@article{oai:ipsj.ixsq.nii.ac.jp:00215838,
 author = {上川, 先之 and 尾上, 勉 and 塩治, 榮太朗 and 芝原, 俊樹 and 秋山, 満昭 and Hiroyuki, Uekawa and Tsutomu, Ogami and Eitaro, Shioji and Toshiki, Shibahara and Mitsuaki, Akiyama},
 issue = {1},
 journal = {情報処理学会論文誌},
 month = {Jan},
 note = {潜在的なセキュリティ脅威などを発見するために，マネージドセキュリティサービスでは，顧客からプロキシログやIDSログに代表されるセキュリティログを受け取り高度な分析を行っている．我々が実施したSOCに対するフィールドワークでは，分析官が顧客のネットワーク構成に関して誤った情報を持っていることが多く，そのことが分析の効率や正確性を低下させる要因となっていることを明らかにした．そこで，受動的かつ不完全な情報であるセキュリティログのみを基に，分析官の想定するネットワーク構成を検証する手法を提案する．検証のアイディアは，セキュリティログの情報を正しいものとして論理による推論を行い，分析官の想定情報に含まれる間違いをセキュリティログとの矛盾として導き出すことである．提案手法では，不完全な情報を扱うこと，および推論規則を柔軟に表現する必要があることから，解集合プログラミングによって推論を行う．また，提案手法の応用により，ネットワーク構成情報の間違いを見つけられるだけでなく，ネットワーク構成の変化を検知することも可能になる．提案手法を検証システムとして実現するにあたって，基本的な実現可能性の検証のために実ログデータを用いた評価を行い，その結果について報告する．, To identify hidden security threats, Managed Security Service analyzes security logs received from a client's network. Our fieldwork with SOCs identified that analysts often have incorrect information about the client's network structure, which reduces the efficiency and accuracy of their analysis. To solve this problem, we propose a novel method for validating the network structure assumed by an analyst, solely based on incomplete and passive security logs. Its key idea is to conduct logical inference based on the assumption that security logs are correct, and derive errors in the assumed network structure as contradictions against security logs. To meet the requirements for handling incomplete information and expressing flexible inference rules, we adopt answer set programming. Our method enables the discovery of not only errors, but also temporal changes, in network structure. Towards implementing our proposed method as a validation system, we conduct a basic feasibility evaluation using real logs and report its results.},
 pages = {194--204},
 title = {マネージドセキュリティサービスのための受動的なログを用いたネットワーク構成情報検証方法},
 volume = {63},
 year = {2022}
}