SIEM「RSA Security Analytics」に新版--C＆Cとの通信を機械学習で検知

　「標的型攻撃を受けたら侵入は防げないと割り切らなければならないが、侵入後の活動を早期に発見して迅速に対処できれば、実被害を未然に防ぐことは可能だ」――。

　EMCジャパンのRSA事業本部は5月10日、パケットやとログの相関分析で標的型攻撃を検知する、セキュリティ情報イベント管理（Security Information and Event Management：SIEM）製品の新版「RSA Security Analytics 10.6」（RSA SA）を発表、同日提供を開始した。

　RSA SAは、各種のログデータやパケットデータなどを相関分析することで社内LAN上で起こっている標的型攻撃を検知する。マルウェアや攻撃者の情報といった既知の情報に加え、いつもと異なるネットワーク上の挙動を検知するといった手法によって、潜伏期間を経て攻撃が発動した標的型攻撃を素早く発見する。これにより、適切なアクションを起こせるようになる。

　最大の特徴は、攻撃を検知するために必要なデータソースとして、ログとパケットの2つを対象にしている（図1）。製品は大きく、ログ収集装置、パケット収集装置、データ分析装置などで構成する。物理アプライアンスのほか、仮想アプライアンスの形でも提供する。単一のデータ分析装置を用いて、ログとパケットの両方を分析できる。

図1：標的型攻撃の活動を迅速に検知するための手段として、各種ログデータとネットワークキャプチャデータの両方を分析する

　データをリアルタイムに分析できるように、元データ（ログとパケット）に対してメタデータとインデックスを作成する仕組みを採用した。これにより、検索性が増している。さらに、Hadoopベースのデータウェアハウス（DWH）を備えており、データを長期保存できるようにしている。

　税別価格は、ログ収集機能とデータ分析機能を組み合わせてログ分析用に機能をパッケージングした「RSA Security Analytics for Log」が、1日に収集するログが50Gバイトまでで450万500円。パケット収集機能とデータ分析機能を組み合わせてパケット分析用とした「RSA Security Analytics for Packet」が1日に収集するパケットが1Tバイトまでで450万500円。