「何が起きているかをいち早く把握」　EMC、メモリ上の攻撃見抜く「RSA ECAT」発表

　発表にあたって登壇した宮園氏は、今や標的型攻撃が特定の企業だけでなく、一般化していることを指摘。企業のITインフラ内で起きていることを把握する必要性が増してきていると説明するとともに、今回発表したRSA ECATによって「監視と分析の製品ポートフォリオがそろってきた」とした。

　RSA事業本部 マーケティング部 部長の水村明博氏は昨今の標的型攻撃について、「侵入そのものを防ぐことは難しくなっている」と指摘。攻撃者による滞留時間をいかに短くし、レスポンスをいかに素早くするのかが求められているとした。

　今回発表された「RSA ECAT」は、PCにインストールされたエージェントが、そのPCのメモリ上のデータ分析をリアルタイムに実行し、検出した侵害の痕跡やマルウェアの動作をRSA ECATサーバに通知する仕組みを備えたセキュリティツール。

　4月に提供を開始した「RSA Security Analytics」は、ネットワークセッション情報やログ情報を収集し、脅威を迅速に発見するツールだったが、今回の「RSA ECAT」では、メモリ上で実行中の実行ファイルやDLL、ドライバなどについてインベントリ把握が可能になる「ライブメモリ分析」などの機能を持つため、よりすばやく不審な動きを検知できる。仕組みとしては、物理ディスク上のデータとメモリ上のデータを比較し、メモリ上に割り込みをさせて実行するコードインジェクションなどの攻撃を検知できるという。

　RSA ECATの効率的なスキャンのために、いったんクリーンな状態のPCを基本に据える「ベースラインの設定」やマイクロソフトやNIST、Bit9（有償）が提供する「ホワイトリスト」を活用する。エージェントのサイズも5Mバイトと小さく、分析はサーバ側で行うため、「5分から20分くらいでスキャンが終わる」（水村氏）という。

　疑わしい挙動を発見した場合、MSL（Machine Susupect Level）に応じて、一定のしきい値を超えると、メールでの通知やSysLogでのアラート送信を行うことが可能になる。

　宮園氏、水村氏ともに、RSA Security Analyticsとの連携の有効性を強調。「ECATからキーとなるヒントを導き出し、Securiy Analyticsでパケットやログを見て詳細がわかる」（水村氏）。


　既に同製品はEMCの社内でプロアクティブなセキュリティ対策用途で活用されており、社内に「次世代SOC（Security Operation Center）」や「CSIRT」を構築する企業に対して販売していくという。

　販売開始日は1月6日。ソフトウェアで提供を行う。価格はエンドポイント100台で383万円（保守、税抜）。今後2年で40社への販売を目指す。

　あわせて、次世代SOC構築を支援する「RSA プロフェッショナル・サービス」も発表。アセスメントからSOC構築までを一貫して提供する。既に一部企業に展開しているが、Advanced Cyber Defense Practice Senior Managerのステファン・マッコンビ氏は「EMC自身を事例として蓄積したノウハウを提供する。50社を超える企業にコンサルティングサービスとして提供済み」で、今後日本企業への展開に注力すると説明した。