DAY2 12.20 FRI 14:30 – 14:50
会場:3F Room 3
「TLS復号なし」のプロキシログは、
ログ分析してますか?
-
株式会社エヌ・ティ・ティ エムイー
サービスクリエイション部 システムオペレーションセンタ
岡林 澄氏
Webアクセスは、その多くがTLS通信(暗号通信)を前提としている中で、UTMやプロキシにおけるセキュリティ監視(SOC)業務においては、TLS復号を前提とする場合としない場合が混在している。 これは、UTM等の設定状況に依存するためだが、TLS復号をしない場合、各通信のログから得られる情報はホスト名だけであり、当該端末の挙動等の手掛かりを得ることが難しい状況となっている。 一方、SOCやCSIRTにおいては、ひとたびインシデントや端末への侵害被疑事象が発生した場合には、TLS復号をしない場合であっても原因追跡等が求められる。 本講演では、暗号通信の原因追跡をどのように進めるべきか複数の事例を元に照会させて頂き、他のSOCやCSIRTにおいて、 どのような取り組みがされているのか、意見を頂きたいと考えている。 また、セキュリティ監視(SOC)やCSIRT業務において、TLS復号を推進していくような仕組みについても広く意見を頂きたいと考えている。