官公庁や防衛関連企業、金融業、製造業、通信業など重要情報を扱う企業が対象
RSA ECATは、2012年9月に買収を発表したSilicium Securityの技術をベースにした製品。最大の特徴は、シグネチャを利用せずに、メモリ上にロードされたプロセスをリアルタイムにスキャンすることで、脆弱性の悪用による不正ファイルの侵入やマルウェアの実行を把握できることにある。
マーケティング部部長の水村明博氏は、近年のセキュリティの課題として、ネットワークベースの対策ではエンドポイントの可視化が実現できないこと、シグネチャベースのセキュリティでは発見できない標的型マルウェアが増えていること、侵入した攻撃者が検知をかいくぐってシステム内に長く滞留するようになったことなどがあると指摘。RSA EATは、そうした課題に対応できるようにする製品だと説明した。
4月に発表したネットワークのパケットをキャプチャして可視化する製品「RSA Security Analytics」を補完して、ネットワークとエンドポイントにおける脅威を可視化する。
「シグネチャを使用しないマルウェア検出が特徴のエンドポイントのフォレンジックツールだ。エージェントとサーバで構成され、サイズの小さいエージェントをクライアントPCにインストールし、マルウェアスキャン自体をサーバ側で行うことで迅速で効率的なマルウェアの検出が可能になっている」(水村氏)
仕組みとしては、クライアントPCのメモリにロードされる実行ファイルやDLL、ドライバのブロセスを、PCのディスク上にあるファイルのプロセスと比較し、変更や改竄が行われていないかを検出するという。ブロセスについては、ディスク上のすべてのファイルを調査しておき、メモリにロードされたタイミングを見計らってスキャンを行う。RSAではこうしたメモリスキャンを「ライブメモリ分析」と呼んでいる。
ディスクとメモリのプロセスの相違がスコア化され、マルウェアかどうかなどのリスクを判定できるようになっている。マルウェアのリスクについては危険な動作をMSL(Machine Suspect Level)という優先度に沿って通知を受け取ることができる。なお、RSA EAT単体でも、クライアントPCを行き来するネットワークトラフィックを統計情報として蓄積し、分析することが可能という。
