Item type |
SIG Technical Reports(1) |
公開日 |
2022-07-12 |
タイトル |
|
|
タイトル |
MITRE ATT&CKを用いたログ選定におけるフォレンジック適正の向上に向けた初期検討 |
タイトル |
|
|
言語 |
en |
|
タイトル |
Toward Improving Forensic Readiness in Log Selection Using MITRE ATT&CK |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
CSEC |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
著者所属 |
|
|
|
奈良先端科学技術大学院大学 |
著者所属 |
|
|
|
奈良先端科学技術大学院大学 |
著者所属 |
|
|
|
奈良先端科学技術大学院大学 |
著者所属(英) |
|
|
|
en |
|
|
Nara Institute of Science and Technology |
著者所属(英) |
|
|
|
en |
|
|
Nara Institute of Science and Technology |
著者所属(英) |
|
|
|
en |
|
|
Nara Institute of Science and Technology |
著者名 |
中川, 桃李
妙中, 雄三
門林, 雄基
|
著者名(英) |
Touri, Nakagawa
Yuzo, Taenaka
Youki, Kadobayashi
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
情報化が浸透した現代社会ではセキュリティインシデントの発生を必然と捉え,インシデントの被害把握や原因究明,早期復旧のためのフォレンジックを実施できる情報システムを予め構築しておくことが求められる.フォレンジックには,インシデント発生時の情報を含むログが欠かせないため,ログの取得計画がフォレンジック対応システムを実現する重要な要素技術の一つである.理想的には全ての機器の全ログを保存すればフォレンジックが可能となるが,ログを取得する機器や保存領域の確保が必要となり,さらには情報量の過多によりフォレンジックに掛かる時間的・人的コストの増大が問題となる.そのため,現実的にはフォレンジック能力の最大化だけでなくフォレンジックに掛かるコスト最小化も備える Forensic Readiness (以降,フォレンジック適正と呼ぶ)の実現が必要不可欠である.ログは量・種類共に膨大にあり,それぞれから得られる情報は異なるものもあれば重複するものもあるため,組み合わせ次第でフォレンジック可能なインシデントが異なる.そこで本研究ではログに対してコストとフォレンジック能力に対する効果を定義することで,与えられたコストにおいて効果が最大となるログの組み合わせを脅威ベース型アプローチを用いて選定する手法を提案する.フォレンジック能力確保の対象とする脅威シナリオは,MITRE ATT&CK に基づいて策定し,コストと効果はそれぞれログが取得される場所とフォレンジック可能な攻撃技術の数および深刻度から算出し,初期検討を行う. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In today's information-oriented society, the occurrence of a security incident is regarded as inevitable, and an information system must be constructed in advance to enable forensics to ascertain the damage caused by the incident, determine the cause, and recover from the incident as soon as possible. Since logs containing information at the time of an incident are indispensable for forensics, the log acquisition plan is necessary to realize a forensic response system. Ideally, forensics would be possible if all logs of all devices were stored. However, acquiring the devices to collect and store the logs is expensive. Moreover, the excessive amount of information increases the time and personnel cost required for forensics. Therefore, it is essential to realize ”Forensic Readiness”, which not only maximizes forensic capability but also minimizes forensic costs. The amount and types of logs are vast, and the information obtained from each log may differ or overlap. Therefore, the forensic readability of an incident depends upon the combination of logs. This study proposes a method for selecting the combination of logs that maximizes the effectiveness of forensic capability at a given cost using a threat-based approach by defining the cost and the effectiveness of the logs. The threat scenarios for forensic capability are developed based on the MITRE ATT&CK, and the cost and effectiveness are calculated based on the location where the logs are obtained, the number of forensic techniques, and the severity. |
書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2022-CSEC-98,
号 16,
p. 1-7,
発行日 2022-07-12
|
ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |