EMCジャパンは12月6日、RSA事業本部が提供する標的型サイバー攻撃対策ソフトウェア「RSA NetWitness Suite」のサイバー脅威インテリジェンス共有プラットフォームに「RSA Live Connect」を加えたと発表した。
脅威情報の提供会社をはじめとする2つの情報ソースを、タイムリーに自社の「RSA NetWitness」に取り込めるようになる。ユーザーは専門会社の独自手法による情報を迅速に得られようになり、脅威情報の収集力を強化できる。結果として、調査の時間や労力の削減、事前対策が可能になるといったメリットが期待できる。
経済産業省でも情報共有活動を通じた攻撃情報が防御に有効であるとしており(参考)、同社ではRSA Live Connectのような脅威情報共有の仕組みがその実践に貢献するとしている。
RSA NetWitnessには、サイバー脅威インテリジェンスを共有するためのクラウドベースのプラットフォーム「RSA Live」がある。ここではRSAの複数のサイバーセキュリティ対策専門チームが収集した疑わしいIPアドレスなどのデータフィードや脅威に関する情報、メタ生成をはじめとする各種ルールやレポートが集積している。RSAが提供する情報のソースは、RSA First Watch Threat Intelligence TeamやRSA Incident Response Team、RSA FraudAction Team、RSA Malware Amalyst Cloud。
NetWitnessユーザーは、これらを自社のNetWitnessに取り込むことで最新の脅威情報を得ることができ、予防体制を強化できる。
今回発表したRSA Live Connectは、このRSA Liveに新たに機能を追加したもの。RSA Live Connectでは、サイバー脅威インテリジェンスの専門会社が提供する脅威情報を取り込める。RSA Live Connectユーザーコミュニティが評価した脅威の集計結果や、コミュニティメンバーのRSA NetWitness Log/Packets、RSA NetWitness Endpointから送られた脅威データフィードが集積される。
同社では、RSA Live Connectの追加により、RSA NetWitnessがサイバー脅威情報の共有の仕組みをより具現化して提供できるようになったとしている。
RSA Live Connectの概要は以下の通り。
- 脅威インテリジェンス会社の脅威情報を活用
- コミュニティによる脅威の評価を活用
取り込める脅威ソースは、脅威インテリジェンスサービス会社である米ThreatConnectの「Threat Intelligece Platform」、FS-ISAC(金融ISAC)とDTCC(米国証券保管振替機構)のジョイントベンチャーとして2014年に創業した米Soltraの「Soltra Edge」、Web、SNSなどの膨大な公開情報を分析し、未来に発生し得る事象を予測するサービスを提供している米Recorded Futureの「Cyber Threat Intelligence」。ユーザー企業は各社と契約し、提供されるコンテンツ(IPアドレス、DNS、オーナー、URL、リスク判定、脅威タイプ、関連情報など)を、設定した時間単位(毎時、毎日、毎週)に、指定フォーマット(CSV、XML、STIX)で、RSA Live Connectを通じて自社のRSA NetWitnessに取り込むことができるようになる。
不審なIPアドレスの調査に、コミュニティメンバーの評価を参考にできるユニークな仕組みも備えた。
SOCやCSIRTが調査で最初に取り組むのは不正な通信の特定であるため、疑わしい通信を発しているPCやデバイスを発見する手がかりであるIPアドレスは、調査の起点となる重要な要素だ。他の組織の評価は、攻撃を特定する上で参考になることから、ユーザーはRSA Live Connectで報告されているIPアドレスに対し、自身の経験から「安全」「危険性がある」という評価を投票したり、コメントを書き込むことができる。これらが集計され「それぞれに投票したユーザーの割合」「IPアドレスを調べた割合」「コメントを記入した割合」としてRSA Live Connectで公開される。
