Article Detail
EMCジャパン、ネットワークセキュリティ・モニタリングツール「NetWitness」を販売開始
標的型サイバー攻撃をリアルタイムに検知するネットワークセキュリティ・モニタリングツール(*1)
「RSA NetWitness」を販売開始
●ネットワークを常時監視し、APT攻撃(*2)の兆候をリアルタイムに検出
●既存のセキュリティ製品との連携により脅威となる通信をブロック
●大規模ネットワークでも即座に攻撃を検知できるアーキテクチャ
EMCジャパン株式会社(略称:EMCジャパン、本社:東京都渋谷区、代表取締役社長:山野 修 URL:http://japan.emc.com/)は、標的型サイバー攻撃(*3)をはじめとするセキュリティ・インシデントの早期発見と対策に必要な情報を提供するネットワークセキュリティ・モニタリングツール「RSA NetWitness(アールエスエー・ネットウィットネス 以下、NetWitness)」を、本日より販売開始することを発表しました。
NetWitnessは、ネットワークのすべてのパケット情報を継続的に監視し、APT攻撃やゼロデイ攻撃(*4)をはじめとする標的型サイバー攻撃やセキュリティ・インシデントの兆候を速やかに検知するネットワークセキュリティ・モニタリングツールです。マルウェアによる攻撃をリアルタイムに検知し、侵入の原因となったセッションの分析までも可能です。分散構成に最適なアーキテクチャにより中堅中小企業から大規模企業まで容易に適用でき、海外ではアメリカ合衆国政府機関を始め、大手金融機関や防衛産業系の企業で利用されています。
昨今の標的型サイバー攻撃の多くは、長期間にわたり執拗な攻撃を繰り返すために対応が困難なAPT攻撃です。APT攻撃は人の心理、サーバやPCの脆弱点をついた複数の手口で企業のネットワークに侵入し、知的財産や顧客情報などの価値の高い情報を窃取します。さらに、窃取した情報を最終的な標的企業への侵入手段として悪用する場合もあります。ファイアウォールやアンチウイルスソフトウェアは大多数の企業が導入していますが、これだけではAPT攻撃による脅威の侵入を防ぎきれません。
APT攻撃の防御に効果を発揮するのは、ネットワークを常時監視して異常を早期に発見するリアルタイムの検知と、セッション情報を分析して正確かつ迅速に原因を特定する方法です。これを常時運用して、インシデントに早く気づき、調査から対策、復旧までの過程を短期化することが、被害を最小限に食い止めるためのベストプラクティスです。
<NetWitnessの特徴>
>ネットワークを常時監視し、APT攻撃の兆候をリアルタイムに検出します。
侵入行為に利用された未知および既知のマルウェアを、4つの指標(*5)を複合的に活用してリスク判定し、いち早く検知します。常時監視を行っているため、万が一、社内のPCが侵入を受けた場合も、不審な挙動を素早く検知します。さらにセッションを分析して、侵入の経路やマルウェアに感染したPCを特定します。
>既存のセキュリティ製品と連携し、ブロックの効果を高めます。
データ損失防止(DLP)製品、ファイアウォール製品、侵入検知製品等のディフェンス製品と連携して発見した脅威をブロックします。また、セキュリティ・インシデント監視・管理(SIEM)製品との連携により、サーバのログで発見される脅威をパケットレベルで解析することが可能です(*6)。
>拡張性の高いエンタープライズ・アーキテクチャで優れた柔軟性があります。
パケットの収集と解析を分けた拡張性の高いアーキテクチャにより、企業規模やデータ規模に柔軟に対応します。テラバイト規模のパケットデータも、収集装置によるインデックス化とメタデータの活用により、高速な分析を実現します。
EMCジャパンは、NetWitnessを官公庁、省庁、防衛関連企業、金融業、製造業、通信業などの企業へ提案し、今後1年で3億円の売り上げを目指します。
<価格と提供について>
販売価格:標準的な構成として、キャプチャ装置2台(DecoderとConcentrator)とマルウェア検知装置(Spectrum)1台、ネットワーク分析・可視化装置(Informer)の場合、4,000万円です。(保守、消費税別)
提供時期:[販売開始] 2011年12月6日(火)、[出荷開始] 2012年1月5日(木)
販売について:NetWitness販売代理店より提供します。
(2011年12月6日現在)
<NetWitness製品構成>
NetWitnessは、パケットの解析製品と収集製品で構成され、要件や収集規模に合わせて組み合わせることができます。
<パケット解析製品>
>マルウェア(ゼロディ攻撃を含む) 脅威の検出装置:Spectrum(スペクトラム)
複数の指標でマルウェアを分析し、通知や可視化を行う
>ネットワーク分析・可視化装置:Informer(インフォーマ)
ダッシュボード、チャートなどでモニタリング内容を可視化、レポート生成も行う
>パケット分析(ソフトウェア):Investigator(インベスティゲータ)
通信パケットを分析し、通信内容の詳細を表示する
<パケット収集製品>
>リアルタイムパケットキャプチャ装置:Decoder(デコーダ)
パケットを収集し、メタデータを作成する
>メタデータ収集装置:Concentrator(コンセントレータ)
Decoderで作成されたメタデータを収集する
>メタデータ収集装置:Broker(ブローカ)
複数のコンセントレータからメタデータを収集する
「NetWitness」製品の詳細は、以下のWebサイトをご覧ください。
http://japan.rsa.com/node.aspx?id=3944
*1 ネットワークセキュリティ・モニタリングツール:ネットワークの継続的なモニタリングにより、リアルタイムの分析結果をセキュリティの専任者向けに提供するツール
*2 APT攻撃:Advanced Persistent Threat(高度で執拗な脅威)は、脆弱性を悪用し、標的に対して持続的に攻撃・潜伏を行い、複数の手法を駆使してソーシャルエンジニアリングにより特定企業や個人を狙う対応が難しく執拗な攻撃。(IPAのサイトより)
*3 標的型サイバー攻撃:特定の組織・人を標的として、主として、組織・人の機密情報を詐取等することを目的としたサイバー攻撃。(経済産業省による定義)
*4 ゼロディ攻撃:ソフトウェアの脆弱性を悪用して修正プログラムが公開されるより前に行われる攻撃。
*5 リスク判定に用いる4つの指標:
>マルウェアの実行ファイルを構文解析した結果
>マルウェアの疑いのあるファイルの流入経路(IPアドレス、国名、ドメイン名など)の情報
>RSAが収集・提供する脅威の情報(NetWitness Live)との比較
>仮想環境でのマルウェアの実行結果
*6 RSA製品では、データ損失防止(DLP)製品はRSA DLP(RSA Data Loss Prevention)、セキュリティ・インシデント監視・管理(SIEM)製品はRSA enVisionが該当し、NetWitnessと連携できる。
<EMCジャパン株式会社について>
EMCジャパンは、情報インフラの卓越したテクノロジーとソリューションの提供を通して、日本のお客様の情報インフラの課題解決をご支援し、あらゆる規模のお客様のビジネスの継続と成長、さらにビジネス価値の創造に貢献致します。 http://japan.emc.com/
EMC、EMC2、RSA、NetWitnessは、米国EMCコーポレーションの米国およびその他の国における商標または登録商標です。これらの商標は、日本または諸外国で商標登録等により、適用法令で守られている場合があります。その他の製品の登録商標および商標は、それぞれの会社に帰属します。