EMCジャパンRSA事業部は12月17日、標的型攻撃におけるマルウェアなどの実行を検出する新製品「RSA ECAT(Enterprise Compromise Assessment Tool)」を発表した。官公庁や防衛関連企業、金融業、製造業、通信業など重要情報を扱う企業を主な対象に2年間で40社の導入を目指す。価格は、サーバ1台クライアント100台の場合で3830万円。1月6日から販売開始する。
官公庁や防衛関連企業、金融業、製造業、通信業など重要情報を扱う企業が対象
RSA ECATは、2012年9月に買収を発表したSilicium Securityの技術をベースにした製品。最大の特徴は、シグネチャを利用せずに、メモリ上にロードされたプロセスをリアルタイムにスキャンすることで、脆弱性の悪用による不正ファイルの侵入やマルウェアの実行を把握できることにある。

マーケティング部部長の水村明博氏は、近年のセキュリティの課題として、ネットワークベースの対策ではエンドポイントの可視化が実現できないこと、シグネチャベースのセキュリティでは発見できない標的型マルウェアが増えていること、侵入した攻撃者が検知をかいくぐってシステム内に長く滞留するようになったことなどがあると指摘。RSA EATは、そうした課題に対応できるようにする製品だと説明した。
4月に発表したネットワークのパケットをキャプチャして可視化する製品「RSA Security Analytics」を補完して、ネットワークとエンドポイントにおける脅威を可視化する。
「シグネチャを使用しないマルウェア検出が特徴のエンドポイントのフォレンジックツールだ。エージェントとサーバで構成され、サイズの小さいエージェントをクライアントPCにインストールし、マルウェアスキャン自体をサーバ側で行うことで迅速で効率的なマルウェアの検出が可能になっている」(水村氏)
仕組みとしては、クライアントPCのメモリにロードされる実行ファイルやDLL、ドライバのブロセスを、PCのディスク上にあるファイルのプロセスと比較し、変更や改竄が行われていないかを検出するという。ブロセスについては、ディスク上のすべてのファイルを調査しておき、メモリにロードされたタイミングを見計らってスキャンを行う。RSAではこうしたメモリスキャンを「ライブメモリ分析」と呼んでいる。
ディスクとメモリのプロセスの相違がスコア化され、マルウェアかどうかなどのリスクを判定できるようになっている。マルウェアのリスクについては危険な動作をMSL(Machine Suspect Level)という優先度に沿って通知を受け取ることができる。なお、RSA EAT単体でも、クライアントPCを行き来するネットワークトラフィックを統計情報として蓄積し、分析することが可能という。
この記事は参考になりましたか?
- この記事の著者
-
齋藤公二(サイトウコウジ)
インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア