平成24年度秋期情報セキュリティスペシャリスト試験の午後I問4を題材に、インシデント対応の基礎から最新技術までを徹底解説する動画です。W社で発生したCPU枯渇攻撃を例に膨大なログから真犯人を特定する実践的な解析手法を学びます。さらに誤検知の罠やX-Forwarded-Forの仕組み、AI駆動型WAFなどの最新アーキテクチャまで網羅しています。 学習すべきキーワードは、ログ解析の相関分析、HTTPステータスコード、誤検知、死活監視の最適化、X-Forwarded-For、暗号化通信の監視、そしてAI駆動型WAFやeBPFなどの最新セキュリティ技術です。インシデント発生時には普段と異なる事象が発生している時間帯を見極めることが非常に重要であり、まずはCPUの使用率を確認することで犯行時刻を特定します。その時刻を起点としてファイアウォールのログやIDSの検知アラート、Webサーバのエラーログの時系列をピタリと合わせる相関分析によって、攻撃者の真のIPアドレスをあぶり出します。また、HTTPステータスコードの理解も欠かせません。ステータスコード500はサーバダウンを示す本当の攻撃被害である可能性が高い一方で、ステータスコード200はサーバによる正常な処理を示しているため、これがIDSによって脅威として検知された場合は誤検知であると判断する重要な証拠になります。ロードバランサの死活監視における課題もシステム運用において重要です。単なるアクセス集中によりWebサーバプログラムで制限している最大同時セッション数が不足しただけで不要なイベント通知を連発してしまう事象を防ぎ、真に対処が必要なアラートに絞ることで運用を最適化する必要があります。さらに、ロードバランサを経由した通信の追跡では送信元のIPアドレスが変わってしまうという問題が発生します。この迷子のIPアドレスを探し出し、ファイアウォールとWebサーバのログを一本の線で繋ぐための魔法のヘッダがX-Forwarded-Forであり、これをロードバランサで追加してWebサーバのアクセスログに出力させる設定はインシデント調査において必須のテクニックです。暗号化通信の監視についても注意が必要で、HTTPSなどで暗号化された通信はそのままではIDSで中身を監視できないため、ロードバランサなどが持っている秘密鍵を利用して暗号を解く必要があります。そして動画の後半では、これらの2012年当時の常識と現代のアーキテクチャとの比較が行われます。手作業でのログの突き合わせは自動化されたSIEMによる分散トレーシングへと移行し、単純なしきい値によるシグネチャ検知に代わって、現在ではAIが振る舞い検知を行い正常なアクセスと悪意あるペイロードを文脈で判別して即座にブロックするAI駆動型のWAFが活躍しています。また、OSのカーネルレベルでどのプロセスがリソースを消費しているかを膨大なログの確認なしに可視化できるeBPFという最新技術も紹介されており、時代に合わせて進化し続けるセキュリティ対策を学ぶことができます。 www.youtube.com