このページの本文へ

フルパケットキャプチャと機械学習を脅威分析に活用

ログに頼らずに脅威を迅速に可視化するRSA Security Analytics

2016年05月11日 07時00分更新

文● 大河原克行 編集●大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 EMCジャパン RSA事業本部は、セキュリティ管理プラットフォームの新製品として、「RSA Security Analytics 10.6」の提供を開始した。機械学習の技術を利用したリアルタイム行動分析エンジンにより、サイバー攻撃への高い検知能力を発揮する。

ログのレビューでスパイ活動を発見している企業はわずか1%

 EMCジャパン RSA事業本部マーケティング部・水村明博部長は、「RSAが今年3月に発表したThreat Detection Effectiveness Surveyによると、24%の企業が、現在のサイバー脅威に対する検知能力および調査能力には満足しておらず、多くの企業がサイバー脅威の検出や調査の迅速性に欠けていると回答している。RSA Security Analytics 10.6は、そうした課題を解決するものになる」と語る。

EMCジャパン RSA事業本部マーケティング部・水村明博部長

 RSA Security Analytics 10.6は、機械学習の技術を利用したリアルタイム行動分析エンジンの追加により、サイバー攻撃に関する検知能力と調査能力を大幅に向上したのが特徴。インシデントの発見や調査、コンプライアンスレポート、高度なセキュリティ分析のためのセキュリティプラットフォームと位置づけている。

 EMCシャパン RSA事業本部システムズ・エンジニアリング部・八束啓文部長は、「83%の企業で脅威の発見まで数週間かかり、85%が外部からの指摘で脅威を発見したという。ログのレビューによって、サイバースパイ活動を発見している企業がわずか1%に留まっている。ログだけでは、攻撃を特定するのが難しいこと、情報は限定的であること、予防のためのログ追加をするとアラートの増加につながるという課題がある。ログだけでは発見できない脅威があり、発見に時間がかかっているといった課題も出ている。最新の脅威を発見するには、広範囲な可視化が必要であり、ログだけに頼らず、パケットデータを蓄積しておくことが必要である」と説明。

EMCシャパン RSA事業本部システムズ・エンジニアリング部 八束啓文部長

 これに対してRSA Security Analytics 10.6では、フルパケットキャプチャによる怪しい外部通信や内部の潜伏活動に対する迅速な検知、ナビゲーションによる調査の短時間化の機能を持つ。八束氏は「情報の集約と脅威を可視化するVisibility、効率的な調査と影響範囲の特定を行うAnalytics、優先度を考慮した対応と詳細調査を行なうActionを特徴としている」と説明した。

RSA Security Analytics 10.6の特徴

自動学習アルゴリズムで低い誤検知率を実現

 リアルタイム行動分析エンジンでは、データサイエンスに基づく自動学習アルゴリズムを使用し、HTTPデータを元にした行動分析を実行。攻撃の顕著な兆候であるC&C活動を、総合的な評価指標をスコア化し、これをもとに自動的に検出。RSAが提供するホワイトリストを活用するとともに、現在および過去の動向から自動学習を行なうことで、低い誤検知率を実現しているという。

 また、疑わしいWindowsログインやサービスの実行などの操作を特定することで、侵入したマルウェアが制御するPCを増やす「ラテラルムーブメント」を検知。多種類の情報ソースを取り込んで、過去のインシデントとともに分析する複合型のログ相関分析によって、攻撃が疑われる不審な行動を自動的に特定してダッシュボード表示することができる。エンドポイント情報やブラックリスト、ホワイトリスト、過去のインシデントなど、インシデントの全領域を把握しやすくなり、ダッシュボード上にあるさまざまな要素をドリルダウンすることで詳細を確認することで、調査や対処の優先付けが容易になるという。

ラテラルムーブメントを検知

 「同じ端末からの自動ログインや実行ファイル移動後のサービス実行などの怪しいログインやサービス実行を特定する。ここでは、RSAの最新の検知ルールを自動アップデートして、内部の潜伏活動に対する迅速に検知できるようになっている。また、インシデントマークされたIPアドレスを右クリックで表示したり、該当IPで発生したインシデントの履歴情報を表示できる。これらのナビゲーション機能により、調査の短時間化が可能になる」とした。

 価格は、RSA Security Analytics for Log(一日に収集するログが50GBまで)が、450万500円。RSA Security Analytics for Packet(一日に収集するパケットが1TBまで)が450万500円。EMCジャパンおよびEMCジャパンのビジネスパートナーから提供する。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード