LIFTネット

ネットワー 機能 ク関連ロ

各種ログ の統合管

フェーズ１ フェーズ２ フェーズ３ フェーズ４ フェーズ５ 大多数 今後

の企業 先進的

企業

監視情報 管理のイン テリジェン 対応

状況

ログ統 合管理 ツール

SIEM

SIEM: Security Information and Event Management LIFT: Live Intelligent Network Forensic Technologies

LIFT

ネット

ワーク監 視ツール なし

ク関連ロ グの収集

ツール

機能 の統合管

理 との統合 テリジェン ト化

標的型攻撃対策のための 適切なログの管理（その１）

＜機器によらない全般的な対策＞

１．各ログ取得機器のシステム時刻を、タイムサーバを 用いて同期する。

49

用いて同期する。

２．ログは１年間以上保存する。

３．複数のログ取得機器のログを、ログサーバを用い て一括取得する。

４．攻撃等の事象発生が確認された場合の対処手順 を整備する。

内閣官房情報セキュリティセンター：

http://www.nisc.go.jp/active/general/pdf/logkanri_kanki_120705.pdf

標的型攻撃対策のための 適切なログの管理（その２）

＜機器別の対策＞

１．ファイアウォール：「外⇒内で許可した通信」と「内⇒外 で許可・不許可両方の通信」のログを取得する。

50

２．

Web

プロキシサーバ：接続を要求した端末を識別でき るログを取得する。

３．他のシステムや機器の権限を管理するサーバ（

LDAP, Radius

等）：管理者権限による操作ログを取得する。

内閣官房情報セキュリティセンター：

http://www.nisc.go.jp/active/general/pdf/logkanri_kanki_120705.pdf

標的型攻撃対策のための 適切なログの管理（その３）

＜機器別の対策＞

４．メールサーバ：「メールの送受信アドレス」及び「メッセ

―

ジ

ID

」のログを取得する。

５．クライアント

PC

：マルウェア対策ソフトウェアの検知・ス キャンログ・パターンファイルのアップデートログを取得する。

６．

DB

サーバ・ファイルサーバ：特別なログ設定は不要だ が、確実にログを取得する。

内閣官房情報セキュリティセンター：

ネットワークフォレンジックの対応フェーズ

ネットワー 機能 ク関連ロ

各種ログ の統合管

フェーズ１ フェーズ２ フェーズ３ フェーズ４ フェーズ５ 大多数 今後

の企業 先進的

企業

監視情報 管理のイン テリジェン 対応

状況

ログ統 合管理 ツール

SIEM

SIEM: Security Information and Event Management LIFT: Live Intelligent Network Forensic Technologies

LIFT

ネット

ワーク監 視ツール なし

ク関連ロ グの収集

ツール

機能 の統合管

理 との統合 テリジェン ト化

目次

１．初めに

２．警察などにおけるデジタル・フォレンジック ３．民間におけるデジタル・フォレンジック

４．デジタル・フォレンジックの最近の動向と対応

５．今後の方向

ネットワークフォレンジックの対応フェーズ

ネットワー 機能 ク関連ロ

各種ログ の統合管

フェーズ１ フェーズ２ フェーズ３ フェーズ４ フェーズ５ 大多数 今後

の企業 先進的

企業

監視情報 管理のイン テリジェン 対応

状況

ログ統 合管理 ツール

SIEM

SIEM: Security Information and Event Management LIFT: Live Intelligent Network Forensic Technologies

LIFT

ネット

ワーク監 視ツール なし

ク関連ロ グの収集

ツール

機能 の統合管

理 との統合 テリジェン ト化

SIEM の問題点と対策案

１．対策の総合的判断が過剰に運用者の能力に依存

（１）判断の自動化

（２）対応に関する適切なガイド ２．判断に利用する情報が不十分

（１）パケットを流した元のプロセスの探索方法の確立

AI

技術の活用

55

（１）パケットを流した元のプロセスの探索方法の確立

（２）

LIVE

メモリー情報のトリガーベースの効率的収集

（３）不当に消されたデータの持つ情報の有効利用

（４）ゾーンニングなどの能動的行動によって得られる情報の 有効利用

３．対象に合致したシステムの構築運用支援が不十分

（１）計画支援システムとのリンク

（２）実証実験システムとのリンク

LIFT システムの概要

知識

Fire

各種ログ

Wall

状況認識知識

獲得用実験シ

ステム 検知シ

計画支援 ステム システム

ルータ システム

LIFT

システム（自動運転や操 作ガイド）

（１）基本：

AI

ベースシステム

（２）追加情報：①原因アプリ、

②

LIVE

メモリー、③消去デー タ、④能動的操作結果など

サイバー・セキュリティ研究所

東京電機大学

総合研究所

他部門 他部門 情報研究部門 他部門 他部門 他部門 他部門 情報研究部門 他部門 他部門

サイバー・セキュリティ研究所

（所長：佐々木良一教授 副所長：上野洋一郎教授）

2013年9月発足

現在５つの 共同研究プ ロジェクトの 1つとして実 ＴＤＵ－ＭＣＳＴＲＰ：複合領域サイバー・セキュリティ

ＴＤＵ－ＭＣＳＴＲＰ

終りに

１．サイバー攻撃はますます厳しくなり、デジタル・フォレン ジックの必要性も増大するだろう。

２．日本のデジタル・フォレンジック研究も産業も、米国など に比べて優れているとはいえない。

58

に比べて優れているとはいえない。

３．しかし、製品は予測コーディング関連e-Discoveryツール など日本がよいポジションにあるものも出てきている。

４．研究も今後、世界のトップレベルのものを作り出していき たいと考えている。多くの研究者のこの分野への進出が期 待される。＝＞情報通信産業の活性化には不可欠。

ドキュメント内 目 次 1. 初 めに 2. 警 察 などにおけるデジタル フォレンジック 3. 民 間 におけるデジタル フォレンジック 4.デジタル フォレンジックの 最 近 の 動 向 と 対 応 5. 今 後 の 方 向 2 (ページ 48-59)