目次
サンドボックス
不審なソフトウェアを自身の環境で実行する際に影響範囲を限定するための仕組みです。実現するための「専用の仕組み」といったものはなく、外部に影響を及ぼさないような技術や機能を用いて、処理内容を確認できるように作られた実行環境のことを呼びます。
動的解析
マルウェアを実際に動作させて、その挙動を追いかけることで、マルウェアがどのような悪さをするかを解析する方法です。最近では、「サンドボックス内では動作しないマルウェア」というものも登場しています。
静的解析
マルウェアは実行せず、実際に被害にあったコンピュータに残されたファイルや、メモリに残存するマルウェア関連情報などの中身を見て解析する方法です。動作するマルウェアが無くても、マルウェアの解析を進めることが可能です。しかし、1)時間がかかる、2)膨大な知識が必要、3)解析対象のプログラムに記述されている以上のことはわからない、という短所があります。
フォレンジック
コンピュータに残存している情報を収集し、そのコンピュータで何が行われていたかを示す情報を特定し、その内容を調査する作業の総称です。フォレンジックを行う際に、まず第一に考えることは、コンピュータの保全です、「被害にあったコンピュータの電源を切り、被害が発覚したときの状態のまま置いておき、触れないこと」です。
パケットキャプチャ
パケットをキャプチャ(取得)する作業のことです。
SIEM(Security Information and Event Management)
各種ログを総動員して解析し、セキュリティ上の脅威となる事象を検知する仕組みです。情報の収集・管理を行い(SIM)、収集した情報の分析を行って、脅威となる事象の検知支援を行い(SEM)ます。SIEMの効果が出るか否かは日常運用にかかっています。
ハニーポット、ハニーネット
セキュリティの世界では、ハニーポット(蜜壺)を、攻撃者から魅力的に見える攻撃対象に見せかけた囮コンピュータのことを呼びます。ハニーネットは、ネットワークに侵入した攻撃者の挙動を観測する仕組みです。ハニーポットと語感は似ていますが、違うものです。
参考文献:「セキュリティの基本」, みやもとくにお/大久保隆夫, SB Creative