従来から利用されているアクセスログ、IDS/IPSのような境界型セキュリティ対策製品は、不正利用者を正規のサイト会員とみなしてしまい、不正の発見や防御が困難だったという。しかし、不正利用者の行動には、「複数のIDを同一IPで使用する」「短時間に大量の商品を購入する」などの特徴があり、それを不正の発見に活用するのが今回発表されたソリューションだという。
「RSA Silver Tail」は、サイト利用者全体の膨大な行動遷移データを活用して、大多数の正規利用者によるサイト内の行動遷移から大きく外れる行動や、利用者個人の普段の行動遷移には見られない動きを検出するとしている。
これにより、正規利用者になりすまして行われる活動を未然に防ぐことが可能で、不正な活動を早期に検知することで、被害や営業停止による収益減などの損失を低減することが可能になるとしている。
「RSA Silver Tail」は、ストリーミング解析というビッグデータ解析に適したテクノロジーを搭載しているという。ストリーミング解析は、Webサイトの閲覧者による膨大な数のWebセッションというビッグデータから、正規の利用者による行動プロファイルを作成し、個々の利用者のWebセッションと比較して、脅威のスコアを計算するという。
計算されたスコアが一定のしきい値を超えると自動的にアラートを送出し、サイトの正常な利用を特徴づける行動プロファイルと比較することで、異常で不正なアクセス取引の可能性がある行動が顕著になり、いち早く注意を向けることが可能になるという。
発表によると「RSA Silver Tail」は、利用者の次のようなWebサイト上の行動から異常を検出するという。
・異常なページトラフィック数を検出する例
「1つのIPで30ものユーザーがアクセスしていた」「1時間に6,000を超えるクリックがあり、その99%が0.5秒以内」といった事象は、パスワード推測やアカウント乗っ取りを目的とする、スクリプトによる機械的な攻撃と判断。
・利用者の行動から異常を検出する例
「同一人物が短時間に同じ商品の購入と売買を繰り返す」「大量の商品購入を数分間隔で行う」など、1回の買い物だけを見ると異常は認められないものの、利用者の過去の購入履歴やIPと照合すると、不正が行われていると判断、または今後の不正発生を予測。
「RSA Silver Tail」は、ストリーミング解析による脅威の検出を行うだけでなく、異常なWebセッションとそれが関係すると思われる別のセッションとの関連性を可視化して、迅速かつ簡便に脅威を検知する機能を持つという。
さらに、インシデントを、疑わしいIPアドレスや利用者、Webセッションなどに分類して表示するインタラクティブなユーザー・インターフェースを有しているという。
なお、「RCA Silver Tail」は、米EMCが2012年12月に買収した製品で、米国ではPayPal、Searsなど金融機関や流通大手に多数の採用実績があるという。EMCジャパンでは、「RSA Silver Tail」を、ECサイトを展開するサービス事業者やオンラインバンキング、オンライン証券を展開する金融機関などへ提案していくとしている。
■「RSA Silver Tail」の詳細
http://japan.emc.com/security/rsa-silver-tail.htm
