• 2014/10/28 掲載

EMCジャパン、企業SOC構築を支援する「RSA Advanced SOCソリューション」発売

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
EMCジャパンは28日、情報漏えい対策など、企業のセキュリティ脅威対応を行う専任チーム「SOC(セキュリティオペレーションセンター)」の構築・運用支援ソリューション「RSA Advanced SOC(アールエスエー アドバンスト ソック)ソリューション」の提供を開始すると発表した。
 RSA Advanced SOC(以下、ASOC)は4つのコンポーネントで構成されたSOC向けソリューション。ログやパケットから脅威の検出や分析を行う「RSA Security Analytics 10.4(以下、SA)」、PCに侵入したマルウェアをシグネチャーレスで検出するエンドポイントフォレンジックツール「RSA ECAT 4.0」、セキュリティインシデントの対応プロセスを標準化して効率的なSOC運営を支援する「RSA Archer Security Operation Manager(以下、SecOps)」と、SOCの構築・運用支援を行うコンサルティングサービス「RSA Advanced Cyber Defense Practice」で構成されている。

photo
RSA ASOCの構成

photo
EMCジャパン
RSA事業本部
マーケティング部
部長
水村 明博 氏
 MM総研の調査によれば、日米の情報セキュリティ対策には現状、大きな差が出ている。たとえば、米国では2012年から2013年にかけて、なりすましによる被害、標的型攻撃による被害、従業員などによる情報機器の紛失・盗難による被害、悪意による漏えい被害などは軒並み減少。一方、日本ではこれらの被害は拡大している。

 RSA事業本部 マーケティング部 部長の水村明博氏は、「米国では“手口がわからない被害”が大幅に減少している一方で、日本ではむしろ拡大している。我々のテクノロジーによって、攻撃を見えるようにしていきたい」とASCO提供の意義を強調した。

 一方、企業がSOCを構築するうえでの課題もある。一般的にSOCではメンバーをいくつかの役割に分けており、24時間365日の初期対応・初動対応を行うフロントメンバーから、それを束ねるマネージャーまで、メンバーの連携が重要になる。しかし、従来はインシデントの監視・検出・優先度付けを効率的に行い、チーム間の情報共有、そしてインシデントの検出から修復までに得た教訓を今後のプロセスに反映できるツールがなかった。

photo
RSA事業本部
システムズ・エンジニアリング部
部長
八束 啓文 氏
「これらの課題に対し、今回提供を開始したASOCでは各製品群により、Visibility、Analysis、Actionの3つのフェイズで応える」(RSA事業本部 システムズ・エンジニアリング部 部長 八束啓文氏)

 Visibilityのフェイズでは、SIEM機能によってデータを取得した時に適切な属性情報を付与してインデックス化する。次にAnalysisのフェイズでそのインデックス情報をもとに分析する。あらかじめルールを定めた相関アラートによるリアルタイム分析に加えて、長期保存されたデータの分析やヒストリカル傾向分析なども行える。さらにActionのフェイズでは、発見したセキュリティインシデントの対応優先順位づけや対策・報告を効率化できる機能を提供する。

photo
RSA Advanced SOCソリューションの全体像

 今回ASOCを構成するツールのうち、SAとECATは今回の発表に合わせて最新版が提供された。

 SA 10.4では、可視化の向上とSIEM機能を強化。可視化の向上では、検索機能が強化され、生データの文字列検索が可能になり、たとえば添付ファイル内に記述されたクレジットカード番号も検索対象に含まれるようになった。直接やり取りしているデータの中身がわかるようになるため、情報漏えい対策の強化に役立つという。また、ECATとの連携強化によって、エンドユーザーのPCで何か問題が発生した場合もSA内のアラートとして把握できるようになった。

 SIEM機能の強化では、SecOpsなどで提供されているインシデント管理をSA上でも行えるようになり、NetFlowやCEFを新しくサポートした。収集したデータはEMC VNXや他社製ストレージにもアーカイブできる。

 ECAT 4.0では、拡張性が強化。従来は2万エンドユーザーまでの制限があったが、1サーバあたり5万台までサポートできるようになった。さらにサーバは階層構成をとることができるようになり、実質はそれ以上のユーザー数にも対応できるようになった。そのほか、Windowsに加えて、Mac OS Xをサポート。「米国では実際に10万以上のユーザーで利用されるケースも出てきた」(八束氏)という。

 また、エンドポイント分析の強化として、未知のファイルに対する自動スキャンをサポートした。IoC(セキュリティ被害を受けたシステムで脅威があったことを示す痕跡)ベースのアラート機能によって、脅威レベルのスコアリング精度が向上したという。

 価格は、導入企業の環境により異なるが、参考価格としてSA単体のオールインワンパッケージが1,000万円。単体での導入も可能で、SA導入後、ECATやコンサルティングサービスを導入していくという場合もある。導入には最低3か月を要し、1年近くかけて導入するケースもあるという。

 EMCジャパンでは、今後1年かけて、SOC関連ソリューションで10億円の販売を目指す。水村氏は「SAは1年前より販売を開始しており、既に引き合いも多く出ている。目標は達成できそうだ」とSOC構築需要への手応えを語った。

評価する

いいね!でぜひ著者を応援してください

  • 0

会員になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 0

  • 0

  • 0

  • 1

  • 0

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます