| Item type |
Journal(1) |
| 公開日 |
2018-09-15 |
| タイトル |
|
|
タイトル |
CSIRTのためのWebブラックリストの分類の提案 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Web Blacklist Classification for CSIRT |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:超スマート社会を支えるコンピュータセキュリティ技術] CSIRT,ブラックリスト |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
情報セキュリティ大学院大学/NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
情報セキュリティ大学院大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Information Security / NTT Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Information Security |
| 著者名 |
羽田, 大樹
後藤, 厚宏
|
| 著者名(英) |
Hiroki, Hada
Atsuhiro, Goto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
組織におけるWebアクセスの利用には多くの脅威が存在するため,悪性Webサイト情報のブラックリストが利用される.悪性Webサイト情報には登録理由やレピュテーションなどが付与されることがあるが,CSIRTのインシデントレスポンスにおいて合理的な判断を行うために適した情報を提供しているとはいえない.本稿では,インシデントレスポンスの「トリアージ」「対応実施」業務において,既存のブラックリストを活用した業務における課題を示し,合理的な判断を可能とするための「所有者」「コンテンツ」「現在の状態」「最終確認」という4項目による悪性Webサイト情報の分類を提案する.さらに,公開されている38種類のブラックリストの仕様について調査し,この分類に相当する情報がほとんど含まれていないことを示す.また,実際にブラックリストに一致してインシデント判定が求められた400件の悪性Webサイト情報について手動で調査を行い,一定数のWebサイト情報が外部からの調査によって定義に従った分類ができることを示す.この分類を活用することで速やかな対応ができることをケーススタディとして紹介し,提案分類が有効に働くことを示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Because there are many threats of web access in organizations, blacklist of malicious web sites is commonly used. The reason why it was judged to be malicious or the reputation score may be given to web site information, but it doesn't provide suitable information for reasonable judgment in CSIRT's incident response. In this paper, we propose malicious web sites blacklist classification which is composed of “Owner”, “Content”, “Status”, and “Update Time” in order to be able to make a reasonable judgement in the “Triage” and “Response” process of incident response. Furthermore, we surveyed the specifications of 38 blacklists that are published and show that there are not enough information corresponding to this classification. In addition, we manually investigated 400 malicious web sites information that actually matched the blacklist for incident judgement, and indicate it is possible to classify a certain number of web site information under our definition by external investigation. We introduce several case studies that CSIRT can respond promptly by utilizing this classification, and show that proposed classification works effectively. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 59,
号 9,
p. 1596-1609,
発行日 2018-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5909013.pdf (2.1 MB)
