EMCジャパンは9月9日、標的型攻撃に対応するための「RSA Advanced SOCソリューション」の機能強化を発表した。同日から販売している。
Advanced SOCは、エンドポイント対策ツール「RSA ECAT」、セキュリティプラットフォーム「RSA Security Analytics」、セキュリティ監視センター(SOC)の運用支援ツール「RSA Archer Security Operation Management」で構成。今回の機能強化では、3つの製品のそれぞれの機能を強化するとともに、クラウドやネットワークに接続していないPCも監視保護対象とすることで可視性を拡張できるという。
EMCジャパン RSA事業本部長 貴島直也氏
EMCジャパン RSA事業本部 システムズ・エンジニアリング部長 八束啓文氏
EMCジャパン RSA事業本部長の貴島直也氏は、「これまでの主流となっているポイントソリューションでは、すべての攻撃を防ぐことができない。そこで、SIEM(セキュリティ情報イベント管理システム)を導入するといった取り組みを開始している企業が多いが、成功した攻撃の特定が難しいこと、ほとんどの可視化がログベースであること、重要なアラートが大量のアラートの中に埋もれてしまうといった課題がある。そうした課題に対応するために透過性を上げ、可視化することで分析して、しっかりと対応できるようにするのがAdvanced SOCソリューションになる」と説明した。
EMCジャパン RSA事業本部 システムズ・エンジニアリング部長の八束啓文氏は、「脅威の可視性を高め、SOCチームの監視レベルを向上させるとともに、サイバー攻撃を素早く検出し、短時間に状況を分析。SOCチームのスキルやリソースを最大限に活用し、早期対策を実現できる。ビジビリティ、アナリティクス、アクションという3つの機能を提供することでより早く検出し、より早く対策ができるようになる」と述べた。
ECAT 4.1は、シグネチャを使わず、マルウェアを検出するエンドポイントフォレンジックツール。RAR(Roaming Agent Relay)で公衆無線LAN接続時のPCも監視対象となり、検知、ブロックを可能にする。
「RARサーバを外部に公開することで、企業のDMZ(非武装地帯)への配置やパブリッククラウドにも展開。出張の際などに自社ネットワークに接続していない間に感染した場合も感染の兆候を検知できる」(八束氏)という。不正プログラムのブロック機能も追加。PCで検出されたマルウェアを環境全体でブロックし、拡散を防ぐほか、ファイルはブロックされた状態で発見場所にとどめるか、検疫エリアで調査後に削除するという。
Security Analytics 10.5は、ログとパケットで脅威を検出、分析するセキュリティ管理プラットフォームで、クラウドサービス上にある自社データに対するログを収集。アクセス権限の変更や仮想マシン上での不審な削除や変更、クラウドに対する不正なアクセスを検知する。現在、対応しているのはログ履歴管理サービス「AWS CloudTrail」のみで、今後、対応サービスを広げていく。機密情報に対して、特定のデータを難読化する機能も搭載。機密度の高い情報をハッシュ化し、原文を推測できないように変換し、データプライバシーを確保するという。
「機密文書に関して、社内運用者には情報を開示するが、外部委託先の運用者には情報開示を制限するといったことが可能になる」(八束氏)
Archer Security Operation Management 1.2は、セキュリティインシデントの対応プロセスを標準化し、効率的なSOC運営を支援するツール。SplunkやArcSight、QRadarといった他社のSIEM製品のログを直接取り込めるようにしており、可視化の対象範囲を広げられるという。
「ユーザーのニーズをもとに開発するのが当社製品の特徴。他社製品との連携は、企業にとって、これまでの無駄な投資にならないことに配慮したもの」(貴島氏)などとしたほか、「SIEMは導入しているが、運用管理に課題があるといった場合には、SOC運営の部分だけを導入できるようにしている」という。
提供方法には、買い取り方式の「パーペチュアルライセンス」と、年間使用の「タームライセンス」を用意。タームライセンスで、1000人規模の企業が3製品をすべて導入した場合の税別価格は、1年間の保守料込みで1835万5000円。
Archer Security Operation Managementは他社SIEMのログを直接取り込めるようになっている