EMCジャパンは4月24日、セッション情報やログからインシデントを発見して、脅威を低減できるというセキュリティ管理ソフトウェア「RSA Security Analytics(SA)」の販売を開始した。
ネットワーク監視ツールの「RSA NetWitness」のアーキテクチャを踏襲するRSA SAは、収集した大量のネットワークセッション情報やログ情報に、メタ情報とインデックス情報を付与して管理する。データを蓄積して分析するだけのポイントソリューションよりも、迅速にデータの関連性を見いだせ、脅威を迅速に早期に発見できるという。
ネットワークセッション情報のすべてを収集するため、脅威のきっかけとなったメールやウェブアクセスを再現できる。メタ情報やログ情報は長期的に保管する。蓄積された情報は分析エンジン「RSA SA Warehouse」で分析する。RSA SA Warehouseは、分散並列処理フレームワーク「Apache Hadoop」をベース。並列に処理して、脅威の傾向の発見、レポート生成を高速に展開すると説明している。
RSA SAでは、同社の「RSA First Watch」や「オンライン不正対策指令センター(RSA Anti-Fraud Command Center:AFCC)」の情報に加えて、ほかのベンダーからの最新の脅威関連の情報を統合した「RSA Live」も提供する。
RSA First Watchは、同社内で脅威を調査、分析する組織。脅威やサイバー犯罪者への戦術的、戦略的な知見をユーザー企業に提供する。RSA AFCCは、フィッシングやトロイの木馬などの攻撃を検知して、不正サイトの閉鎖や脅威に関する最新技術などの情報を提供する。
RSA Liveと収集したセッションやログなどの情報を関連付けて分析することで、メタ情報の質が向上し、分析自体も効率が上がるという。攻撃の対象や脅威の種類、漏洩の事実なども確認して、脅威の度合いを判断して、通知する。
RSA SAについてEMCジャパンは、従来の手法では見落としていたデータの関連性を発見でき、可視化できるようになり、素早い状況把握が可能になると説明。RSA SAは、ファイアウォールや不正侵入防止システム(IPS)などの境界型セキュリティ装置と連携することで、脅威を防御でき、高度な脅威や未知の攻撃の早期発見、フォレンジック時の工数削減も低減できるとメリットを強調している。
価格は構成によって異なる。最小構成例の税別価格として、一体型セッション情報とログ情報を収集する装置群となるAll-In-One for Packet、All-In-One for Logがそれぞれ912万5000円から。
同社では、ログを収集して、セキュリティ情報とイベントを管理するSIEMツールのアプライアンス「RSA enVision」がある。enVisionは社内のログ情報だけを収集するのに対して、今回のRSA SAはログに加えて、社内のパケット、さらに社外にあるRSA Liveの情報も集めて分析するという違いがある。