社内ネットワークのログ情報などを分析し、サイバー攻撃の兆候を察知するSIEM(セキュリティ情報イベント管理)の分野で、新たな特徴を備えた製品やサービスが相次いでいる。NTTコミュニケーションズは2013年3月、専用アプライアンスを導入せず月額制で利用できるサービスを開始した。米EMCのRSA部門は4月中にも、攻撃活動をさかのぼって再現できる製品を日本で発売する。
NTTコムが始めた「総合リスクマネジメントサービス」はSIEMを活用したリスク監視・対策サービスで、導入のしやすさを訴求する。料金の詳細は非公表だが、初期導入費用で1000万円を超えるとされるアプライアンスに対し、「中堅企業層も利用できるよう、月額数十万円に抑えた」(マネージメントセキュリティサービス推進室長の与沢和紀氏)。
分析技術にも独自の手法を実装している。その一つが、マルウエアの通信相手が未知のサイトでも、社内の通信状況などからブラックリストに加えていく「ブラックリスト共起分析エンジン」だ(図)。マルウエアに感染したPCを複数検知した際に、これらのPCの通信先をさかのぼって調べ、その共通点から疑わしいサイトをあぶり出す。
直近のログ分析だけでなく、過去にさかのぼった時系列の分析から不正な通信を探し出す「相関通信時系列分析」と呼ぶ手法も実装した。長い期間、潜伏して社内ネットを探索してからデータを持ち出そうとするような攻撃も、特徴を捉えて検知しやすくなる。
RSAが発売する新製品「RSA Security Analytics」は、ネットワーク機器などから収集したログに加え社内外の通信パケットも全て保存し、分析対象にできることが特徴だ。不審な通信を検知するだけでなく、「外部との通信内容など攻撃者の活動状況を完全に再現できる初めての製品だ」(RSA部門のアーサー・コビエロ会長)。フォレンジック機能を搭載したSIEMとも言える。攻撃活動を再現し、アクセスした機密情報など被害状況を正確に把握できる。
全パケットをキャプチャーし分析する機能は、リアルタイムでの攻撃検知にも役立つという。攻撃の特徴を通信機器のログに加え、通信内容も総合して判定できるからだ。
