RSA Web Threat Detectionは、eBayやPaypalのセキュリティ対策を手がけていたメンバーが創業した旧SilverTail製品の最新版。Webサイト訪問者全体の行動遷移データを活用して、訪問者の大多数である正しい利用者の行動遷移から大きく外れる行動や、利用者個人の普段の行動遷移と異なる動きを検出することで、不正な行動や疑わしい行動を発見し、なりすましなどの不正活動を未然に防ぐ。

「オンライン犯罪は毎日のように発生しており、中でも最近では法人の被害が広がってきた。さまざまなセキュリティ対策があるが、そのたびに対策の対策が生まれ、いたちごっこが続いている。今回の製品は、犯罪者が対策を取れないようにしようということ」（EMCジャパン RSA事業本部 本部長 貴島 直也 氏）

　これまでのセキュリティ対策でWebセキュリティ対策といえば、二要素認証やデバイスID、ファイアウォールやIDS/IPS、WAFや脆弱性対策などが一般的だった。

「しかし、これらの対策は、犯罪者からも対策が見て取れる。すなわち、対策の対策が可能ということ」（RSA事業本部 事業推進部 シニアビジネスデベロップメントマネージャー 花村 実 氏）

　これらをEMCでは「Aboveコントロール」と呼んでいるという。一方で、これに対するのが「Belowコントロール」。検知ロジックやスコアリングアルゴリズム、閲覧軌跡プロファイリングなど「表面的には見えない対策」で、「一般のユーザーはもとより、犯罪者にも気づかれにくいのが特徴」という。

　利用者の脅威を判定する方法は大きく2つ。1つめはVelocityリスクで、人力ではとても行えないようなスピードでアクセスしてくるような対象はリスクが高いと判断する。もう1つがBehaviorリスクで、他のユーザーとアクセスの行動遷移が異なる場合にはリスクが高いと判断する。


「RSA Web Threat Detectionのよいところは、セッションが始まる前から判断ができること。（対策のしづらい）パスワードリスト型攻撃、サイトスクレーピング（競合他社によるサイト周回）、脆弱性プローブといった問題にも対応できる」（花村氏）


　さらに最新版では、大きく3つの機能が強化された。

　1つめは、ユーザーやIPアドレスにアラート情報を付加して時系列に表示する「プロファイル タイムライン」。ユーザーおよびIPアドレスの行動履歴を、疑わしい行為と関連づけて時系列で表示する。通常と異なる行動が検知されたユーザーやIPアドレスには、その情報をアイコンで表示する。ログから抽出された疑わしい行動、関係するユーザーやIPアドレス、アラートの内容などを一元的に表示することで、不正行為の特定や手口の把握が手軽に行えるようになるという。


　2つめは、モバイルアプリのトラフィックを解析する「スマートモバイル対応」。JSONフォーマットによるモバイルアプリのトラフィックを解析できる。従来のバージョンでは、独自の解析ルールを設定してトラフィックを分析する必要があったが、最新版では、標準搭載している解析ルールを活用して分析できる。これにより、スマートデバイスのトラフィックの可視化が可能になった。

　3つめは、Webトラフィックデータを他の製品で利用できるエクスポート機能「データストリーム」。Webトラフィックデータを、RabbitMQやAMQPプロトコルで他の製品に渡すことが可能になった。これにより、ビジネスインテリジェンス製品やデータウェアハウス製品へリアルタイムにデータを送り、購買の傾向分析やWebページ構造の効率分析などのマーケティング用途にも活用できるという。特にWebページ構造の見直しでは、不正なページ遷移の存在を排除するなどして、サービス企業が不利益を被るリスクを減らすことができるという。

「脅威は新しいものが次々と生まれてくる。しかし、攻撃するには何か行動を起こす必要がある。RSA Web Threat Detectionはそれが明らかになるので、新しい攻撃にも対応できる」（貴島氏）

　参考価格は会員数10万人で2,920万円（保守・消費税別）。価格は対象サイトの会員数やユニークビジター数で決まる。ソフトウェアで提供され、Cent OSやRed Hat Enterprise Linuxで動作する。

　国内でも導入事例が出てきており、インターネットバンキングやネットショップ系での利用が広がってきているという。