リアルタイム分析とビッグデータ分析の合わせ技で脅威を早期発見、「RSA Security Analytics」：脅威の潜伏期間を短く

EMCジャパンは4月23日、セキュリティ機器から収集したネットワークパケット／ログと、クラウドを介して提供される「インテリジェンス」とを突き合わせ、標的型攻撃などを迅速に検出、特定する「RSA Security Analytics」を発表した。

[高橋睦美，＠IT]

　EMCジャパンは4月23日、社内のセキュリティ機器から収集したネットワークパケット／ログと、クラウドを介して提供される「インテリジェンス」とを突き合わせ、高度化する標的型攻撃などを迅速に検出、特定できるよう支援するセキュリティ分析製品「RSA Security Analytics」を発表した。4月24日から販売を開始する。

　同社はこれまで、統合ログ管理製品の「RSA enVision」や、パケット解析によるネットワーク可視化を実現する「RSA NetWitness」といった製品を提供してきた。RSA Security Analyticsはこれらの技術を活用しつつ、大量の情報解析が可能なHadoopベースの分析エンジンを組み合わせることで、リアルタイム分析を実現。セキュリティ脅威の早期発見と侵入経路の調査を支援する。

　米EMCのRSA APJ プリセールス担当ディレクター、ジェフリー・コック氏は、これまでのセキュリティインシデントの経験を踏まえ、「侵入を予防しようと試みるだけでは不十分だ」と述べた。「いかに潜伏期間を短くするかがポイントだ。脅威を特定するまでの期間が短ければ短いほど、被害を少なくとどめることができる。同時に、迅速にレスポンスを行うことも重要だ」（同氏）。

　こうした観点に立ち、従来のログ統合管理から一歩進んだリアルタイム分析を可能にするプラットフォームがRSA Security Analyticsだという。

　RSA Security Analyticsは、ネットワークパケットやログなどのデータを収集する「Decoder」、収集したデータにメタ情報を付与し、インデックス化する「Concentrator」、これらの情報を保管し、後々の分析に利用できるようにするHadoopベースの分析エンジン「Warehouse」といったコンポーネントで構成されている。Warehouseは複数のノードからなる分散型で、データ量の増加にともない拡張可能なアーキテクチャだ。

　運用管理やレポート生成といった作業は専用インターフェイスの「Security Analytics Server」を通じて行う。APIを介して外部のファイアウォールやプロキシと連動し、迅速な対応につなげることも可能だ。

　システムの特徴は、パケットやログを直接格納、分析する代わりに、Concentratorによって付与したメタ情報を活用することで、データサイズをコンパクトに抑え、高速な分析を可能にしていることだ。同時に、Warehouseに蓄積した大量のパケット／ログ情報を活用することで、「脅威の引き金となったメールやWebアクセスを再現できる。どのように攻撃が行われたかを再現するためには、パケットのフルキャプチャが必要だ」（EMCジャパン RSA事業本部 マーケティング部部長 水村明博氏）。

　RSA Security Analyticsは、規模に応じて、DecoderとConcentrator、Warehouseをオールインワンのアプライアンスとして導入することも、それぞれ別々のアプライアンスとして導入することも可能だ。Warehouseについては、ストレージ容量に応じて「High Performance」「High Capacity」の2モデルが用意されている。価格はDecoder／Concentratorが547万5000円、Security Analytics Serverが669万2000円。Decoder／ConcentratorとWarehouseを一体化した「All-in-One Server」は912万5000円。当初は英語版での出荷だが、7月以降、日本語版を提供する予定だ。