このページの本文へ

脅威の可視化と分析が急務、企業の自社SOC構築ソリューションを発表

「手口のわからない脅威」に対抗せよ!EMCがSOC構築支援

2014年10月29日 14時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

 EMCジャパン(RSA事業本部)は10月28日、「RSA Advanced SOCソリューション」を発表した。従来提供してきたセキュリティ管理製品やエンドポイント向けフォレンジックツールなどのバージョンアップに併せて、今後は「企業でもSOCを」というメッセージとともにSOC構築支援ソリューションを展開する。

 MM総研が発表した「日米情報セキュリティ対策動向」によると、2012年度/2013年度に発生したセキュリティ事件および事故の被害金額において、被害額が減少している米国に対して日本は増加する結果となった。

2012年度/2013年度に発生したセキュリティ事件および事故の被害金額(MM総研調べ)

 「日本企業の状況を見ると、標的型攻撃やウイルス感染、内部不正による被害以外にも、手口の分からない被害が増えている」。そう述べたEMCジャパン RSA事業本部の水村明博氏は、従来の対策では判断がつかない攻撃が増えており、それをどう可視化し、対応へとつなげていくかが重要課題と指摘した。

EMCジャパン RSA事業本部 マーケティング部 部長 水村明博氏

 RSA Advanced SOCソリューションは、脅威の検出や分析を担当する「RSA Security Analytics 10.4」(Analytics)、エンドポイント側で脅威を検知する「RSA ECAT 4.0」(ECAT)、AnalyticsおよびECATと連携してSOC全体の運用管理機能を提供する「RSA Archer Security Operation Management」(SecOps)、SOC立ち上げから教育まで支援するコンサルティングサービス「RSA Advanced Cyber Defense Parctice」(ACD)の、4つのコンポーネントで構成される。

RSA Advanced SOCソリューションの構成図

 同ソリューションは、「可視化」「分析」「対応」の3つのフェーズに分けることができる。

RSA Advanced SOCソリューションの3つのフェーズ

 可視化では、通信ログなどの基本情報、感染端末を特定するためのエンドポイント情報(ECATで収集)、感染範囲を知るためのNetFlow情報、感染経路や痕跡を特定する上で必要なパケット情報などをAnalyticsで集約。分析しやすいように、データ取得時に属性情報の付与やインデックス化も行う。

 分析では、ルールベースで脅威を検出する相関分析と、Hadoopで構造化・非構造化データを分析しながら平常時と異なる事象を見つけ出すヒストリカル分析、コンプライアンス対応に向けたデータの長期保存を、Analyticsが実施。

 「たとえばヒストリカル分析では、通常は1日5MBの外部通信しか行わないPCが、突然20MBの通信をし始めたなどの異常なふるまいを検出できる。ルールベースの分析では見えてこない脅威を洗い出せる」(EMCジャパン RSA事業本部の八束啓史氏)。

EMCジャパン RSA事業本部 システムズ・エンジニアリング部 部長 八束啓史氏

 対応では、SecOpsが分析から上がってきたインシデント情報と資産情報とをマッピングし、ビジネスリスクに応じて対応順位を決定、迅速な対応へとつなげる。原因や影響範囲の特定など、さらなる深掘り調査も、SecOps経由で行える。

 主要コンポーネントのAnalyticsでは、新バージョンでECATとの連携を強化したほか、生データでログやパケット内を文字列検索することが可能になった。たとえば、SMTPセッションに対してクレジットカード番号を検索すると、該当セッションが表示され、クリックするとメーラーの体裁でセッション内容が再現される。あとは、本文や添付ファイルなどを見て該当情報を突き止めるだけだ。

SMTPセッションをメーラーの体裁で再現、直感的な調査をサポート

 このほか、インシデント管理機能の追加、NetFlowおよびCEF(ログ出力の共通フォーマット)のサポート、利用頻度に応じた階層型ストレージの実装、VNXやIsilon、他社ストレージ製品のサポートなども強化された。

 ECATの新バージョンの強化ポイントは、マルチサーバー構成への対応と一元管理により、従来の2.5倍となる5万ユーザー/サーバーを実現。Mac OS Xのサポート、未知のファイルの自動スキャン、IOC(侵害の痕跡)ベースのアラート機能追加による脅威レベルのスコアリング精度の向上などが挙げられる。

 「企業との対話で、SOCへの関心が非常に高まっているのを実感している。本ソリューションの一部製品は、すでにインフラ事業者や公共機関などで導入実績がある。今後は、本ソリューションを通じてSOC構築への第一歩を後押したい。目標は、2015年末までに約10億円をSOCビジネスで創出することだ」(水村氏)。

 販売価格は導入企業の規模にもよるため、個別見積りで対応。各コンポーネントは単独販売も実施している。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード