このページの本文へ

セキュリティ対策に特化したビッグデータ活用

韓国での攻撃の教訓とは? RSA Security Analytics発表

2013年04月24日 07時00分更新

文● 谷崎朋子

  • この記事をはてなブックマークに追加
  • 本文印刷

4月23日、EMCジャパン RSA事業本部はビッグデータを活用した標的型攻撃対策の支援プラットフォーム「RSA Security Analytics」を発表した。リアルタイム分析に加えて、膨大かつ多種多様なネットワーク情報(ビッグデータ)の長期分析を提供することで、潜伏中の攻撃者を早期発見し対処することが可能になる。

2日から2時間にダウンタイムを短縮した
韓国サイバー攻撃事例

 RSA Security Analyticsは、ネットワークモニタリングプラットフォーム「RSA NetWitness」のアーキテクチャをベースとした、サイバー脅威のリスク分析プラットフォームだ。分析には、ネットワーク内で収集されたあらゆるセキュリティ情報やログ情報といった“ビッグデータ”と、同社のセキュリティ専門家集団「RSA First Watch」や脅威データベース「RSA Live」による情報などを活用する。

 RSA APJプリセールスディレクター ジェフリー・コック氏は、ここ数年、標的のシステムに長期間忍び込み、時期を見て破壊的な影響を与える攻撃が増えていると指摘。「どの組織にとっても高度化する攻撃者の侵入を受けるのは、もはや時間の問題」と強調した。

RSA APJプリセールスディレクター ジェフリー・コック氏

 侵入を許した場合、潜伏中の攻撃者を早い段階で暴いて迅速に対処できれば、被害を最小限に抑えられる。このときもっとも重要となるのが、「情報収集と分析」だ。

 コック氏は、韓国の銀行3行とテレビ局がサイバー攻撃を受けた事例を取り上げ、2011年の同様の事件では2日間にわたって銀行関連業務が停止したのに対して、2013年は2時間のダウンタイムで回復できたことに言及。このような早い回復が実現した理由は、「2011年の事件以降、銀行は大規模なセキュリティ投資を行い、インシデント調査やフォレンジック調査といった、情報収集および分析能力を大幅に強化したからだ」と述べた。

2011年と2013年の韓国におけるサイバー攻撃事件の比較

情報収集と分析機能を提供する
総合セキュリティプラットフォーム

 RSA Security Analyticsは、これら2大要件を満たすセキュリティプラットフォームとなる。同プラットフォームは、ログやパケットを収集してメタ情報を付加する「Decoder」、メタ情報をインデックス化して分析しやすいようにする「Concentrator」、Decoderの情報をすべて長期保管するHadoopベースのデータウェアハウス「Security Analytics Warehouse」、これらモジュールの管理や解析機能を一元的に提供する「Security Analytics Server」で構成される。それぞれモジュール形式なので、簡単に追加拡張が可能だ。

RSA Security Analyticsの概要

 DecoderとConcentratorは、メタ情報の付加とインデックス化を通じて、Security Analytics Serverでの解析作業を効率化する。これら処理でパフォーマンスの低下も懸念されるが、EMCジャパン RSA事業本部 マーケティング部 部長 水村明博氏は「最大2Gbps程度でキャプチャリングするので、今のネットワークであれば処理速度の低下はほとんど感じられない」と断言する。

 なお、Decoder/Concentratorはログ用とパケット用の2種類があり、必要に応じて両方またはいずれかを選択、構成できる。

EMCジャパン RSA事業本部 マーケティング部 部長 水村明博氏

 Security Analytics Warehouseは、Decoder/Concentratorからのデータを保存し、Security Analytics Serverからのクエリを受けて必要な解析用データを返す。ノードを複数並列したパフォーマンス重視の「ハイパフォーマンスモデル」と、ノードとストレージを統合したコンポーネントを並列して保存容量を確保する「ハイキャパシティモデル」の2種類がある。

 Security Analytics Serverは、採用するモジュールによって解析内容が異なる。パケット用Decoder/Concentratorを利用している場合は、たとえばパケットの送信元や既存シグネチャとのマッチング、ファイル構成などでマルウェアのリスク判定などが可能。ログ用とパケット用の両Decoder/Concentratorを利用していれば、たとえばある時間帯にサーバーで不審な挙動があったとき、該当する通信情報やログを分析し、アラートを出すなどができる。

 なお、パケット用Decoder/ConcentratorとSecurity Analytics Serverの統合アプライアンス「All-In-One for Packet」と、ログ用Decoder/ConcentratorとSecurity Analytics Serverの統合アプライアンス「All-In-One for Log」も用意。小規模拠点での配置に最適だ。

 また、ファイアウォールなどと連携して攻撃をブロックするためのAPIも提供する。

 販売開始は、4月24日から。当初は英語版で、日本語版は7月以降に提供予定。参考価格は、Decoder/Concentratorが547万5000円、Security Analytics Serverが669万2000円、Security Analytics Warehouseが1030万円、All-In-One for PacketおよびAll-In-One for Logがそれぞれ912万5000円(いずれも保守、消費税別)。防衛関連産業や官公省庁、通信事業者などを中心に、今後2年で販売目標10億円を目指す。

カテゴリートップへ

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 角川アスキー総合研究所
  • アスキーカード
ピックアップ

デジタル用語辞典

ASCII.jp RSS2.0 配信中