【編集長】内野の視点――年々高度化するサイバー攻撃。あらためてセキュリティ対策のアプローチを見直したい
近年、情報漏えいをはじめ、セキュリティ事件が相次いでいます。ブランドや社会的信頼の失墜、金銭被害など、企業が受けるインパクトの大きさは言うまでもないでしょう。これを受けて、各種ログなどを監視して脅威をいち早く検出するSOC(Security Operation Center)や、セキュリティインシデント対応を行う専門チーム、CSIRT(Computer Security Incident Response Team)を組織する企業も年々増えています。
しかしサイバー攻撃も高度化、複雑化し、ファイアウォールやウイルス検知ソフト、IDS/IPSをすり抜ける攻撃も増えるなど、もはや完全に防御することは難しくなっているのが現実。たとえ攻撃されても「攻撃されたことをいかに早く検知し、対処できるか」がセキュリティ対策の新たなポイントとなっています。
こうした中で注目されているのが、ピンポイントの対策を積み重ねるのではなく、さまざまなシステムのログやイベントを統合管理し、横断的に相関分析することで脅威をいち早く検知、対処する「セキュリティインテリジェンス」というアプローチです。そしてこの実現手段として、ログやイベントを分析し、異常があれば検知、アラートを発するSIEM(Security Information and Event Management)が、今のセキュリティ対策に不可欠なものとして多くの企業が導入を検討しています。
本リリースで紹介される「RSA SA 10.6」もそうしたSIEMの1つ。ログとパケットを横断的に分析することで、「マルウェアが外部との通信や感染活動を行う『C&C活動』を自動的に検出」「マルウェアが感染領域を広げる『ラテラルムーブメント』を検知」など、「脅威をいち早く検出」するための機能をしっかりと押さえています。またマルウェアの検知・特定は、その活動パターンを定義したパターンファイルと照合する方法が一般的ですが、本製品の場合、新たなサイバー脅威を見つける「機械学習の技術を利用したリアルタイム行動分析エンジン」を追加しています。検知のスピード・精度を高める上で、この点も大きなポイントといえるでしょう。
「多種類の情報ソースを分析し、“重要情報を”ダッシュボードに可視化、詳細をドリルダウンできる」ことも見逃せません。被害を最小限に食い止めるためには「インシデント対応の優先順位付け」がカギとなります。その点、こうした優先順位付けを支援する機能は、SOCやCSIRTの活動を真に有効なものとする上で必須ともいえるでしょう。セキュリティは「コスト」ではなく「投資」です。本リリースを1つの参考に、セキュリティ対策の在り方を見直してみてはいかがでしょうか。
EMCジャパン、標的型サイバー攻撃の早期検知能力が向上したRSA® Security Analytics 10.6を発売
〜機械学習によるリアルタイム分析機能を追加〜
2016年5月10日、東京発:
EMCジャパン株式会社(略称:EMCジャパン、本社:東京都渋谷区、代表取締役社長:大塚 俊彦、URL: http://japan.emc.com/)は、機械学習によるリアルタイム行動分析機能の追加により、標的型サイバー攻撃を早期に検出する能力が向上した「RSA® Security Analytics 10.6(アールエスエー セキュリティ アナリティクス10.6、以下 RSA SA)」の提供を開始しました。攻撃の特徴的な行動を自動的に検知するため、早期の対応が可能になります。
標的型サイバー攻撃では、社内の多数のPCが攻撃者の制御下に置かれているといったことや、企業の情報資産が不正に外部へ送信されたことを、数カ月から数年も気づかないといった事案が多く見受けられます。攻撃による被害を最小化するには、侵入したマルウェアが活動を開始する前に見つけ出して施策を展開することが望まれます。しかし、特に攻撃の初期段階では不審な行動の判定が難しく(*1)、その結果、侵入されたPCが足がかりとなって、組織内のPCのマルウェア感染がさらに拡大して遠隔操作できるPCが増えたり、C&C活動(*2)と呼ばれる外部への通信を長期間にわたって見逃したりすることで、被害が生じてしまいます。
「RSA SA」は、機械学習の技術を利用したリアルタイム行動分析エンジンの追加により、攻撃の検知能力と調査能力が大幅に向上しました。リアルタイム行動分析エンジンは、攻撃の顕著な兆候であるC&C活動を、人手を介すことなく自動的に検出します。また、侵入したマルウェアが制御できるPCを増やすラテラルムーブメント(*3)を検知します。さらに、多種類の情報ソースを取り込んで過去のインシデントとともに分析し、攻撃が疑われる不審な行動を自動的に特定してダッシュボード表示します。これにより、インシデントの全領域が把握しやすくなり、調査や対処の優先付けが容易になります。「RSA SA」では、脅威の真偽を判断するための高いセキュリティ スキルが不要となり、調査の手間や時間も大幅に削減できます。
RSA SA 10.6の特長
「RSA SA 10.6」の特長は以下のとおりです。
迅速な検知と分析により、攻撃を早期に認識
「RSA SA」の検知機能には、C&C活動やラテラルムーブメントの検知手法があらかじめ組み込まれています。攻撃を早期に検知することで初期対応を迅速に開始でき、被害を把握するまでの時間を短縮し、調査すべき範囲の拡大を抑えられます。
「検知手法の例」
- ビーコニング(*4)活動、組織内でほとんど通信していない通信先ドメインや比較的最近登録されたドメイン、リファラー(*5)の無いHTTPヘッダなど、複数の事象をC&C活動の指標として認識しています。膨大な情報からこれらを適切に識別し、相関分析により攻撃または攻撃の予兆として通知します。
- 不正なWindowsログイン試行、実行形式ファイルのファイルサーバへのコピーや実行などについて複合的にログデータを分析し、ラテラルムーブメントの試みとして検知、行為者の特定が可能です。
優先付けが容易になり、対応までの時間を短縮
「RSA SA」は、「RSA ECAT(*6)」から得られるエンドポイント情報や、ブラックリスト、ホワイトリスト、過去のインシデント情報などの多種類の情報ソースを調査ワークフローに取り入れています。重要情報が可視化されたダッシュボード表示により、インシデントの全領域を即時に把握することができます。さらに、ダッシュボード上の様々な要素をドリルダウン(図)していくことにより、詳細を確認でき、対応の優先順位付けが容易かつ迅速に行えます。
「RSA SA」は、攻撃を侵入させないための防御中心のセキュリティ対策では防ぎきれない攻撃を早期に発見して被害を低減するための標的型サイバー攻撃対策ソリューションです。
*1 攻撃の初期:単独の事象だけでは攻撃か否かを見極めるのが困難であることが多い。そのため、相関分析等により関係性を見い出して判定する。
*2 C&C活動:Command &Controlの略。侵入したマルウェアが外部との通信を行ったり、感染活動を行ったりする。
*3 ラテラルムーブメント(側方運動):内部偵察、資格奪取、感染拡大を行う。侵入に成功したマルウェアが、外部からダウンロードしたツールやWindowsのビルトインツールを使用して偵察活動を行い、アクセスや権限をコントロール下のPCに不正に与え、感染領域を広げる。
*4 ビーコニング:社内の端末から、外部の同一のIPアドレス宛に定期的に通信が行われている状態。
*5 リファラー:アクセス元が直前に閲覧していたページのURL情報
*6 RSA ECAT: PCへのマルウェア侵入を検知するエンドポイントフォレンジック製品
価格と提供について
販売開始:2016年5月10日(火)
販売価格:本バージョンでの価格変更はありません。
価格例:いずれも保守、消費税別。
- RSA Security Analytics for Log (1日に収集するログ50ギガバイトまで):4,500,500円
- RSA Security Analytics for Packet (1日に収集するパケット1テラバイトまで):4,500,500円
提供について:EMCジャパンおよびEMCジャパンのビジネスパートナーから提供します。
本件に関するお問い合わせ先
EMCジャパン株式会社 http://japan.emc.com/
RSA事業本部 マーケティング部 PRマネージャ
嶋宮 知子 TEL:03-6830-3234(直通) E-mail:tomoko.shimamiya@rsa.com
もっと詳しく知りたい方に
おすすめのカスペルスキー製品の資料をまとめてダウンロードすることができます。左のチェックボックスにチェックを入れ、「資料ダウンロード」ボタンを押して下さい。
- キーマンズネット会員の方は、こちらからログインしてご利用下さい。
- 別ウインドウでキーマンズネットのページが開きます。
- キーマンズネット会員では無い方もご利用いただくことができます。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
提供:EMCジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年6月9日
Copyright © ITmedia, Inc. All Rights Reserved.