PR
写真●FireAMPのログ分析Web画面の例(ヒートチャート画面)
写真●FireAMPのログ分析Web画面の例(ヒートチャート画面)
[画像のクリックで拡大表示]

 セキュアブレインは2012年9月21日、マルウエアの感染状況を把握できるようにするSaaS型サービス「FireAMP」(写真)を発表、同日提供を開始した。専用のエージェントソフトを導入したクライアントPCからイベントログを収集して集計することで、マルウエアの感染経路や感染状況などを可視化する。価格(税別)は、25ユーザーで年額24万5000円から。開発会社は米Sourcefire。

 社員が使うクライアントPCなどに、専用のエージェントをインストールして利用する。エージェントは、ファイルのダウンロードや実行、外部との通信などの、マルウエアの入手や感染に関連するイベントログを記録し、これをリアルタイムにFireAMPの管理サーバー(SaaS)に通知する。管理サーバー側で複数のイベントログを集計して分析する。

 ログを集計することで、マルウエアの感染状況が分かる。個々のクライアントPC上でのファイルの入手時刻や実行時刻、通信先といった情報を利用することで、何がいつどこで起こったのかをタイムラインとして時系列で表示する。これにより、最初に感染したクライアントPCを特定できるほか、マルウエアの侵入経路を把握できるようになる。

マルウエア感染状況を複数グラフ/画面で可視化

 可視化の方法として、複数のグラフやレポートを用意している。侵入経路と感染状況を分かりやすく見せる画面を用意しているほか、例えば、ヒートチャート画面は、部署や拠点をタイルで表し、感染状況を色分けして表示する。また、感染原因としてマルウエアの侵入経路になったアプリケーションとその割合を円グラフで表示できる。感染頻度や検知頻度の高いクライアントPCをリストアップすることもできる。

 なお、ファイルがマルウエアかどうかは、原則として、Sourcefireのマルウエア情報データベースに載っている既知のマルウエアかどうかをハッシュ値で判別する。こうして検知したマルウエアについて、社内での感染状況を可視化する。

 一方、ゼロデイ攻撃などで使われる未知のマルウエアについては、動的解析も可能である。このための専用のWeb画面を用意している。マルウエアの疑いがある任意のファイルをFireAMPにアップロードすることで、実際に実行させて振る舞いを判断する。解析後に、解析結果をWebでレポートする。

 エージェントソフトの稼働OSは、Windows XP/Vista/7、Window Server 2008。