編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

EMCジャパン、マルウェアに感染したPCを特定する情報サービスを提供

大河原克行

2012-06-12 17:12

 EMCジャパンのRSA事業本部は6月12日、マルウェア情報提供サービス「RSA CyberCrime Intelligence(CCI)」を7月2日から提供すると発表した。

 CCIはマルウェアに感染した企業内のPCを特定するための情報を提供するサービス。価格は1年間で456万円(消費税別)。EMCジャパンから直接提供される。

  • CCIでのレポート作成の流れ

 サイバー脅威に関する情報収集や最新技術の研究、対策などの活動を行っている部門のRSA AFCC(Anti-Fraud Command Center)が収集している膨大なブラックリスト情報を活用。日次のブラックリストを企業に対して毎日提供する。

 日次ブラックリストでは、「Malicious Hostレポート」として、現在活動しているマルウェアの情報やドロップサイト(感染したコンピュータがユーザーに気がつかれないように社内情報を送信するサイト)のドメインとIPアドレスなどの情報も提供する。

 また、「Potentially Malicious Hostレポート」として、今後24時間以内に活動を開始すると予測されるマルウェアの情報を提供する。これらの情報をファイアウォールやウェブプロキシ、セキュリティ情報とイベントを管理する(Security Incident Event Management:SIEM)機器にインポートすることで、機器のアラート機能やレポート機能を使い、リアルタイムで利用者に注意喚起ができるという。

  • 日次のレポートは2つ提供される

  • 日次のレポートはXML形式で提供される。SIEMに取り込むこともできる

  • 週次のレポートはドロップサイトと通信したIPアドレスなどの情報も提供される

 さらに、週次モニタリングレポートとして、マルウェアに感染した企業内のコンピュータがドロップサイトに情報を送信した時間や、ドロップサイトと通信したIPアドレス情報なども提供する。マルウェアに感染したPCの発見のほか、該当アカウントを停止するといった措置につなげることができる。

  • CCIはリアルタイムで配信することでメリットを得られるという

 同社では「CCIによって、感染したコンピュータの隔離やアカウントの停止措置を速やかに行うことができ、被害の拡大を食い止めることができるほか、マルウェア関連サイトへの通信を監視して、情報漏洩のリスクを低減できる。また、現在、使用しているセキュリティ機器を活用して確度が高い早期警戒体制を構築でき、IT担当者の脅威検知、分析業務に関する負担を大幅に軽減できる」としている。

 米EMCのRSA事業部門の最高セキュリティ責任者(CSO)のSam Curry氏(RSA事業部門の最高技術責任者=CTOも兼務)は、「企業の情報システム担当者の役割は、セキュリティ製品を購入することでなく、データを守ることである」と説明して、こう語る。

写真6 Sam Curry氏

 「感染を短時間に見つけることが大きな課題となっている。従来型ソリューションでは、マルウェアに感染したPCを見つけるためには、24時間から2週間ほどかかり、その間、犯罪を行える時間を提供しているようなものである。当社のサービスでは、数時間レベルでの解決ができるほか、場合によっては、それが発生する前に対策を打つことができる。効率的に対策が行える方法を、ぜひ入手してもらいたい」(Curry氏)

 企業を狙うサイバー攻撃では、マルウェアに感染させることから始まる例が多く、知人の名前をかたって送られてきたメールからウイルスが蔓延したり、フィッシングサイトへの不用意なアクセスをきっかけに、マルウェアが社内ネットワークに潜入。第三者が、企業の外からネットワークを通じてPCをコントロールし、重要情報が社外に流出することになる。

 こうした対策のために、感染の特定や不審な通信の早期発見といったマルウェアに関する広域なインテリジェンスが求められており、同社では、今回のサービスを、こうしたニーズに対応したインリデシェント型のサービスとも位置付けている。

 現在注目を集めているという「インテリジェンス主導型セキュリティ(Intellligence-Driven Security)」をCurry氏はこう説明する。「人間に当てはめると、身体で何が起こっているかを伝える“神経”、認識し、考える“頭脳”、そして今自分がどういう情報に置かれているのか、何を目指すのかを考え、予見することが必要である」。その上でCurry氏はCCIのメリットを強調している、

 「CCIのユーザー企業は、レポートを受け取ってすぐに行動を開始することができる。その情報は、顧客ごとに異なるテーラーメイド型のものとして提供し、調査の重点をどこに置けばいいかを知ることができる。適切なインプット、分析、認識力により、信頼性の高い予知を実現できる。ウイルス対策ベンダーは葉を見て対策を行っているが、当社では、葉が判れば、幹の部分を見ることができ、そこから対策が打てる」(Curry氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]