概要
タイトルの通り、セキュリティ担当者・部隊がセキュリティの観点で気にしている(主にエンタープライズ)ネットワーク上の事象をまとめて共有します。
この発表によって、ネットワークオペレータの方が、セキュリティ部隊は何をどこまで知っていて、何をしたいと思っているのか。なぜこれをお願いしてくるのか。そういったところが理解いただけるかと思います。
また、ネットワークオペレータの方の思いや不満、セキュリティ部隊にお願いしたいことを議論の中で理解したいと考えております。
発表内容としては、現時点で次の3章構成を予定しています。
1) セキュリティ部隊が検知したい、事業環境で起きてはいけない事象
2) 上記の検知のため、セキュリティ部隊がネットワーク的な観点で実施している監視・対応
3) 上記対応に際し、ネットワークオペレーターに知っておいてほしい協力要請事項や迷惑をかける誤検知事例
例えば、事業環境で発生することが望ましくないネットワーク的な事象としては、意図しないトラフィックの輻輳やFW/ルータなどのセッション枯渇、アウトバウンドの大きなトラフィック、ドメインコントローラー以外からのドメインレプリケーション要求などがあります。
このような事象を事前に察知するため、セキュリティ部隊は内部ホストが変なASと接続していないか、変なドメインへの通信がないか、ポート番号と通信プロトコルが一致していない通信がないか、突然通信量が以上に増加していないか、Webサイトの応答が急に悪くなっていないかなどを監視しています。
このような監視を行う中で、ネットワークオペレーターにセキュリティの観点から確認をお願いしたい事項やネットワーク的なアラートの誤検知事例などを紹介し、セキュリティ的な対応を依頼されることのあるネットワークオペレーターの運用負荷改善に繋がればと思い本発表を企画しました。
議論ポイント
以下の点について、ネットワークオペレータの皆様との議論し、相互理解のきっかけとなればうれしく思います。
1) 今回紹介する対応に改善すべき点、改善出来る点はないか。
2) セキュリティ部隊からネットワークオペレータにお願い出来るようなことが他にあるか
3) ネットワークオペレータからセキュリティ部隊へお願いしたいこと、苦情、思いなど
場所
第3展示場A
日時
Day1 2025年1月22日(水) 15:45~16:30(45分)
発表者
公開資料
JANOG55_security_ネットワークオペレーター向けセキュリティアラート事例紹介_石橋拓己_石川章史