EMCジャパンは12月17日、フォレンジックツール「RSA ECAT(Enterprise Compromise Assessment Tool)」を発表した。この製品は、クライアントやサーバといったエンドポイントに侵入したマルウェアをシグネチャを使わずに独自の技術で検出する。
従来の手法では見逃される可能性のある未知のマルウェアやセキュリティ侵害を特定、クライアントPCの遠隔操作や機密情報の窃取を防げるという。2014年1月6日から販売する。
ECATは基本的にサーバとエージェントで構成され、PCにインストールされたエージェントがリアルタイムでメモリ上の実行ファイルやDLL、ドライバなどを分析する。検出した侵害の痕跡やマルウェアの動作をサーバに送信、サーバは組織内の感染したクライアントPCをすべて検出し、侵害の規模を測定し、マルウェアの検知と感染箇所を特定する。
ECATの特徴として、ライブメモリ分析機能が挙げられる。メモリに展開されているアプリケーションイメージと物理ディスク上のアプリケーションイメージをエージェントが比較して、実行中のすべてのアプリケーションを検証する。
メモリ上のアプリケーションイメージにマルウェアが生成するコードインジェクションのような異常を検出すると、そのアプリケーションは侵害された可能性があると判定する。ライブメモリ分析は、シグネチャを使用することなく、メモリ内でマルウェアに変更されたアプリケーションを特定することが可能だという。
ECATでは“Machine Suspect Level(MSL、マシンへの侵害が疑われるレベル)”と呼ばれる数値を設定する。各エンドポイントのMSLを監視、危険を通知する。正常に動作しているプログラムであっても、高い数値が出てしまうことがあり、その場合にマルウェアに感染していないマシンと比較したり、アプリケーションコード署名を検証したりして分析が必要なのかどうかを判断する。
マルウェア拡散状況も把握できるという。ECATサーバは、疑わしいマシンを見つけると、ほかのエンドポイントのフォレンジック結果と比較することで“グレー”な状況をより明確にしたり、スキャン済みのエンドポイントについての情報を使って、そのほかに侵害されたエンドポイントを特定したりできるという。
EMCジャパン RSA事業本部 マーケティング部長 水村明博氏
EMCジャパン RSA事業本部 マーケティング部長の水村明博氏は「攻撃側の行動は一層巧妙化しており、標的とする企業などを綿密に“下調べ”してからエンドポイントに入り込んでいる。ネットワークベースの監視では、標的型攻撃を図って作られたマルウェアはすり抜けてしまうことがある。これらを迅速に発見し滞留時間をできるだけ短縮化することが重要」と述べ、このような課題に対しECATが有効であると強調した。
価格体系はサーバとクライアントのライセンスで構成される。税別価格はサーバ1台クライアント100台で383万円(サーバが300万円、クライアント1台が8300円)。EMCジャパンでは、ECATを主に官公庁や防衛関連企業、金融、製造、通信業などを対象に提案し、今後2年で40社への販売を目指す。
同社はセキュリティを強化するための「RSA プロフェッショナル・サービス」も提供する予定。サイバー攻撃対策状況の評価から情報漏えい対策管理、企業内のセキュリティ監視センター(SOC)構築までを支援する。
