NECさんとLACさん共同でセキュリティ事故予兆の検知と大量ログの絞り込みに関する実証実験をしたそうです。これ面白いなぁ。

2006年9月から約1カ月にわたり、NECインターネットシステム研究所とラックのコンピュータセキュリティ研究所は2種類の実証実験を行った。1つは、リアルタイムで未知の攻撃に関する予兆を発見すること。もう1つは事後的に、大量のログデータから特定の情報犯罪に関するデータを効率的に絞り込むこと。NECインターネットシステム研究所はこれまで同社のデータマイニング技術をに基づくエンジンを、セキュリティ分野に適用すべく開発を進めてきた。今回の実験ではこれを要素技術として用い、両社で適用手法を検討するとともに、ラックが持つ実際の攻撃時のログファイルを利用して検証を実施した。

といいつつWAFですべてOKっていっている面もあり（ｗ

SQLインジェクション攻撃からの防御方法として、一部ではWebアプリケーション・ファイアウォール（WAF）が利用されているが、ラック コンピュータセキュリティ研究所 所長の岩井博樹氏は「WAFを回避する方法もあり、WAFだけでは十分とはいえない」と話す。

スコアを使ってごにょごにょしてるみたいですね。でも７秒は早いなぁ。

ログデータからの犯罪関連データの抽出については、上司のユーザー名とパスワードを使った実際の不正アクセスにおける、クライアントPCのWindows イベントログを対象に実験を行った。1万1000行のデータから、全不正行為を7秒間で確認することができたという。事後的なログの分析は、専門家でも「ノイローゼになりそうな作業」（岩井氏）。これを大幅に効率化するものとして期待できるという。

関連URL

• データマイニングで、攻撃の予兆や不審行動を見逃さない――NECとラック - ITmedia エンタープライズ