メモリを分析してマルウェアを検出--EMC、新セキュリティソフト「RSA ECAT」

大川淳 2013年12月18日 12時51分

  • このエントリーをはてなブックマークに追加

 EMCジャパンは12月17日、フォレンジックツール「RSA ECAT(Enterprise Compromise Assessment Tool)」を発表した。この製品は、クライアントやサーバといったエンドポイントに侵入したマルウェアをシグネチャを使わずに独自の技術で検出する。

 従来の手法では見逃される可能性のある未知のマルウェアやセキュリティ侵害を特定、クライアントPCの遠隔操作や機密情報の窃取を防げるという。2014年1月6日から販売する。

 ECATは基本的にサーバとエージェントで構成され、PCにインストールされたエージェントがリアルタイムでメモリ上の実行ファイルやDLL、ドライバなどを分析する。検出した侵害の痕跡やマルウェアの動作をサーバに送信、サーバは組織内の感染したクライアントPCをすべて検出し、侵害の規模を測定し、マルウェアの検知と感染箇所を特定する。

 ECATの特徴として、ライブメモリ分析機能が挙げられる。メモリに展開されているアプリケーションイメージと物理ディスク上のアプリケーションイメージをエージェントが比較して、実行中のすべてのアプリケーションを検証する。

 メモリ上のアプリケーションイメージにマルウェアが生成するコードインジェクションのような異常を検出すると、そのアプリケーションは侵害された可能性があると判定する。ライブメモリ分析は、シグネチャを使用することなく、メモリ内でマルウェアに変更されたアプリケーションを特定することが可能だという。

 ECATでは“Machine Suspect Level(MSL、マシンへの侵害が疑われるレベル)”と呼ばれる数値を設定する。各エンドポイントのMSLを監視、危険を通知する。正常に動作しているプログラムであっても、高い数値が出てしまうことがあり、その場合にマルウェアに感染していないマシンと比較したり、アプリケーションコード署名を検証したりして分析が必要なのかどうかを判断する。

 マルウェア拡散状況も把握できるという。ECATサーバは、疑わしいマシンを見つけると、ほかのエンドポイントのフォレンジック結果と比較することで“グレー”な状況をより明確にしたり、スキャン済みのエンドポイントについての情報を使って、そのほかに侵害されたエンドポイントを特定したりできるという。


EMCジャパン RSA事業本部 マーケティング部長 水村明博氏

 EMCジャパン RSA事業本部 マーケティング部長の水村明博氏は「攻撃側の行動は一層巧妙化しており、標的とする企業などを綿密に“下調べ”してからエンドポイントに入り込んでいる。ネットワークベースの監視では、標的型攻撃を図って作られたマルウェアはすり抜けてしまうことがある。これらを迅速に発見し滞留時間をできるだけ短縮化することが重要」と述べ、このような課題に対しECATが有効であると強調した。

 価格体系はサーバとクライアントのライセンスで構成される。税別価格はサーバ1台クライアント100台で383万円(サーバが300万円、クライアント1台が8300円)。EMCジャパンでは、ECATを主に官公庁や防衛関連企業、金融、製造、通信業などを対象に提案し、今後2年で40社への販売を目指す。

 同社はセキュリティを強化するための「RSA プロフェッショナル・サービス」も提供する予定。サイバー攻撃対策状況の評価から情報漏えい対策管理、企業内のセキュリティ監視センター(SOC)構築までを支援する。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算