写真1●RSA Silver Tailの分析画面
写真1●RSA Silver Tailの分析画面
[画像のクリックで拡大表示]
写真2●米EMCのRSA事業本部でIT脅威ストラテジストを務めるEric Thompson(エリック・トンプソン)氏
写真2●米EMCのRSA事業本部でIT脅威ストラテジストを務めるEric Thompson(エリック・トンプソン)氏
[画像のクリックで拡大表示]

 EMCジャパンのRSA事業本部は2013年9月19日、Webセッション情報の解析によって通常とは異なる不正なWebアクセスを検知するソフト「RSA Silver Tail」(写真1)を発表、同日提供を開始した。電子商取引サイトなどの会員制Webサイトを運営する事業者に向けて販売する。価格は、サイトの規模(会員数)によって変わり、会員数10万人の場合で2920万円(税別)。稼働OSはLinux。

 RSA Silver Tailは、会員とWebサイトとの間のWebセッション情報を記録して解析するソフトウエア。Webサーバーへの経路上にあるネットワークスイッチのミラーポートからパケットをキャプチャーしてWebセッション情報を記録する。IPアドレス/ポート番号やURLだけでなく、HTTP/HTTPSともに、Webセッション情報となるデータのやり取りも記録するという。これにより、特定会員によるWebアクセスの推移をトレースできるようになる。

 Webアクセスの推移をリアルタイムに把握し、これを蓄積済みのデータと比較することで、不正なアクセスかどうかを判断する。個々の判断材料ごとにスコアー化し、スコアーがしきい値を超えると不正アクセスとみなす。判断材料は大きく、二つの着眼点に立つ。一つは、不正ではない正規の会員たちとの比較である。もう一つは、特定会員の過去の振る舞いとの比較である。

 特定会員のWebページの推移に加えて、ネットワーク通信の層から得られるデータも判断材料として利用する。例えば、IPアドレスの使い回し(多数の会員が1つのIPアドレスを使っているケース)や単位時間当たりのHTTPコネクションの発生数(スクリプトを使ってクリックしていることが疑われるケース)などは、よくある不正アクセスの例である。

 実際の使い方は以下の通り。RSA Silver TailはWebアクセスのやり取りを、過去のデータと照らしあわせてリアルタイムに解析する。不正なWebアクセスを検知すると、管理者に対して、ダッシュボード画面のURLをメールで通知する。管理者は、ダッシュボード画面を開いて、不正アクセスの詳細な内容を把握する。不正アクセスの結果(不正にログインされて、どのようなトランザクションが起こったのか)も分かる。

 RSA Silver Tailの背景には、アクセス端末の多様化(モバイル端末の浸透)や、Webベースの取引が一般化しているビジネス状況などがある(写真2)。また、ある特定のWebサイトから不正に入手したID/パスワードのリストを使って他のWebサイトへのログインを試みる攻撃などが流行している。このため、ID/パスワード認証を経た後での振る舞いを分析する需要が高まっているという。