EMCジャパンは2016年5月10日、情報流出やマルウエア感染をログファイルやパケットから検知できるシステム製品「RSA Security Analytics(RSA SA)」の新バージョンを発表した。新機能は、機械学習を使ってパケットの脅威度を自動でスコア化するもの。通信ごとにスコア化して不正アクセスやマルウエア感染の疑いを早期に発見できる。従来は未知の脅威を手動で調査するしかなく、攻撃の発覚に時間がかかっていた。併せて社内のWindows端末上の通信ログを解析し、攻撃を受けていないかを監視する機能を追加。管理画面も更新した。新しいバージョンは10.6。
RSA SAは外部との通信ログやパケットを蓄積して、攻撃者の侵入や情報流出を検知するための製品。攻撃者の侵入を完全に防ぐのではなく、仮に侵入されても早期に侵入や情報流出を検知して被害を最小限にする。
蓄積したパケット情報から、流出してしまった情報の再現もできるという。八束啓文RSA事業本部システムズ・エンジニアリング部部長は「静的リストを使った検知では、新しい脅威をリストに追加するまでに被害が拡大してしまう。リストに頼らずに、通信ごとに脅威度をスコア化し、早期に警告を出すようにした」と話す。
従来のRSA SAでは、導入企業が未知の脅威を手動で調査しなければ早期発見できなかった。新バージョンではHTTPの通信パケットを収集し、自動で解析してスコア化する。複数回の脅威度判定や、高い脅威度の通信などで脅威スコアが蓄積すると警告を出す。
ベライゾンジャパンの2014年侵害調査報告によれば、83%の侵害で攻撃者の侵入から攻撃認識まで数週間以上かかっている。ログデータの解析で検知できた攻撃は1%しかないという。EMCジャパンはこれら調査を引用し、パケットを含めた解析による早期検知の重要性を強調した。
同時に追加した通信ログの監視機能は、攻撃者による社内通信を検知するためのもの。侵入に成功した攻撃者が他の端末にも侵入して攻撃に使おうとする、いわゆるラテラルムーブメントを検出して被害拡大を防ぐ。検知ルールはRSAが自動でアップデートする。
製品は購入企業が攻撃を調査できる管理ツールを含む。新バージョンでは同ツールの管理画面を更新。ログやパケットデータを見やすい形に加工して一覧にする。単一の画面で脅威度の高い通信を色分けして表示する。視認性を上げて調査時間が削減できるという。
RSA SAにはHTTPパケットを解析・調査できるRSA SA for Packetと、通信ログを解析・調査できるRSA SA for Logがある。新機能の通信解析はRSA SA for Packetが、Windows端末の通信ログ解析はRSA SA for Logが搭載する。価格はそれぞれ450万500円。RSA SAで蓄積するログやパケットの種類や保存期間は、導入企業が設定できる。
