2020年秋学期 - インシデントレスポンス・フォレンジック / INCIDENT RESPONSE AND FORENSIC
|
95045 インシデントレスポンス・フォレンジック INCIDENT RESPONSE AND FORENSIC |
2 単位 |
| 実施形態 | 完全オンライン |
| 開催日程 | 秋学期 火曜日2時限 |
| 担当教員 | 手塚 悟:近藤 賢郎(テヅカ サトル:コンドウ タカオ) |
| 関連科目 | |
| 開講場所 | SFC |
| 授業形態 | 講義 |
| 履修者制限 | |
| 履修条件 |
講義に参加すること Attending a lecture |
| 使用言語 | 日本語 |
| 連絡先 | tezuka@sfc.keio.ac.jp |
| 授業ホームページ | |
| 同一科目 | |
| 学生が利用する予定機材/ソフト等 | |
| 設置学部・研究科 | 政策・メディア研究科 |
| 大学院プロジェクト名 | |
| 大学院プロジェクトサブメンバー | |
| ゲストスピーカーの人数 | 0 |
| 履修選抜・課題タイプ=テキスト登録可 | false |
| 履修選抜・選抜課題タイプ=ファイル登録可 | false |
| GIGAサティフィケート対象 | |
| 最終更新日 | 2020/08/17 17:49:29 |
科目概要
本講義は、サイバーセキュリティ業務の中核たるセキュリティインシデント発生時の対応 (インシデントレスポンス) 手法及びそれを構成するフォレンジック技術に対する知識と経験を体系的に論ずる。企業の業務継続のために必要な情報システムは業務の多角化やサプライ・チェイン構造化をもとに多様化・複雑化を遂げている一方、それらを対象とするサイバー攻撃活動はなお一層巧妙化が進んでいる。本講義はそのような企業をとりまく情報セキュリティ環境に実践的に対応できるサイバーセキュリティ人材の育成を目標とする。
本講義では今日の企業を取り巻く情報セキュリティ環境を概観すると共に、平時におけるセキュリティ運用と有事 (セキュリティインシデント発生時) において必要なインシデントレスポンスについて技術・制度の両面から議論する。またインシデントレスポンスにおいて重要な役割を担うデジタル・フォレンジック技術について、実際の使用場面に即して体系的に議論する。
This lecture explains knowledge and methodologies of computer incident response and digital forensic. The information system in enterprise environment is an important factor of business continuity. Due to the current trend of business diversification and supply-chain manufacturing structure, the information system results in being complicated. Meanwhile cyber attacks against the information system in enterprise environment continues to get sophisticated. This lecture aims for development of cyber security experts who can practically handle such information security issues in the enterprise environment.
This lecture systematically discusses the issues of ordinary (in peacetime) security operations and emergency responses to computer security incidents from the technical and institutional view points. The emergency responses include matters of digital forensic technology.
授業シラバス
主題と目標/授業の手法など
講義形式で進める
Advance in lecture format
教材・参考文献
パワーポイント資料
提出課題・試験・成績評価の方法など
成績評価方法: オンラインで実施、実務課題(30%)、中間試験(30%)、最終試験(40%)
評語タイプ:S・A・B・C・D
Grade evaluation method: It is carried out online, Practical tasks (30%), Midterm exam (30%), Final exam (40%)
Rating type: S・A・B・C・D
履修上の注意
授業計画
第1回 情報セキュリティを取り巻く状況
[Current situation of Information Security]
昨今観測されているセキュリティインシデント事例をもとに、今日の情報システムをとりまく情報セキュリティを概観する。また組織におけるセキュリティ運用業務において中心的役割を担うCSIRT (Computer Security Incident Response Team) を説明すると共にその業務範囲を概観する。
Explains the current situation of information security surrunding enterprise environment and the responsbility scope of CSIRT (Computer Security Incident Response Team).
近藤 賢郎:Takao KONDO
第2回 インシデント発生前の準備
[Preparation for Computer Incidnet Response]
セキュリティインシデントが発生する課程の分析のためにサイバー・キルチェインに基づいたモデリングを導入する。そのモデリングをもとに多層防御の重要性を説明すると共に、平時のセキュリティ運用の中で組織として準備すべき事項を技術・制度の両面に渡って議論する。
Introduce cyber kill-chain to analyze procedures of computer security incidents and the importance of defense in-depth.
Based on the modeling based on cyber kill-chain, the necessary security operations in peacetime would be also discussed.
近藤 賢郎:Takao KONDO
第3回 インシデントの検知・特性評価
[Detection and Evaluation of Computer Incident]
セキュリティインシデントの検知のために必要な情報の収集及びその解析手法について論ずる。特にインシデントの発見に役立つ指標 (インジケータ) の分類とその特性を議論する。また、インシデント検知における偽陽性の問題をもとに、インシデント検知とセキュリティ運用上のコストの間にあるトレードオフ構造を論ずる。
Explains the methodologies of detection and analysis of security incidents and discusses Indicator of compromise (IoC), which is important to detect the incidents. This session also discusses the issues of false positive in incident detection and the trade-off structure between the incident detection and the cost of security operations.
近藤 賢郎:Takao KONDO
第4回 有事における対応とデータ収集・解析
[Collection and Analysis of Evidence]
センサから収集される情報の解析をもとに確定インシデントと判断し、それに対応する手順 (侵入検知、侵入調査、スコーピング、ハンティング) について論ずる。また確定インシデントに対する対応 (インシデントレスポンス) として、ライブレスポンスとフォレンジックの各々についてその手法を議論する。
Explains the procedures to confirm a security incident based on measurement by sensors and methodologies of handling the confirmed incidents. This session also introduce the methodologies of incident response which is composed of live response and forensic.
近藤 賢郎:Takao KONDO
第5回 修復・業務回復のレジリエンス
[Business Recovery Resilience]
有事としてのインシデントレスポンスから平常の業務に復帰する過程について論ずる。特に、セキュリティインシデントによる損害評価及びインシデントレポートの作成、それらを元にした業務回復のための必要な意思決定について議論する。
Explains the procedures of business recovery after incident responses. This procedures include damage evaluation of the incident, making a incident report, and decision making towards business recovery.
近藤 賢郎:Takao KONDO
第6回 セキュリティ運用のケーススタディ
[Case Study of Security Operations]
実際のセキュリティ運用事例をケーススタディとして取り上げる。
Explains the case studies of actual security operations.
近藤 賢郎:Takao KONDO
第7回 Explains the case studies of actual security operations.
[History of Digital Forensics]
デジタル・フォレンジックが社会的に注目を浴びるようになった事例を振り返る。エンロン事件、電子メール墨塗り事件、フロッピーディスク改ざん事件、パソコン遠隔操作事件など。
Looks back at the case where digital forensics has gained social attention. For example, Enron case, e-mail redaction case, floppy disk tampering case, computer remote control case, etc.
手塚 悟:Satoru TEZUKA
第8回 デジタル・フォレンジックの体系
[System Overview of Digital Forensics]
犯罪の解決手段としてのデジタル・フォレンジックや、組織が財務情報などの透明性を示すのに使われるデジタル・フォレンジック、など用途別の体系を説明する。
Explains the system for each purpose, such as digital forensics as a means of solving crimes, and digital forensics used by organizations to show transparency of financial information.
手塚 悟:Satoru TEZUKA
第9回 デジタル・フォレンジックと法制度
[Digital Forensics and Legal Systems]
刑事訴訟、民事訴訟をはじめ、不正アクセス禁止法などの法制度と、デジタル・フォレンジックとの関係を概観する。米国におけるeディスカバリー制度も紹介する。
Outlines the relationship between digital forensics and legal systems such as the Unauthorized Computer Access Law, including criminal and civil lawsuits. We will also introduce the e-discovery system in the United States.
手塚 悟:Satoru TEZUKA
第10回 企業におけるデジタル・フォレンジック
[Digital Forensics for Organization]
企業における総務部門、経理部門、IT部門などがデジタル・フォレンジックをつかう利用シーンを説明する。
Explains the usage scenes in which the general affairs department, accounting department, IT department, etc. in a company use digital forensics.
手塚 悟:Satoru TEZUKA
第11回 デジタル・フォレンジックの実際とツールの紹介
[Actual Aspect of Digital Forensics and its tools]
証拠保全、データ分析、開示・説明にまでいたる、デジタル・フォレンジックの実務や、専用施設の概要を説明する。著名なツールの概要、ツールの使い方の概要を説明する。実際にツールをつかったときの結果を概観する。
Explains the practice of digital forensics, including evidence preservation, data analysis, and disclosure/explanation, and the outline of dedicated facilities. Give an overview of famous tools and how to use them. Outline the results when actually using the tool.
手塚 悟:Satoru TEZUKA
第12回 デジタル・フォレンジックの今後の課題
[Future Issue of Digital Forensics]
デジタル・フォレンジックを推進する上での、人材面、技術面、リソース面などの課題と、今後の方向性を説明する。
Explains the issues regarding human resources, technology, resources, etc. and the future direction in promoting digital forensics
手塚 悟:Satoru TEZUKA
第13回 課題・レポート
[Assignment・Report]
手塚 悟:Satoru TEZUKA
第14回 オフィスアワー
[Office hour]
手塚 悟:Satoru TEZUKA
第15回 まとめ
[Conclusion]
手塚 悟:Satoru TEZUKA
15回目に相当するその他の授業計画