リアルタイムのインシデント相関分析が可能になった「RSA enVision」新版

RSA, The Security Division of EMC 製品担当バイス・プレジデントのクリス・ヤング氏

　RSAセキュリティ株式会社は6月9日、統合ログ管理アプライアンスの新版「RSA enVision 4.0」を発表した。6月30日から販売開始する。

　RSA enVisionは、企業内のログを統合的に管理する製品。ログの収集対象となるデバイス側にエージェントを導入しなくて良い点や95％という高圧縮率などが特徴。新版では、分析能力を強化し「リアルタイムでのインシデント検出」を実現した。複数の情報ソースの自動的な突合せや相関分析、フィルタ、監視リストといった多様な手法により、発生している多数のイベントから重要度の高いインシデントをリアルタイムに洗い出すという。

　相関分析においては、さまざまなログを横断的に分析し、複数のシステムにまたがる特定の人物の行動をトレースすることが可能。それが例えば特権ユーザーならば、不正IDを作っていないか、ログを改ざんしていないかなど、特権を使って各システムで何をしたかといったことが追跡できる。

　新版では、外部の資産管理システムと連携するようにもなっている。併用すれば「RSA enVisionが備える脆弱性スキャナとDoS攻撃などの実際の情報を付き合わせて分析できるほか、そういった脅威に対して、どのネットワークやリソースにパッチが当たっていないかも特定できる」（RSA, The Security Division of EMC 製品担当バイス・プレジデントのクリス・ヤング氏）という。

　また、インシデントの発生から対応完了までを一連のプロセスとして実施する「エンドツーエンドのインシデント管理」も実現。何らかのインシデントが検出された際に、管理ワークフロー機能を利用して、インシデント発生通知、インシデント対応の優先度付け、情報分析、フォレンジック、侵入発生時からの追跡、対応完了までを一連の閉じたプロセスとして管理できる。

　そのほかダッシュボードを機能強化することで、セキュリティオペレーションをより視覚的に行えるようにした。多くの情報をグラフ化し、リアルタイムに表示することで状況を一目で把握可能となっている。

　対象はすべての業種。企業の外部・内部要素に起因する情報漏えいに対し、迅速なレスポンス体制を確立した企業に向け提案する。出荷は販売と同じ6月30日より。既存の保守ユーザーは無償でバージョンアップが可能。

リアルタイムのインシデント検出が可能に。さまざまな情報から本当にクリティカルなインシデントを発見できるという	エンドツーエンドのインシデント管理も実現	強化したダッシュボード。セキュリティオペレーションをより明確に可視化できるようになった