EMCジャパン、標的型攻撃の早期検知能力を強化した「RSA Security Analytics 10.6」

　EMCジャパン株式会社は10日、セキュリティ管理プラットフォーム「RSA Security Analytics 10.6（以下、RSA SA 10.6）」の提供を開始した。機械学習によるリアルタイム行動分析機能の追加により、標的型サイバー攻撃を早期に検出する能力が向上し、攻撃の特徴的な行動を自動的に検知するため、早期の対応が可能になるとしている。

　「RSA SA 10.6」では、機械学習の技術を利用したリアルタイム行動分析エンジンの追加により、攻撃の検知能力と調査能力が大幅に向上。攻撃の顕著な兆候であるC&C活動を人手を介すことなく自動的に検出するとともに、侵入したマルウェアが制御できるPCを増やすラテラルムーブメントを検知する。

　検知手法の例としては、社内の端末から外部の同一のIPアドレス宛に定期的に通信が行われているビーコニング活動や、組織内でほとんど通信していない通信先ドメインや比較的最近登録されたドメイン、リファラーの無いHTTPヘッダーなど、複数の事象をC&C活動の指標として認識。膨大な情報からこれらを適切に識別し、相関分析により攻撃または攻撃の予兆として通知する。

　また、不正なWindowsログイン試行、実行形式ファイルのファイルサーバーへのコピーや実行などについて複合的にログデータを分析し、攻撃の偵察活動にあたるラテラルムーブメントの試みとして検知し、行為者の特定を可能とする。

　さらに、多種類の情報ソースを取り込んで過去のインシデントとともに分析し、攻撃が疑われる不審な行動を自動的に特定してダッシュボード表示する。これにより、インシデントの全領域が把握しやすく、調査や対処の優先付けが容易になり、攻撃を早期に検知することで初期対応を迅速に開始できるとともに、被害を把握するまでの時間が短縮でき、調査すべき範囲の拡大を抑えられるとしている。

　今回のバージョンでの価格変更はなく、製品の価格（税別）は「RSA Security Analytics for Log（1日に収集するログ50GBまで）」が450万500円、「RSA Security Analytics for Packet（1日に収集するパケット1TBまで）」が450万500円。