレンドとしては『エンドポイント』で何が発生しているのかをいち早く可視化し対処できること。さらに、企業内のどこのエンドポイントにリスクが発生しやすいのかを調査/分析できるソリューションに注目が集まっている」とのことだ。
