EMCジャパンは12月17日、PCのRAMメモリをリアルタイムでスキャンしてマルウェアを検出する「RSA ECAT(Enterprise Compromise Assessment Tool)」を発表した。標的型攻撃のリスクを低減でき、ネットワークセキュリティ対策の補完として有効だという。
ECATは、企業が「RSA ECATサーバー」を用意して、PCにインストールする「RSA ECATエージェント」と組み合わせて利用する。エージェントがリアルタイムにメモリ上に走るプロセスをリアルタイムに実行する「ライブメモリ分析」を行って、侵入の痕跡やマルウェアの動作をサーバーに通知する。
通知を受け取ったサーバーは、その他PCにインストールしているエージェントとやり取りを行って感染していないかを検出。災害の規模や二次被害食い止めを図る。
2014年1月6日に発売予定となっており、製品価格はエンドポイントの数により異なるが、エンドポイント数が100台のケースでは、保守費用が別で383万円(税別)。今後2年で40社への販売を目指すという。
Security AnalyticsとECATの組み合わせで標的型攻撃に対応
発表会にはEMCジャパン RSA事業本部で本部長を務める宮園 充氏と同本部 マーケティング部で部長を務める水村 昭博氏、米RSAのAdvanced Cyber Defense PracticeでSenior Managerを務めるStephen McCombie氏が登壇した。
宮園氏は初めに「標的型攻撃は、昨今のニュースでも盛んに報じられているように、一部の大手企業だけを狙ったものではなく、一般的な企業をも標的にし始めている」と標的型攻撃の現状を説明。
セキュリティ対策を行う上で、ネットワーク監視ソリューションでインフラを可視化することは、春先に同社が発表した「RSA Secyrity Analytics」で行うことができるものの、エンドポイントの対策が図れていなかった。
そこで登場するのが「RSA ECAT」だ。前項で説明した通り、ECATではエンドポイントのメモリ上の動きをリアルタイムに監視することができるため、ネットワーク監視と組み合わせることで、標的型攻撃に隙を見せることなく対策ができる。
「ECATによって未知のマルウェアの怪しい動きも検知することができる。Security AnalyticsとECATを組み合わせて、より深く、企業のインフラの中で何が起きているか把握できるようになる。RSAとしてもポートフォリオを整備できたのではないか」(宮園氏)
エンドポイントの包括対策が図れるRSA ECAT
続いて、マーケティング部 部長の水村氏が登壇。ECATの概要を説明した。
水村氏は標的型攻撃の時系列図を見せながら「もはや様々な侵入対策を行っていても、侵入その物を防ぐことは難しい」と警鐘を鳴らす。
企業としては「攻撃者の滞留期間を短縮させて、レスポンス時間を短くすることが大事」(同氏)だという。
攻撃者はフィッシングメールやドライブバイダウンロードによって機密情報を盗み取ろうとするため、そこへの対策としてファイアウォールやIDS/IPS、サンドボックス製品を導入している企業が多い。
ただ、シグネチャベースではないサンドボックスであっても、最近はサンドボックス対策を行ったマルウェアも登場している上、企業が社員のワークスタイルを変えるために公衆無線LANや自宅からの業務作業を許可することで、これらのネットワーク対策が無駄になってしまうケースも存在する。
「エンドポイントでは、アンチウイルスやホストIDSとIPSもあるが、これらでは標的型攻撃への対策として厳しい側面がある。課題はエンドポイントの可視化不足。統括して管理できるコンソールがあまりないことが実情」(水村氏)
ECATが備えるスキャンテクノロジーの特徴は、ライブメモリ分析と物理ディスクの検査をどのエンドポイントに対しても一括で行えるということ。最初にマルウェアに感染していないクリーンな状態や他のエンドポイントと比較することでマルウェアの有無を精査。また、物理ディスクのファイルとメモリ上で動作するプロセスを比較して、変更や改ざんがないかについて確認を行う。
ECATのスキャン結果についてはダッシュボードに表示され、挙動分析の結果に応じて、柔軟な危険度の設定が可能となる。また、ホワイトリストも活用して、正常なアプリの誤検知を起こさぬようにMicrosoftやNISTが提供する正当なアプリのリストを検知対象から除外するという。
このリストでは、アプリ個別のハッシュデータベースを参照するため、デジタル証明書などの偽造が行われた場合でも、マルウェアを検知できる。ソフトウェアレピュテーションを提供しているBit9のホワイトリストも利用できるが、MicrosoftやNISTのものと異なり、こちらは有償提供となる予定。
RSAでは、2つのユースケースを想定しており、役員や研究機関、IT部門などの"リスクが高い"エンドポイントにエージェントをインストールする「プロアクティブ」な使い方と、ネットワーク監視製品のSecurity Analyticsがアラートを出した場合に、エンドポイントにエージェントを後からインストールしてPCをスキャンする「リアクティブ」な使い方を提唱していた。
Security AnalyticsとECATをフル活用できる「RSA プロフェッショナル・サービス」
最後に、米RSAのStephen McCombie氏が登場。ECATの説明を受けた流れで「ネットワーク監視製品やECATのような標的型攻撃への総合対策ソリューションの話をすると、顧客から『自分達でSOC(Security Operation Center)を構築したい』といったお声をいただく。このニーズにお応えするため、『RSA プロフェッショナル・サービス』を提供する」(McCombie氏)。
基本的にはコンサルティングサービスがベースとなっており、重要資産のリスク軽減やサイバー攻撃の対策状況の評価、潜在的な脅威やインシデント対応力の可視化を行う。
標的型攻撃に対する様々なアドバイスを行うことで対策能力の強化を図れるという。Security AnalyticsとECATを思う存分に活用できるというこのサービスは、諸外国で50を超える国で展開。日本でも、すでに一部企業がサービスを利用しているという。