EMCジャパンは2011年12月6日、4月に米EMCが買収した米NetWitness製のネットワーク・モニタリング・ツール「RSA NetWitness」を、同日から国内販売すると発表した。ネットワークのすべてのパケット情報を常時監視する製品であり、APT(Advanced Persistent Threat)攻撃やゼロデイ攻撃といった標的型サイバー攻撃の兆候をリアルタイムに検出できるとする。
RSA NetWitnessは、ネットワークを流れるパケットを監視して、マルウエアによる攻撃を検知、侵入原因を特定するネットワーク・セキュリティ製品だ。元NetWitnessのCSO(セキュリティ最高責任者)で、現在はEMCのCISO(最高情報セキュリティ責任者)であるEdward Schwartz氏(写真1)によると、「2006年の発売以来、米国政府機関のうち75%に導入されている」という。
「Decoder」「Concentrator」「Broker」というパケットを収集する3種類のアプライアンスと、「Spectrum」「Informer」というパケットを解析する2種類のアプライアンス、および「Investigator」というソフトウエアで構成される。
これらのアプライアンスを使ったパケットの収集の流れは、以下の通りとなる。(1)まず、Decoderが企業ネットワークを流れるすべてのパケットをキャプチャリングしてメタデータを付与。(2)ConcetratorがDecoderからメタデータのみを収集してパケット解析製品群にデータを渡す。Concetratorが複数ある構成の場合は、Brokerがデータを集約する。
一方、パケット解析の工程に入ると以下のようになる。(3)Informerがモニタリング内容を可視化(写真2)。(4)Spectrumが、4つの指標(「File:マルウエアの実行ファイルを構文解析した結果」「NextGen:ファイルの流入経路」「Community:既知の脅威情報とのマッチング」「Sandbox:仮想環境上で実行した結果」)を用いて、脅威の兆候を検出(写真3)。(5)InformerやSpectrumで疑わしい兆候が発見された場合は、Investigatorを使ってセキュリティインシデントが発生しているパソコンや人物の特定など、詳細な分析を行う。
価格は、Decoder、Concentrator、Spectrum、Informerを各1台の標準構成の場合、4000万円(保守費用を含まず、税別)。
