RSAがSIEM製品に新機能の「リアルタイム分析」 - 機械学習を活用

米RSAは3月1日、同社のセキュリティ情報イベント管理(Security Information and Event Management:SIEM)である「RSA Security Analytics」に、リアルタイム分析機能を追加したと発表した。

これは、機械学習機能でネットワークトラフィックやデータ・フローを分析し、脅威を割り出す。RSAでは「過去のシグネチャや攻撃リストを参照することなく、より迅速に未知の脅威を発見できる」としており、2016年第1四半期中のリリースを予定している。

同機能の追加は、RSAが2月29日から5日の日程で開催している年次コンファレンス「RSA Conference 2016」で発表された。本カンファレンスでRSAは、脅威分析にAI(人工知能)や機械学習を導入する有用性を訴えている。

RSAプレジデントのアミット・ヨラン氏は、「今、どの企業でもサイバーセキュリティ専門家が不足している。攻撃は進化しているが、守る側の企業は時代遅れのセキュリティ対策しか講じられていないのが現状だ。(中略)機械学習機能やAIはこうした課題を補う。『なぜ、そのような振る舞いが起こっているか』までを分析し、人間が判断しやすいようにリスクを可視化する」と語った。

最新版となる「RSA Security Analytics 10.6」は、前バージョンよりも相関分析対象となるコンテキストが拡大した。ネットワークからエンドポイントまでのデータの流れ可視化し、疑わしいプロセスと、それに対する分析をリアルタイムで行うという。

新たに搭載された「リアルタイム行動分析エンジン」は、パケットレベルでのフローの可視化と、独自に開発した機械学習技術を搭載した。複合的な分析でパケットの異常な振る舞いを特定し、ダッシュボードに脅威のスコアを0～100段階で表示する。

例えば、BeaconのドメインやC&C(コマンド&コントロール)サーバとの通信など、セキュリティ脅威に結びつく振る舞いをリアルタイムに検知/分析し、そのリスク度合いをリスクスコアとして数値化。担当者は、そのリスクスコアを見ながら対策の優先順位を付けることができる。

また、Windows OSのログデータ改ざんとOSへのログイン方法が変更されていた場合には、管理者権限の乗っ取りが考えられる。こうした点在的な攻撃を、機械学習機能で複合的に分析することで、迅速に攻撃を特定し、対策を講じることが可能だという。

こうしたリアルタイム分析は「顧客ニーズを満たす」とヨラン氏は語る。同社が160社を対象に行った「Threat Detection Effectiveness Survey(脅威検出の有効性に関する調査)」によると、80%以上の企業が、現在利用しているセキュリティ対策製品について不満があり、中でも92%の企業が「脅威の検知が迅速でない」と感じているという。