「IRサービス」は、企業のセキュリティの課題を解決するために、セキュリティチームのスキルアップを支援し、成熟度を高めながらインシデントを解決できる力の獲得を支援するものだという。
「IRサービス」は、チームや担当者の成長度合いに応じてインシデントレスポンス技術のスキルトランスファーを行い、自律的にインシデントに対処できるチームの構築を目指すという。サービスを提供するRSAのIRアナリストは、RSAの脅威対策チームが世界中から常時収集している脅威情報と知見を共有しており、インシデント対応実績を駆使して現状把握と改善提案、収束に向けたシナリオ設計、技術指導を行うという。
企業は「IRサービス」を自社で不足しているメンバーの補完、スキルアップの指導、インシデント発生時の技術支援策として活用することで、経営層の期待に応えられるセキュリティチームを実現できるようになるとしている。
「IRサービス」には、次の4つの独立したサービスがある。
「インシデントディスカバリー」
セキュリティ対応の現状把握と改善提案を行うサービス。RSA NetWitnessを一定期間、設置してネットワークパケットを収集する。そこから不正アクセスやマルウェアの有無、痕跡を調査し、現行のセキュリティ対策に対する見解をレポートする。セキュリティチームの成熟度が低い、パケット収集機器がないなどの企業も、自社要員の技術レベルにかかわらず直ちにインシデントレスポンス活動が可能になる。
「インシデントホットライン」
自社SOC/CSIRTの運用を間もなく開始する、あるいは開始したばかりの企業に、インシデント発生時の技術支援、スキルトランスファーを行うサービス。インシデントを分析して原因特定、解決のためのガイドを実施する。
「IRジャンプスタート」
RSA NetWitnessを運用開始する、あるいは開始して間もないユーザー企業向けの初期運用支援サービス。攻撃者の活動、マルウェア検出、C&C通信などを可視化するために必要なチューニングスキルの指導、ネットワークやホストデータ等を分析してRSA NetWitnessの検知条件を最新の攻撃手法に対処できるよう最適値に設定する。
「アドバイザリサービス」
RSA NetWitnessを利用しているユーザー企業向けの定期運用支援サービス。ネットワーク全体の分析を実施しアドバイザリーレポートを提出する。RSA NetWitnessの検知条件を、最新の攻撃手法に対処できるよう最適値に設定する。
