EMC、可視化・分析・アクションの3ステップでSOCの効率的な運用を支援「原因不明の被害」を減らせ

EMCジャパンは2014年10月28日、セキュリティオペレーションセンター(SOC)の構築に取り組む企業向けに「RSA Advanced SOCソリューション」の提供を開始した。

» 2014年10月29日 14時12分 公開
[@IT]

 標的型攻撃に代表される外部からの攻撃に加え、内部不正に起因する情報漏えいなど、さまざまな脅威に直面する中、セキュリティ対応能力の向上を目的に、セキュリティオペレーションセンター(SOC)の構築に取り組む企業が増えている。EMCジャパンは2014年10月28日、そうした企業向けに「RSA Advanced SOCソリューション」の提供を開始した。

 RSA Advanced SOCソリューションは、3つの製品と1つのサービスで構成されており、「可視化」「分析」「アクション」という3つの機能を包括的に提供することで、効率的なSOC運用を支援するという。

 中核をなすのは、ログやパケット情報に基づいて脅威を検出、可視化し、分析を行うセキュリティ管理プラットフォーム「RSA Security Analytics 10.4」だ。デコーダーを通じてデータを収集する際に属性情報を付与し、後の検索を高速に行えるようインデックス化した上で、保存、分析が行える。「相関分析に基づくリアルタイムアラート、主にコンプライアンス対応を目的とした長期保存、Hadoopを利用して通常と異なる事象を傾向分析するヒストリカル分析と、目的に応じて3つの分析方法を提供できる」(EMCジャパン RSA事業本部 システムズ・エンジニアリング部 部長 八束啓文氏)ことが特徴という。

 RSA Advanced SOCソリューションに含まれる新バージョンでは、ログやパケットに加え、NetFlow情報の収集が可能になった他、エンドポイントフォレンジックツールの「RSA ECAT」との連携を強化し、エンドポイント側の情報も収集できるようになった。また、検索機能の強化、アーカイブ機能の拡充も図られている。

 2つめのコンポーネントは「RSA ECAT 4.0」で、エンドポイントに侵入を試みようとするマルウェアをふるまい分析によって検知し、どういった挙動を示したか把握する。RSA Advanced SOCソリューションに含まれる新バージョンでは、未知のファイルに対する自動スキャンやリアルタイムアラートなどを追加し、分析機能を強化した。また、Mac OS Xのサポート、マルチサーバー構成のサポートによる拡張性向上などによって、多様かつ大規模な環境に対応した。

 3つめのコンポーネントは「RSA Archer Security Operation Management(SecOps)」で、対応プロセスの標準化や資産情報などに基づく優先順位付けが可能だ。「例えば、同じマルウェア感染でも、一般社員が利用している端末と社長の端末とでは影響度が異なる。複数のインシデント情報が上がってきた時に、ITレベルだけでなく、情報資産の重要性とマッピングして、リスクの高いものから順に対処できるよう支援できる」(八束氏)。

 EMCジャパンでは、これら3つの製品に、SOC立ち上げ、運用を支援するコンサルティングサービス「RSA Advanced Cyber Defense Practice(ACD)」を組み合わせて提供していく。価格は個別見積もりになる。

 EMCジャパン RSA事業本部 マーケティング部部長 水村明博氏は、MM総研が2014年9月に発表した「日米情報セキュリティ対策動向」の調査結果に触れ、日本のセキュリティ投資が出遅れていると指摘した。特に、「米国ではセキュリティ投資が進むにつれて『原因不明の被害』が大幅に減っているのに対し、日本では、手口の分からない事件、事故による被害が増えている」(水村氏)。こうした被害を防ぐために、インテリジェンスに基づく可視化、分析の重要性は増していくとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。