パケット解析でリアルタイムに脅威を検出

標的型攻撃の対策に「可視化」を――EMCジャパンが新製品

2011/12/06

　EMCジャパンは12月6日、ネットワーク内のパケット情報を監視し、セキュリティインシデントの兆候をリアルタイムに検出する「RSA NetWitness」を発表した。従来のセキュリティ製品では困難だったゼロデイ攻撃や標的型攻撃などの検知に有効という。

　EMCジャパン RSA事業本部事業本部長の山田秀樹氏は、従来の境界防御型セキュリティでは、高度な標的型攻撃やゼロデイ攻撃を防ぐのは困難だと説明し、「いまこの瞬間何が起きているか、どういう攻撃を受けているかをリアルタイムに把握し、対応していくことが必要だ」と述べた。こうしたリアルタイムの「可視性」を提供するのがNetWitnessだという。

　米EMCのセキュリティ部門、RSA最高情報セキュリティ責任者（CISO）を務めるエディ・シュワルツ氏も、「今日のセキュリティ対策は陳腐化しており、高度化した攻撃を検出できない」と指摘。「NetWitnessは、ネットワーク可視化の新しい方法を組織に提供する。深いレベルでコンテンツやネットワーク上の挙動を把握し、それがいいものか、それとも悪意あるものかについて正確な情報を提供する」と説明した。

　RSA NetWitnessは、米EMCが2011年4月に買収で手に入れた製品だ。執拗に攻撃を仕掛けてくる最近の脅威は完全に防御できるわけではない、という前提に立ち、内部に侵入した脅威を迅速に特定し、致命傷に至る前に食い止める。すでに米国では、政府機関や金融機関での導入例があるという。

　RSA NetWitnessは、パケットを「収集」するツールと、「解析」するツールの2つから構成されている。パケット収集ツールはさらに、ネットワーク内のパケットをキャプチャし、メタ情報を付与する「Decoder」、そのDecoderからメタデータを収集する「Concentrator」、Concentratorが提供するメタデータを集約する「Broker」という3つのコンポーネントから構成される。生のパケットそのものではなく、メタデータを活用することで、高速な収集／分析を可能にするという。

　一方パケット解析にも、異なる角度から解析を行う複数の製品が含まれている。「Spectrum」では、ファイル構文分析や流入経路の解析、仮想環境上での実行結果といった情報を基に、そのファイルがマルウェアかどうかを検知する。「Informer」は、モニタリング内容をダッシュボード形式でグラフィカルに可視化する。画面上のアイコンをクリックすれば、VoIPによる通話も含めた通信内容を再生でき、情報漏えいの有無を確認できる。そして、怪しいと踏んだ通信については、「Investigator」によって詳細を調査し、感染したマシンを特定できる。