写真1●RSA Security Analyticsのダッシュボード画面
[画像のクリックで拡大表示]
写真2●米EMC、RSA事業本部、APJプリセールス・ディレクターを務めるJeffrey Kok(ジェフリー・コック)氏
[画像のクリックで拡大表示]
EMCジャパンのRSA事業本部は2013年4月23日、標的型攻撃の発動といった通常時とは異なるネットワークの挙動を、ログデータやパケットなどの多種多様なデータの相関分析などによって検知するシステム製品「RSA Security Analytics」(写真1)を発表した(関連記事:「パケットとログのビッグデータ分析でいつもと違う攻撃を検知」、RSA会長)。4月24日に英語版を出荷する(日本語版は7月以降に出荷する)。販売目標は今後2年間で10億円。
RSA Security Analyticsは、データの活用に注力したインシデント検知システムである。いつもとは異なるネットワーク上の挙動を検知したり、既知のマルウエアを検知したりできる。潜伏期間を経て攻撃が発動した標的型攻撃を素早く発見してアクションを起こせるようになる。「標的型攻撃そのものを防ぐことはできない。対応を早めて、犯罪者が自由に活動できる時間をいかに短くするかが勝負になる」(同社、写真2)。
システムの構成要素として、既存製品である「RSA NetWitness」(ネットワークパケット解析)と「RSA enVision」(ログ管理)、さらに蓄積データのバッチ集計ソフトであるHadoopを使う。これらをそのまま利用しつつパッケージ化し、互いに連携および統合管理できるようにしている。分析に利用するデータとしては、ログとパケットのほか、同社がクラウドで提供している知見も利用する。
