ニュース

ビッグデータを活用してサイバー脅威を低減する「RSA Security Analytics」

(2013/4/23 15:09)

 EMCジャパン株式会社は23日、ビッグデータをセキュリティ活用し組織のサイバー脅威を低減する「RSA Secrity Analytics(以下、RSA SA)」を発表した。出荷開始は、英語版が24日、日本語版が7月以降。

城は城壁だけでは守れない

RSA APJ Presales DirectorのJeffrey Kok氏
城の防御。ITの分野では城壁にばかりコストをかけてきた

 最初に登壇したRSA APJ Presales DirectorのJeffrey Kok氏は、「2011年と2013年に韓国をターゲットとしたセキュリティ事件が発生した。2011年はある銀行が攻撃され、2日間営業停止に追い込まれた。一方、2013年は3つの銀行などが攻撃されたが、復旧に2時間しかかからなかった。この2年で何が変わったのか」と切り出し、それが非常に重要なことだとして「銀行は大規模な投資でインシデントを検知・調査する機能を高めていた」と指摘した。

 ここで学ぶべきことは「こうしたインシデントは珍しくない。侵入を防ぐだけでは不十分で、侵入を前提に対策を立てる必要がある。つまり既存のセキュリティ製品では不十分だ。そしてターゲットの環境に忍び込んだものは、できるだけ検知されないように振る舞う。その攻撃活動は一般的な活動に似通っていて検知は容易ではない。見つけるためには通常の状態がどういうものかを把握し、それとのわずかな差異を見逃さない仕掛けが必要だ。その上で侵入したものの滞留時間をできるだけ短くする。短ければ短いほどダメージは少なくなる。対応速度も速めなければいけない」(同氏)ということだ。

 これを城の防御に例えて、同氏は次のように説明する。「城には、城壁、監視塔、対処にあたる兵士が存在する。しかしこれまでのITセキュリティでは城壁(Prevention:予防)ばかりにコストを費やし、監視塔、兵士へのコストはおろそかにされてきた。肝心なのは状況の可視化と情報の共有。それが監視塔(Detection:検知)と、対処にあたる兵士(Remediation:改善)にあたる」。そして、このバランスを平準化するのが、RSA SAの役割だとした。

脅威の可視化にビッグデータを活用

RSA事業本部 マーケティング部長の水村明博氏

 RSA SAは、インテリジェンスを活用してセキュリティインシデントを迅速に発見し、サイバー脅威を抑制するセキュリティ管理プラットフォーム。「従来より提供しているSIEM製品『RSA enVision』と、ネットワークセキュリティモニタリング製品『RSA NetWitness』を足し合わせて、プラスαを追加したもの」とRSA事業本部 マーケティング部長の水村明博氏は語る。

 特長は「ビッグデータ分析機能」「リアルタイム分析機能」「洗練されたインテリジェンスの活用」。

 ビッグデータ分析機能では、ネットワークセッション情報とログ情報を収集。すべてのセッション情報を持つことで、脅威の引き金となったメールやWebアクセスを再現可能とする。また、大量の蓄積情報を処理するため、Hadoopベースの分析エンジンで並列処理を行うようになっている。

 リアルタイム分析機能では、収集した情報にメタ情報とインデックス情報を付与して管理する。これにより「データを蓄積して分析するだけの市場製品よりも迅速になる」(水村氏)という。

 洗練されたインテリジェンスの活用では、RSA独自およびほかの脅威情報を取り込めるクラウドサービスを提供する。RSA SAで収集したビッグデータと関連付けて分析効率を向上させる。

具体的な構成

アーキテクチャ

 具体的な構成としては、ログ情報とセッション情報を収集する「Decoder」が情報を選別して、メタ情報・インデックス情報を付与する「Concentrator」に渡す。この「Concentrator」がリアルタイムに脅威検知を行う。

 これとは別にHadoopベースの分析エンジンを採用する「Warehouse」があり、長期保管データからの脅威検知とレポートを担当する。加えて、RSA独自およびほかの脅威情報取り込めるインテリジェンス「RSA Live」がクラウドサービスとして提供される。

 「Concentrator」「Warehouse」「RSA Live」の情報は、管理コンソール「Security Analytics Server」で確認可能。脅威の可視化が可能となる。また、実際の脅威が見つかった場合に、その情報をほかのセキュリティ製品に引き渡して連携させるAPI「Active Defense」も用意される。

 「Decoder」「Concentrator」「Warehouse」はいずれもスケールアウトが可能なので、クラスタの数を増やすことで性能を向上させられるほか、他拠点への追加導入なども容易に行えるという。

Security Analytics Serverの概要
RSA Liveの概要

日本での展開について

 日本では、防衛関連産業、観光省庁、金融業、インフラ系産業、通信・サービスプロバイダ事業者、製造業などをターゲットとする。4月24日より英語版が先行提供され、7月以降に日本語版をリリースする予定。価格はDecoder/Concentratorが547万5000円、Security Analytics Serverが669万2000円、一体型アプライアンスのAll-In-One Serverが912万5000円(セッション情報用とログ情報用に2台必要)。今後2年間で10億円の売り上げを目指す。

(川島 弘之)