EMCジャパン、サイバー攻撃をリアルタイムに検知する「RSA NetWitness」
RSA事業本部 マーケティング部 プリンシパル・マーケティング・プログラムマネージャーの水村明博氏 |
RSA NetWitnessの概要 |
EMCジャパン株式会社は6日、ネットワークセキュリティ・モニタリングツール「RSA NetWitness」を発売した。出荷開始は2012年1月5日より。
RSA NetWitnessは、ネットワーク上を流れるパケットをくまなく収集する装置と、情報を解析するアプリから構成されるネットワークセキュリティ・モニタリングツール。ネットワークのすべてのパケット情報を“継続的に監視”し、インターネットからの脅威を“リアルタイムに検知”する。
標的型メール攻撃を例に取ると、「メールに添付されたマルウェア(ゼロデイ攻撃を含む)を検知し、攻撃の予兆を知らせてくれる。万が一、侵入を許した後でも、マルウェアがサーバーの脆弱性をついて目的の情報を窃取する攻撃をネットワーク上のパケットから検知できる」(RSA事業本部 マーケティング部 プリンシパル・マーケティング・プログラムマネージャーの水村明博氏)という。
パケット収集コンポーネントは「Decoder」「Concentrator」「Broker」の3種。Decoderがスイッチのミラーリングポートなどから流れるパケットをくまなく収集し、メタデータを付与(インデックス化)する。ConcentratorはメタデータのみをDecoderから収集し、パケット解析コンポーネントにメタデータを渡す。Brokerは、複数のConcentratorのデータを集約するもの。
パケット解析コンポーネントは「Spectrum」「Informer」「Investigator」の3種。上記のConcentratorから渡されたメタデータを基に、Spectrumがリスクを判定し脅威を検知する。特長は、「マルウェアの実行ファイルを構文解析した結果」「マルウェアの疑いのあるファイルの流入経路情報(IPアドレスや国名など)」「RSAが収集・提供する脅威情報(RSA NetWitness Live)との比較」「仮想環境でのマルウェア実行結果」というシグネチャだけに依存しない4つの独自指標。これらから複合的にリスクを判定する。
パケット収集コンポーネント | パケット解析コンポーネント |
Informerは、ダッシュボードやチャート機能を提供するもの。イベントやアラートをSNMP、syslog、SMTPなどで通知し、セキュリティ・インシデント監視・管理(SIEM)製品や既存ネットワーク管理製品とも連携可能。疑わしいパケットが見つかったら、Investigatorでより詳細なセッション分析を行い、脅威の侵入経路やマルウェアに感染したPCを特定することもできる。
また、パケットの収集と解析を分けたアーキテクチャにより、企業規模やデータ規模に柔軟に対応し、テラバイト級のパケットデータも高速に分析できるのが特長だ。
4つの独自指標でゼロデイ攻撃も検知 | 情報漏えいの検出を視覚的に行える |
突如発生した不審なアクセスの調査 |
不審なアクセスの発信源や経路も視覚的に |
水村氏は「執拗な攻撃を行うAPT攻撃などは、従来の予防対策や境界防御では完全に防ぐのが難しいとされるが、RSA NetWitnessはネットワークを常時監視することで、脅威の予兆をできるだけ早期検知して、なるべく未然に攻撃を防げる」と語った。
標準価格は、キャプチャ装置2台(DecoderとConcentrator)とマルウェア検知装置1台(Spectrum)、ネットワーク分析・可視化装置1台(Informer)の構成で4000万円(税別)。
販売代理店を通じて官公庁、省庁、防衛関連企業、金融業、製造業、通信業などの企業へ提案し、今後1年で3億円の売上を目指す。