• 2013/12/17 掲載

「何が起きているかをいち早く把握」 EMC、メモリ上の攻撃見抜く「RSA ECAT」発表

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
EMCジャパンは17日、PCをはじめとするエンドポイントのメモリをリアルタイムで分析し、マルウェア検出するエンドポイント フォレンジック ツール「RSA ECAT(アールエスエー イーキャット)」を発売すると発表した。発表会で登壇したEMCジャパン RSA事業本部長の宮園充氏は、「企業のITインフラの中で何が起きているかをいち早く把握する必要がある」ことの重要性を強調した。
photo
EMCジャパン
RSA事業本部長
宮園 充 氏
photo
RSA事業本部
マーケティング部
部長
水村 明博 氏
photo
RSA, The Security Division of EMC
Advanced Cyber Defense Practice Senior Manager
ステファン・マッコンビ氏
 発表にあたって登壇した宮園氏は、今や標的型攻撃が特定の企業だけでなく、一般化していることを指摘。企業のITインフラ内で起きていることを把握する必要性が増してきていると説明するとともに、今回発表したRSA ECATによって「監視と分析の製品ポートフォリオがそろってきた」とした。

 RSA事業本部 マーケティング部 部長の水村明博氏は昨今の標的型攻撃について、「侵入そのものを防ぐことは難しくなっている」と指摘。攻撃者による滞留時間をいかに短くし、レスポンスをいかに素早くするのかが求められているとした。

 今回発表された「RSA ECAT」は、PCにインストールされたエージェントが、そのPCのメモリ上のデータ分析をリアルタイムに実行し、検出した侵害の痕跡やマルウェアの動作をRSA ECATサーバに通知する仕組みを備えたセキュリティツール。

 4月に提供を開始した「RSA Security Analytics」は、ネットワークセッション情報やログ情報を収集し、脅威を迅速に発見するツールだったが、今回の「RSA ECAT」では、メモリ上で実行中の実行ファイルやDLL、ドライバなどについてインベントリ把握が可能になる「ライブメモリ分析」などの機能を持つため、よりすばやく不審な動きを検知できる。仕組みとしては、物理ディスク上のデータとメモリ上のデータを比較し、メモリ上に割り込みをさせて実行するコードインジェクションなどの攻撃を検知できるという。

 RSA ECATの効率的なスキャンのために、いったんクリーンな状態のPCを基本に据える「ベースラインの設定」やマイクロソフトやNIST、Bit9(有償)が提供する「ホワイトリスト」を活用する。エージェントのサイズも5Mバイトと小さく、分析はサーバ側で行うため、「5分から20分くらいでスキャンが終わる」(水村氏)という。

 疑わしい挙動を発見した場合、MSL(Machine Susupect Level)に応じて、一定のしきい値を超えると、メールでの通知やSysLogでのアラート送信を行うことが可能になる。

 宮園氏、水村氏ともに、RSA Security Analyticsとの連携の有効性を強調。「ECATからキーとなるヒントを導き出し、Securiy Analyticsでパケットやログを見て詳細がわかる」(水村氏)。


 既に同製品はEMCの社内でプロアクティブなセキュリティ対策用途で活用されており、社内に「次世代SOC(Security Operation Center)」や「CSIRT」を構築する企業に対して販売していくという。

 販売開始日は1月6日。ソフトウェアで提供を行う。価格はエンドポイント100台で383万円(保守、税抜)。今後2年で40社への販売を目指す。

 あわせて、次世代SOC構築を支援する「RSA プロフェッショナル・サービス」も発表。アセスメントからSOC構築までを一貫して提供する。既に一部企業に展開しているが、Advanced Cyber Defense Practice Senior Managerのステファン・マッコンビ氏は「EMC自身を事例として蓄積したノウハウを提供する。50社を超える企業にコンサルティングサービスとして提供済み」で、今後日本企業への展開に注力すると説明した。

関連記事

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます