EMCジャパン RSA事業本部は11月6日、ネットワークセキュリティモニタリングツール「RSA NetWitness」の発売を発表した。2012年1月5日から出荷する。
標的型攻撃をはじめとするセキュリティインシデントの早期発見と、対策に必要な情報を提供。マルウェアによる攻撃をリアルタイムに検知し、侵入の原因となったセッションの分析も可能にする。
米EMCのセキュリティ部門RSAで最高セキュリティ責任者(Chief Security Officer)を務めるEddie Schwartz氏は、「RSA NetWitnessが提供する広範で継続的な可視化機能によって、リアルタイムにどのような問題が起こっているかを正確に知ることができる。また、情報に基づいたアクションをとることができるようになる。セキュリティチームを支援するツールになる」と、製品の特徴を語った。
昨今、世間を騒がせているサイバー攻撃は、その多くが標的型攻撃に端を発するもので、特定企業を標的とし、価値の高い情報を盗み取ることを目的にしているという。標的型攻撃に続く一連の攻撃はAPT(Advanced Persistent Threat:高度で執拗な脅威)と呼ばれており、脆弱性を悪用し、標的に対して持続的に攻撃や潜伏を行い、複数の手法を駆使して攻撃するという手法だ。完全に防御する方法は無いとも言われており、攻撃による最終的な損害は企業の存続を脅かすことが考えられるため、攻撃の予兆を早期発見することが重要な対策となっている。
今回発表された製品は、サイバー攻撃の兆候を早期に発見して通知し、被害をできるだけ小さく抑えるアクティブディフェンスツールと位置づけられている。米国などでは、APT攻撃を始めとするセキュリティ脅威に対抗するソリューションとして、防衛、警察、諜報などの政府機関で利用されているという。
-
RSA NetWitness
-
標的型攻撃対策への活用
RSA NetWitnessは、ネットワークを常時監視し、APT攻撃の兆候をリアルタイムで検出。侵入に利用された未知および既知のマルウェアを「マルウェアの実行ファイルを構文解析した結果」「マルウェアの疑いがあるファイルの流入経路情報(IPアドレス、国名、ドメイン名など)」「RSAが収集、提供する脅威の情報との比較」「仮想環境でのマルウェアの実行」の4つの指標からリスクを判定。いち早く脅威を検出するという。
万が一、社内のPCが侵入を受けた場合には、不審な挙動を検知して侵入経路の特定やマルウェアに感染したPCの特定を行う。
さらに、既存のセキュリティ製品と連携したブロック効果の向上も可能で、データ損失防止(DLP)製品、ファイアウォール製品、侵入検知製品などと連動するほか、セキュリティインシデント監視・管理(SIEM)製品との連携によって、サーバのログで発見される脅威をパケットレベルで解析することが可能になる。
また、パケットの収集と解析を分けた拡張性の高いアーキテクチャにより、企業規模やデータ規模に柔軟に対応する。中堅中小企業から大規模企業にまで対応でき、すでに米国では米国政府機関をはじめ、大手金融機関、防衛産業系企業でも導入されているという。
Schwartz氏によると、米国のトップ10の銀行のうち8行で、欧州のトップ5の銀行のうち3行で、また米国の75%の政府機関がRSA NetWitnessを利用。米国の政府系組織ではあらゆるセキュリティ製品を導入していたが、RSA NetWitnessの導入によって、APT攻撃などのこれまでは可視化できなかった脅威を発見でき、将来的なダメージを減らし、高度な攻撃者たちを検知できるようになったという。
また、世界トップ5に入る金融サービス企業では、フィッシング対策の製品を導入していたが、検知に関して遅れがあり、組織的なフィッシング攻撃に対して四半期ごとに1600万ドルを失っていたという。これがRSA NetWitnessの採用によって、リアルタイムでサードパーティ製品の情報を取り込み、大規模なフィッシングが行われている攻撃の波を認識。これまで以上に迅速にフィッシング攻撃に対応でき、最初の四半期だけで1000万ドルものフィッシング対応コストを減らすことができたという。
EMCジャパンでは、官公庁、省庁、防衛関連企業、金融業、製造業、通信業などを対象に、今後1年間で3億円の売り上げ規模を目指す。
製品はパケット解析製品群とパケット収集製品群で構成される。価格は、リアルタイムにパケットをキャプチャしてメタデータを付与する「Decorder」、メタデータをDecorderから収集し、パケット解析製品にメタデータを提供する「Concentrator」、複数の指標からリスクを判定し、マルウェアを検知する「Spectrum」、ダッシュボードやチャートなどにより、ネットワークを分析および可視化する「Informer」による標準構成で4000万円。
そのほか、複数のConcentratorのデータを集約する「Broker」、疑わしいセッションの分析などを行い、マルウェアに感染したPCを特定する「Investigator」などが用意されており、要件や収集規模にあわせて、組み合わせを変更できるという。
-
RSA WitNessのパケット解析製品群
-
Spectrumによるゼロデイ攻撃の検知例
-
RSA WitNessの構成例
日本では、プロフェッショナルサービスのひとつとして、運用支援サービスなども提供していくという。
Eddie Schwartz氏
Schwartz氏は「いまやほとんどの企業において、セキュリティは有効に機能していない。理由は明確である。多くの企業で採用しているのは予防対策であり、境界防御やシグネチャベースの対策も陳腐化した技術であり、高度な脅威はこれらを避けて侵入してくる。そして、ひとたび組織のなかに入った脅威は、すぐに見つけだすことができない。企業はセキュリティやテクノロジに関する考えを見直し、それに関わる人やセキュリティセンターの運営プロセスに関しても見直さなくてはならない」などとした。
山田秀樹氏
一方、EMCジャパン RSA事業本部 本部長の山田秀樹氏は、「ビッグデータ時代を迎えたことで、企業では保護すべきデータが増加。クラウド環境の浸透によって、アクセス管理に対する新たなルールが求められている。また、個人が持つスマートフォンなどのデバイスをビジネスで活用するといった動きがあり、それに対するセキュリティが必要になっている。さらに、サイバー攻撃が増加し、企業は、その対策になにかが足りないのではないか、いままでのやり方では防げないのではないかといった不安を持っている。今後は、インフラ全体を透過的に管理することや、情報を中心としたセキュリティ対策が必要である。境界防御型のシステムは限界に達し、リアルタイム性のある監視、分析に基づいた対応が求められている」としたほか、「我々自身もサイバー攻撃を受けたことで、なにが足りなかったのか、なにをしなくてはいけなかったのかを学習することができ、サービスのあり方を見直し、RSA Visionを再構築した。そのなかでは、Visibility(可視化)が大切であることを理解した。そうした経験を踏まえて、このほど、RSA NetWitnessを発表した。この製品はいち早く、日本のユーザーに届けたいと考えていた」などとした。
