サードパーティの脅威インテリジェンス取り込み、ユーザー間のIPレピュテーションに対応
EMC「RSA Live Connect」国内提供開始、脅威情報の共有を強化
2016年12月06日 11時00分更新
EMCジャパン(RSA事業本部)は12月6日、標的型攻撃対策スイート「RSA NetWitness Suite」の脅威インテリジェンス共有プラットフォームとして、新たに「RSA Live Connect」を追加した。サードパーティの脅威インテリジェンスサービスが提供するフィードを取り込めるほか、NetWitnessのユーザーコミュニティによるIPアドレスのレピュテーション(評価)情報も利用できる。
RSA NetWitness Suiteは2011年から国内提供を開始した標的型攻撃対策スイート。ネットワーク、サーバー、エンドポイントから収集した情報に基づき、迅速に脅威を検知すると同時に、リスクの度合いも判断することで管理者のインシデント対応における優先度付けを支援する。
これまでは、RSAのサイバーセキュリティ対策専門チームが収集した脅威情報(リスクの高いIPアドレス、ドメイン、ファイルなどの情報)を、クラウドを通じてフィードする「RSA Live」サービスが提供されていたが、今回、新たにRSA Live Connectが追加された。
RSA Live Connectを利用することで、サードパーティが提供する脅威インテリジェンス情報もNetWitnessに取り込むことができるようになる。ユーザー企業が契約する米ThreatConnectの「Therat Intelligence Platform」、米Soltraの「Soltra Edge」、米Recorded Futureの「Cyber Threat Intelligence」の各データを、設定した時間ごと(毎時/毎日/毎週)に自動で取り込み可能。
また、不審なトラフィックの通信先になっているIPアドレスについて、NetWitnessのユーザーコミュニティによるレピュテーション情報を参照して、判断材料とすることができる。このレピュテーションに自ら参加して、リスクの有無の投票やコメントをすることもできる。
EMCジャパン RSA事業本部 マーケティング部 部長の水村明博氏は、金融、テレコムといった業界では、業種特化型のセキュリティ情報共有コミュニティ(金融ISAC、Telecom-ISAC)が活動を活発化させており、「“人”の面では徐々につながってきている」と説明する。
ただしその一方で、人どうしの情報共有にとどまらず「共有情報を“プロセス”にどう乗せていくのか、“テクノロジー”や製品の中でどう活用していくのか」という課題があると指摘し、今回のRSA Live Connectがそうした動きを支援するものであることを示した。
「顧客と顧客をつなぐかたちの脅威情報プラットフォームが、今回のLive Connect。(NetWitnessでは)RSAのアナリストが分析した脅威情報だけでなく、こうしたものも取り込んでいく」(水村氏)