EMCジャパン、セキュリティ対策チーム向けの「RSA NetWitness」最新版

「RSA NetWitness」最新版の画面

　EMCジャパン株式会社は27日、セキュリティ対策チーム向けの標的型サイバー攻撃対策製品「RSA NetWitness Logs」および「RSA NetWitness Packets」について、インシデントの調査効率を向上させる機能を追加し、主要なクラウドサービスに対応した最新版のバージョン11を発表した。

　EMCジャパンでは、サイバー攻撃の早期検知、分析、インシデント管理の各製品からなる、セキュリティ対策チーム向けの標的型サイバー攻撃対策スイート製品「RSA NetWitness Suite」を販売している。今回はその製品群の中で、各種ログの収集を行うRSA NetWitness Logsと、ネットワークパケットの収集を行うRSA NetWitness Packetsについて、最新版となるバージョン11を発表した。

「RSA NetWitness Suite」製品概要

　最新版では、より直感的に操作できるインターフェイスにするとともに、イベントに関連する情報だけを時系列で自動的に展開する「ストーリーライン」機能を追加。ストーリーラインは、RSA NetWitness LogsおよびPacketsがアラートをもとに、関連性が認められる通信やログを自動的に抽出し、時系列で表示する。これにより、調査にかかる時間を効率化し、インシデントへの対応速度を向上させる。

　たとえば、疑わしい通信を検知した場合には、“Clientlist”という名称のExcelファイルが社外送信されているといった情報や、リスクの高いドメインへの繰り返しのアクセス、ブラックリストとの照合、社内からのビーコニングのIPアドレスなど、関連性が認められる動作が次々と報告され、それぞれの事象を手作業で探して確認する手間を減らすことができる。

　ストーリーラインには、リサーチ＆インテリジェンスチームの「RSA FirstWatch」による分析ノウハウが組み込まれており、見るべき情報を集約して単一画面に表示する。ある情報を掘り下げたい場合、クリック1回でページ遷移することなく同一画面に表示されるため、画面移動の煩わしさも省ける。

　ユーザーインターフェイスについては、左側にストーリーラインが表示され、中央にはインシデントに関係するドメイン名やIPアドレス、MACアドレス、ファイル名、ユーザー名などの関係をグラフィカルに表示する「ノードグラフ」を表示。右側には関連情報を検索するための「リレティドインジケーター」を表示し、一画面で全体を把握できるようにした。

ユーザーインターフェイスを刷新

それぞれの役割

　より詳細な調査を行うユーザーのためのインターフェイスについても、インシデントのメタデータとログなどの生データを一画面で確認できるようになった。従来は複数のウィンドウを切り替えながらの操作が必要となっていたが、一画面に表示することで操作性を向上した。

調査用のインターフェイスも刷新

　クラウドへの対応強化としては、従来のオンプレミス（物理、仮想）に加えて、クラウド上で動作するアプライアンスをリリースした。当初は、Amazon Web Services（AWS）とMicrosoft Azureの対応となる。

　また、クラウドサービスのログおよび通信の取得にも対応。AWS Cloud Trail、Microsoft Azure、Office 365のログ取得に対応するとともに、他社製品（Gigamon、IXIA）との連携によりAWSのパケット情報の取得にも対応する。

クラウドサービスへの対応

　EMCジャパンRSA事業本部事業推進部ビジネスディベロップメントマネージャーの能村文武氏は、セキュリティ対策において企業が対応している課題としては、セキュリティ人材の不足が挙げられると説明。最新版では、より分かりやすいインターフェイスにするとともに、インシデントの前後関係や相関関係をストーリーラインとして示すことで、これまで属人的になりがちだったインシデントの分析や対応を改善できるとした。

EMCジャパンの能村文武氏

　また、企業のIT環境が複雑になっていく中で、クラウド環境を利用する機会も増えており、クラウドサービスへの対応を今後も強化していくとした。

　最新版の発売予定日は10月31日。価格は従来と同様で、買い切りライセンスの場合、RSA Security Analytics Logsが450万500円（税別、1日に収集するログ50GBまで）、RSA Security Analytics Packetsが450万500円（税別、1日に収集するパケット1TBまで）。