4ZD-04
正常ログ残存を前提とするサイバー攻撃推定手法の性能評価
複数拠点から構成される大規模なネットワークの各拠点にはセキュリティ管理者ではなくネットワーク管理者が配置されることが多く、スキル差によるセキュリティインシデント対応の遅延などの問題が発生することが懸念される。解決策として、スキル差を吸収する細やかな対応支援が必要であり、これまでに組織内のログからサイバー攻撃に関連するログを抽出し、サイバー攻撃の手段や活動時間の推測により攻撃の全貌を俯瞰するシステムを提案した。本稿では、提案システムにおける攻撃関連のログ抽出で要求される正確性を確認するため、正常ログが大量に存在する状態で攻撃手段の推測を行い、攻撃に関連しないログが推測に与える影響の評価を行った。