サイバーセキュリティアナリストの状況認識構造の研究

Abstract

SOCにおけるサイバーセキュリティアナリストの状況認識構造を明らかにするために，実証環境の整備を実施した．海外の関連研究では，サイバーSAの様々な局面について研究がされているが，本研究は，アナリストが、不正侵入検知システムやシステムログはじめとする事象データを認識し、脆弱性情報を含むシステムの様々な関連情報を探索し、何が発生しているかを推測する局面である「データトリアージ」のフェーズを対象とした．アナリストが従事するSOC では，扱う情報を 外部に持ち出すことが困難であることや，日々業務に従事するアナリスト自身を対象として研究することが困難であるからである．したがって研究環境の整備が非常に重要である。今年度本学演習設備を活用して，外部よりの攻撃情報を収集することを試みたが，期待しような攻撃情報収集することができなかったため，外部の協力者より情報を取得することとした．また，アナリストの振る舞いを記録するためのソフトウエアを購入し，検証した．