ニイハオに出席したら帰りが寒いので自転車を家においてくる。

今日の格言
　　フォレンジックはルールです。by やまにょん氏
ばしっ！と言い放つやまにょん氏かっこいい〜！

内容

・NetworkForensicを考える
発表資料

・ネットワークフォレンジックを考える
　-コンピュータフォレンジックと合わせて、、、
　-5W1Hを明らかにする

　・フォレンジックとは
　　　インシデントに対して事後検証を行う。


　・ネットワーク上の機器のログ、アプリのログからアノマリーを発見
　　　　⇒関連性の発見
　　　　　※アノマリ 長期間の傾向を統計解析的に分析
　　　　SIMツールの利用
　　　　　時間を軸にイベントやログの関連付けて検証する　　　　　この辺の価値の高いサービスを付加すると魅力的？

　・フォレンジックサーバといわれる製品群

できる限りすべてのパケットを記録 ネットワークアナライザの延長 ・高速ストレージ付パケットキャプチャ
パケットからセッションの再構築や分析が可能
擬似トラフィックとして出力可能

　・モニタリングを行うことのメリット
　　監視宣言　宣言による抑止効果
　　IDS　リアルタイム侵入検知
　　パケットキャプチャ　統計解析

　・IDSとの違いは？
　　IDSはリアルタイム監視であり、
　　シグニチャベースなので見落とすことがある。

　・できることの限界
　　監視カメラと同じで限定された範囲での事実の記録

　・まとめ
　　分散した情報から事実を検証する技法
　　如何に分析するかが重要。今後の課題である。

　問題点
　　法的根拠がない
　　　証拠能力をもつためにやるべき２点
　　　　・やったことに対して記録を残せ
　　　　・複数の人間で行う。

　　管理面での留意
　　　データ管理基準を明確にする。
　　　（キャプチャは必要以上にデータが取得できる）
　　　内容
　　　　　・運用の目的、状況を設定し文書として残す。 
　　　　　・運用内容、フォレンジックの解析過程・目的・内容も残す。
　　　　　・作業は複数の人間で行う（相互確認）

・関連性の発見
ネットワークだけでなくコンピュータフォレンジックも同時に行えるような分析ができるともっといいかも、、
システムのログとネットワークのキャプチャしたパケット（一箇所だけでなく色々なセグメントを横断して取得）を分析して情報漏洩を検知するとか、、、カメラサーバーとかついているともっといいかもね。ログインしたときに画像保存する仕組みとか使って証拠を残したりできないかな。

自分メモ
不正アクセス以外のフォレンジックはどうすれば検知できるんだろう？

• 社内不正利用とか
• 情報漏洩とか

とりあえず、ある程度のセキュリティをかけておくのは必須だとして、、さらに悪いことをしているやつを見つけないといけないよね〜。（よく考えると情報漏洩は警告だせなきゃまずいような）

技術的にどのような手段を行えばどこまで制御することができて、そこでもカバーできないソーシャルの面での可能性を検討し、漏洩を防がないといけない。
まぁ、内部だだ漏れなとこではそれ以前ってことだね（T-T

メモ
　Webサーバのログはページ改竄と一緒に変更されてしまう。
　IDSをPortミラーリングで運用すると警告をいっぱい出力するから
　リピータをかますかTAPを使うのがいいよ。

個人情報とパケットキャプチャについて

・ログと法律
　１．ログと著作権
　　　パケットキャプチャで収集したデータに著作物が含まれていた場合
　　　　＞業務上の複製に該当するのでアウト
　　　　（第42条が適用できるかもしれない）
　　　対策
　　　　不正目的の用途でないと証明できる証拠をログとして残す必要がある。
　　　問題
　　　　著作物を削除した場合＞原本の改変にあたり証拠能力が下がる

　２．ログと個人情報
　　　ログは個人情報にあたるか？
　　　　書籍によると
　　　　　・メールアドレスは個人情報
　　　　　・生ログは個人情報
　　　　　・収集した時点で個人情報

　　　　危惧する点（実施不可能？？）
　　　　　・個人に対して情報収集の通知を行えるか？
　　　　　　　⇒オプトアウト、明示的拒否に対応できるか？
　　　　　・意識せずに個人情報取扱者となってしまう危険
    

        訴えられたときに対抗する手段として

目的を明確にし、目的外利用を行わない
キャプチャーデータに対するアクセスは記録する
これも多人数で相互監査する
って、防護策をとっておくので運用するしかないのかな。