核心を見抜くインシデント分析

プロのセキュリティアナリストの実務の華！
侵害事故分析を、実習で身につけましょう。

セキュリティアナリストの基本スキル、
インシデント分析！

サイバー侵害事故が発生した場合、企業は迅速に被害範囲を把握し、事故の収拾を通じてビジネスへの影響を最小限に抑えなければなりません。業界で求められる法規またはコンプライアンス遵守のために必要な活動が漏れた場合、関連法規や規定による処罰や追加の履行項目が発生する可能性があります。ビジネスへの影響を最小限にするため、企業のセキュリティチームや広報チーム、法務チームなど、全社的に事故対応に集中します。企業では、セキュリティ事故が発生した際に対応するために必要な必須活動を、模擬訓練を通じて年間または四半期ごとに実施しています。

セキュリティアナリストは、企業や組織で侵害事故が発生したり法的問題が生じたりした場合に、事故分析業務を遂行します。さまざまな原因で発生するシステム異常の原因を把握するためには、こうした問題状況を判別できる能力が必要です。特に、外部からの侵入や内部従業員による侵害事故が発生した場合、事故分析を通じてシステムの被害状況および侵害原因の分析業務を遂行することがセキュリティアナリストの役割です。

企業の事故被害を分析し、事故が再発しないよう対応策を導き出すためには、正確な事故原因を分析することが最も重要です。しかし、実際に事故分析の過程を経験することは非常に稀であり、難しいことでもあります。

「Big Root」という用語は、一般的に問題や状況の複雑さを強調する際に使用されます。「Big Root」は問題の根源が大きく複雑であることを意味します。これは、問題が単純な原因や要因だけに限定されず、多様な要因が複雑に絡み合っていることを示しています。.

高度化されたサイバー攻撃による侵害事故も、表面化したシステム分析だけでは事故原因の問題解決が困難です。高度な攻撃によって事故が繰り返し再発し、企業のビジネスに持続的な被害を与えることになります。企業のセキュリティチームは、セキュリティ事故の根本原因（root cause）と侵入経路（vector）を特定するために、分析の過程で多様なシステムやソリューションの情報を確認する必要があります。

講義を通じて侵害事故対応の手順について説明し、企業に深刻な被害をもたらすサイバーセキュリティ事故の類型と原因について学習します。ハッキング事故の原因となるセキュリティ脆弱性を根本的に解決するために必要な能力を学習します。

概念から実務まで
侵害事故分析の基礎。

実務事例に類似した侵害事故分析トレーニングを通じて、
事故分析能力の向上を図ることができます。

• セキュリティアナリストとしての業務を遂行するための基礎知識を身につけ、分析ツールを実習します。
• ネットワーク通信とアプリケーションへの理解に基づき、サイバーセキュリティ事故の原因を突き止めます。
• 様々なセキュリティ機器から発生する脅威ログを分析し、侵入を試みる攻撃者を特定することができます。
• 企業への侵入対応および分析業務の遂行に必要な、実務的観点からの侵害事故分析手法を学習します。

この講義では、企業における侵入対応および分析業務の遂行に必要な、実務的観点からのインシデント分析手法を共に見ていきます。ネットワークベースの侵入検知ログやネットワークパケット分析業務を行う実務担当者に、セキュリティアナリストが分析時に必要とする知識や分析ツールの活用ノウハウを提供し、分析を通じてどのような結果を見つけ出すべきかを説明します。

特に、セキュリティ分析業務を遂行していると、多様なログや分析ツールを使用することになります。侵入検知システム（IDS）のログ分析、Webサーバーログ、ネットワークパケット分析業務に携わりたい方のために、脅威分析の基礎概念と実務技術を説明しようと思います。基本概念および技術と、著者が業務で習得したノウハウも併せて説明することで、受講生の皆様の業務遂行能力を向上させる一助となれば幸いです。

事故分析のために分析する情報は、代表的なものとしてウェブログ、IDS/IPSログ、ネットワークパケットログがあります。実際のセキュリティ事故が発生したシステムのログを分析しながら、事故対応訓練を実施する予定です。最後に、キャリア管理の観点から、今後どのようにキャリアを築いていくかについても共有する予定です。

効率的な分析学習を
サポートします。

_{侵入対応/分析
実務に必要な
情報収集方法}

_{侵害対応/分析
実務者が使用する
分析ツールおよび使用法}

_{侵害対応/分析
事例を通じた
実務ノウハウ}

1) 侵害対応/分析の実務者が使用する分析ツールおよび手法の技術を学習します。

侵害事故の分析経験が少ない場合、事故調査の際にどこから分析を始めるべきか途方に暮れることがあります。本講義では、分析者が迅速に事故原因を特定し、攻撃経路を識別できるよう、タイプ別の事故事例を実習します。実習を通じて、セキュリティログを分析する際に侵害事故の痕跡を見つけるために何に集中し、どのようにすれば効率的に分析できるかを学ぶことができます。

• ✅ 正常ログの判別基準の事例学習
• ✅ 大量ログ分析プログラムの使用実習
• ✅ 侵害事故タイプの学習

2) ハッキング手法に依存しない分析方法を通じて、多様な状況への適用および応用が可能です。

攻撃者たちはさまざまな方法でシステムへの侵入を試みます。特定の攻撃ツールや攻撃手法に依存せず、脆弱性を悪用する原理を理解することで、多様なセキュリティ攻撃の試みに対して応用し、分析を行うことができるようになります。

訓練のためのセキュリティ分析実習。

IDSログ分析訓練

商用セキュリティ製品で検知された攻撃行為ログの一部をフィルタリングし、実習用に提供します。攻撃イベント名、攻撃時間、その他の情報は、実際の事故事例と同様に構成されています。

Webログ分析訓練

Webサーバーを対象に行われた攻撃手法と、攻撃対象のサーバーに残されたログを直接分析します。分析を通じてWebサーバーの脆弱な設定を把握し、事故の原因を特定します。

ネットワークパケット分析

サイバーセキュリティ事故の事例をラボ環境で同一の条件で再現し、攻撃者の視点からシステムを攻撃する過程を再現してネットワークトラフィックをキャプチャします。キャプチャしたパケットを分析し、攻撃対象と被害範囲を分析します。

学習内容 📚

それぞれの実習事例を通じて侵害事故分析を実習し、分析プロセスを学習することができます。分析プロセスを通じて学習する前に、まずは自身で分析を行ってみた後、自ら分析した過程と分析ガイドの内容を比較してみます。

Q&A 💬

この講義の知識共有者は ✒️

主な経歴

• セキュリティコンサルタント：セキュリティインフラコンサルティングを通じたセキュリティ強化戦略の設計/構築/運用
• セキュリティ管制コンサルティング：SOC構築コンサルティングおよび運営業務の遂行
• セキュリティサービス商品開発：次世代セキュリティ監視ソリューション&サービス開発
• 侵害事故対応：軍/公共/民間企業など多数
• 2014 KISA K-Shield セキュリティ修了講師 (AhnLab ネットワークフォレンジック教育担当講師)
• 2016 個人情報保護 PIS(Personal Information Security) FAIR / 発表テーマ ‘Security Intelligence’

_{사이버 침해사고 분석 전략 (에이콘출판사, 2016) 저}

_{해킹, 침해사고분석 (지앤선, 2009: 
2009 문화체육관광부 우수학술도서) 저}