ニュース
» 2016年05月10日 15時44分 UPDATE

EMC RSA、SIEMの解析強化でサイバー攻撃検知力を向上へ

SIEMへ機械学習技術を利用したリアルタイムな分析機能を搭載し、サイバー攻撃検知の早期化を図る。

[國谷武史,ITmedia]

 EMCジャパンのRSA事業本部は5月10日、セキュリティの脅威を分析するSIEM(セキュリティ情報・イベント管理)ツールの最新版「RSA Security Analytics 10.6」をリリースした。機械学習によるリアルタイムな行動分析機能を追加し、サイバー攻撃を早期に検知できるよう強化したという。

 RSA Security Analyticsは、システムやネットワークのログ情報やネットワークからのパケット情報を取得して相関分析することにより、サイバー攻撃の検知を支援する製品。従来は静的な解析手法を中心としていたが、最新版では動的な解析手法を加えることで、マルウェア感染などへの対応をより早くできるようにしている。

 システムズエンジニアリング本部の八束啓文氏によると、新たな解析ではキャプチャしたHTTPセッションのフルパケットについて、まず危険性の低いドメインの通信を解析対象から除去し、不審な通信について様々なドメイン情報や攻撃者サーバ(C2サーバ)の検出ルールなどに基づく解析を実施し、危険性の高い通信を管理者に通知する。

新たな解析手法のイメージ

 また、企業内に侵入したマルウェアなどによる不審な行動についても、例えば、Windowsログインやサービスの実行などの状況を詳しく解析することで、これまでより迅速に検知できるとしている。解析状況など管理するための画面では検知された脅威について追加調査などの対応を支援する「ナビゲーション」が提供されるようになった。

管理者画面でのナビゲーションのイメージ

 マーケティング部の水村明博氏によれば、企業や組織ではSIEMによるサイバー攻撃の検知への取り組みが広がりつつあるものの、同社の調査では早期検知が可能になったという企業が1割ほどしかないという。ログをベースに解析するタイプのSIEMでは脅威の疑いがある情報を多数検出できるものの、管理者による判断や対応に時間がかかってしまうほか、ログだけでは情報が断片的になる場合もあるとしている。

 最新版ではフルキャプチャしたパケットや機械学習を解析に取り入れることで検知精度の向上や解析処理の効率化を図る。なお、パケットを解析に加える場合は、パケットデータを保存する仕組みなどを準備する必要がある。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -