4月23日、EMCジャパン RSA事業本部はビッグデータを活用した標的型攻撃対策の支援プラットフォーム「RSA Security Analytics」を発表した。リアルタイム分析に加えて、膨大かつ多種多様なネットワーク情報(ビッグデータ)の長期分析を提供することで、潜伏中の攻撃者を早期発見し対処することが可能になる。
2日から2時間にダウンタイムを短縮した
韓国サイバー攻撃事例
RSA Security Analyticsは、ネットワークモニタリングプラットフォーム「RSA NetWitness」のアーキテクチャをベースとした、サイバー脅威のリスク分析プラットフォームだ。分析には、ネットワーク内で収集されたあらゆるセキュリティ情報やログ情報といった“ビッグデータ”と、同社のセキュリティ専門家集団「RSA First Watch」や脅威データベース「RSA Live」による情報などを活用する。
RSA APJプリセールスディレクター ジェフリー・コック氏は、ここ数年、標的のシステムに長期間忍び込み、時期を見て破壊的な影響を与える攻撃が増えていると指摘。「どの組織にとっても高度化する攻撃者の侵入を受けるのは、もはや時間の問題」と強調した。
侵入を許した場合、潜伏中の攻撃者を早い段階で暴いて迅速に対処できれば、被害を最小限に抑えられる。このときもっとも重要となるのが、「情報収集と分析」だ。
コック氏は、韓国の銀行3行とテレビ局がサイバー攻撃を受けた事例を取り上げ、2011年の同様の事件では2日間にわたって銀行関連業務が停止したのに対して、2013年は2時間のダウンタイムで回復できたことに言及。このような早い回復が実現した理由は、「2011年の事件以降、銀行は大規模なセキュリティ投資を行い、インシデント調査やフォレンジック調査といった、情報収集および分析能力を大幅に強化したからだ」と述べた。
情報収集と分析機能を提供する
総合セキュリティプラットフォーム
RSA Security Analyticsは、これら2大要件を満たすセキュリティプラットフォームとなる。同プラットフォームは、ログやパケットを収集してメタ情報を付加する「Decoder」、メタ情報をインデックス化して分析しやすいようにする「Concentrator」、Decoderの情報をすべて長期保管するHadoopベースのデータウェアハウス「Security Analytics Warehouse」、これらモジュールの管理や解析機能を一元的に提供する「Security Analytics Server」で構成される。それぞれモジュール形式なので、簡単に追加拡張が可能だ。
DecoderとConcentratorは、メタ情報の付加とインデックス化を通じて、Security Analytics Serverでの解析作業を効率化する。これら処理でパフォーマンスの低下も懸念されるが、EMCジャパン RSA事業本部 マーケティング部 部長 水村明博氏は「最大2Gbps程度でキャプチャリングするので、今のネットワークであれば処理速度の低下はほとんど感じられない」と断言する。
なお、Decoder/Concentratorはログ用とパケット用の2種類があり、必要に応じて両方またはいずれかを選択、構成できる。
Security Analytics Warehouseは、Decoder/Concentratorからのデータを保存し、Security Analytics Serverからのクエリを受けて必要な解析用データを返す。ノードを複数並列したパフォーマンス重視の「ハイパフォーマンスモデル」と、ノードとストレージを統合したコンポーネントを並列して保存容量を確保する「ハイキャパシティモデル」の2種類がある。
Security Analytics Serverは、採用するモジュールによって解析内容が異なる。パケット用Decoder/Concentratorを利用している場合は、たとえばパケットの送信元や既存シグネチャとのマッチング、ファイル構成などでマルウェアのリスク判定などが可能。ログ用とパケット用の両Decoder/Concentratorを利用していれば、たとえばある時間帯にサーバーで不審な挙動があったとき、該当する通信情報やログを分析し、アラートを出すなどができる。
なお、パケット用Decoder/ConcentratorとSecurity Analytics Serverの統合アプライアンス「All-In-One for Packet」と、ログ用Decoder/ConcentratorとSecurity Analytics Serverの統合アプライアンス「All-In-One for Log」も用意。小規模拠点での配置に最適だ。
また、ファイアウォールなどと連携して攻撃をブロックするためのAPIも提供する。
販売開始は、4月24日から。当初は英語版で、日本語版は7月以降に提供予定。参考価格は、Decoder/Concentratorが547万5000円、Security Analytics Serverが669万2000円、Security Analytics Warehouseが1030万円、All-In-One for PacketおよびAll-In-One for Logがそれぞれ912万5000円(いずれも保守、消費税別)。防衛関連産業や官公省庁、通信事業者などを中心に、今後2年で販売目標10億円を目指す。